Pour l’application du RGPD ou Règlement général de Protection des Données, il est imposé aux responsables de traitement d’élire un DPO. Cet organe en interne ou en externe est destiné à contrôler la mise en sécurité des données personnelles en entreprise. Est-il obligatoire ou non ? Comment le désigner ? Quelle est la mission du DPO externe ou interne ? Retrouvez toutes les réponses à travers les quelques lignes suivantes.
En quoi consiste la mission du DPO ou Data Protection Officer ?
Avec l’apparition du RGPD a été mis en place ce nouveau métier nommé délégué à la Protection des Données. Son rôle consiste à assurer la mise en conformité du traitement des données citoyennes avec les règles et obligations nouvellement imposées. Il est donc depuis 2018 l’intermédiaire entre une entreprise et la CNIL (Commission nationale de l’informatique et des libertés).
Dans sa mission, il conseille le réseau interne de l’entreprise chargé des traitements de données personnelles. Sa contribution est d’ailleurs indispensable pour permettre aux salariés d’organiser au mieux leurs tâches. Cela dans le but d’épargner à la société toutes sanctions financières liées aux non-sécurisations des données essentielles. Il oriente également les dirigeants dans leurs prises de décisions.
Le rôle de DPO peut être confié à une personne salariée d’une entreprise ou être externalisé. Si la société a une possibilité, il pourra désigner un profil potentiel parmi ses collaborateurs pour assurer l’application des obligations légales. Sinon, il lui est également possible d’engager un DPO externe pour vérifier le traitement des données personnelles en conformité avec la loi informatique.
Ces professionnels en interne ou comme prestataires externes sont amenés à rédiger un audit à titre d’analyse d’impact. Cela en vue de s’assurer de l’exécution de la politique de protection et de respect des droits des citoyens européens.
Choisir un DPO externe : destiné à quelle entreprise et pour quels avantages ?
Les personnes morales publiques ou privées exploitant massivement des données personnelles peuvent engager un DPO externe ou désigner un en interne.
Les avantages de l’externalisation
Toutefois, il est avantageux de l’externaliser plutôt que de former un collaborateur interne en ce sens. Voici les raisons pour lesquelles cette solution constitue la meilleure alternative pour les entreprises chargées d’assurer la protection des données personnelles.
- Un expert mieux formé : les compétences d’un professionnel sur le traitement des données en externe sont plus élevées qu’un organe en interne. Il dispose en effet de connaissances approfondies appuyées par de solides expériences professionnelles dans ce domaine. Il assurera dans ce cas la protection des données à caractère personnelle dans les meilleures conditions.
- Un organe neutre : le DPO interne est moins fiable alors qu’une personne en externe dispose d’une parfaite objectivité.
- Un tarif abordable : l’externalisation des nouvelles obligations imposées par le règlement s’avère être une solution moins coûteuse pour une entreprise. Cela permettra aux salariés de l’entreprise de se concentrer sur leur mission.
Pour quelle entreprise est-il obligatoire ?
Le DPO est obligatoire pour les organismes suivants :
- Les entreprises privées traitant des données personnelles à grande échelle. Sont catégorisés dans ce type par exemple les mutuelles de santé, les groupements religieux, les organismes syndicaux ou encore le service juridique chargé des condamnations pénales.
- Les entités publiques sans exception ;
- Les entreprises devant assurer un suivi constant et à grande échelle des personnes physiques : les cookies, les ciblages marketing, les traceurs, etc.
Quelles sont les compétences exigées d’un DPO ?
Le métier de DPO exige des compétences pour assurer le suivi des traitements de données conformément à la loi informatique et liberté. Selon la directive européenne, ce professionnel devra disposer de connaissance sur le domaine juridique. Surtout sur la loi informatique et liberté et le règlement européen en général. Il devra également s’y connaître dans les gestions de risques, mais aussi à la mise en sécurité des systèmes d’information numérique. À part ces aptitudes, le DPO externe devra être sûrement une personne ayant un attrait particulier à la nouvelle technologie. Ce domaine est par ailleurs, celui où il devra prendre en charge tout au long de sa mission.