Comment choisir un « vrai » DPO externe ?
Le RGPD donne des missions relativement étendues au Data Protection Officier (DPO) faisant de lui l’un des acteurs clé de la mise en conformité des organismes avec la nouvelle règlementation. Le salarié ou le prestataire externe qui sera amené à remplir cette fonction devra donc être soigneusement choisi. Il convient d’autant plus de faire encore plus attention si l’on opte pour un DPO externe vu le nombre important de prestataires se disant « experts RGPD » qui pullulent sur le marché. Pour vous aider, DPMS apporte des réponses à la question : comment choisir un « vrai »DPO externe ?
Devez-vous désigner un DPO ?
Avant de s’intéresser aux différents points à prendre en considération dans la désignation d’un DPO externe, il faudrait d’abord identifier si vous êtes obligé de désigner un DPO ou non. Tout d’abord, il faut rappeler que le DPO est obligatoire pour le secteur public et le domaine de la santé. L’une des raisons principales est que les organismes appartenant à ces secteurs sont souvent amenés à manipuler des « données sensibles ».
Ensuite, même si la désignation d’un DPO n’est pas obligatoire, il est fortement recommandé pour les organismes appartenant à des secteurs d’activités comme le webmarketing, les prestataires informatiques et plus généralement les organismes manipulant les données de résidents européens.
Enfin, si l’on s’en tient au RGPD, les organismes qui répondent aux 3 critères suivants doivent nommer un DPO :
- Activité se basant essentiellement sur le traitement de données personnelles : profilage, segmentation comportementale… ;
- Traitement de surveillance à grande échelle (nombre des personnes concernées) ;
Identifier le bon DPO
Tout le monde ne peut pas prétendre au poste de DPO. Un futur DPO doit posséder certaines compétences, travailler en toute indépendance et utiliser les meilleurs outils.
Les compétences et les qualités d’un DPO
Un DPO doit avant tout posséder les qualités et les compétences pour mener à bien ses missions. Voici certaines des plus importantes d’entre elles :
- Une bonne connaissance juridique et technique de la nouvelle règlementation sur la protection des données personnelles ;
- Une bonne connaissance de l’organisme qui l’emploie ou qui a recours à ses services : le secteur d’activité, l’organisation interne surtout les éléments en rapport avec les opérations de traitements, les systèmes d’information et les besoins en matière de protection des données.
Si vous optez pour les services d’un DPO externe, vérifiez qu’il possède la certification de compétence Bureau Veritas Certification par exemple. Cette certification constitue une garantie fiable de la compétence du prestataire.
Vous pouvez également vérifier la fiabilité de ses mentions légales sur son site internet ou encore lui demander pourquoi il n’était pas expert ‘informatique et libertés’ !
Le DPO doit être indépendant
Le problème d’indépendance ne se pose généralement pas lorsqu’on opte pour les services d’un DPO externe. Ce dernier n’ayant pas par nature de lien direct avec l’organisme qui a recours à ces services. Les risques d’existence de conflit d’intérêts sont donc relativement bas. Pour rappel, que ce soit pour le cas d’un DPO interne ou d’un DPO externe, un DPO ne doit pas recevoir d’instruction dans le cadre de l’exercice de ses fonctions.
Le conflit d’intérêt peut en revanche être une vraie question. Le DSI ne peut être selon la CNIL, le DPO en interne…mais alors quid de ces SSII qui propose maintenant le service de DPO ?
Ils doivent sécuriser votre SI et en même temps être celui qui supervise la conformité …difficilement compatible !
Le bon DPO travaille avec les bons outils
Pour choisir un bon DPO externe, veillez également à ce que ce dernier dispose des moyens nécessaires pour mener à bien ses missions.
- Des moyens matériels : un logiciel de gouvernance permettant de tenir le registre des traitements, suivre les droits des personnes concernées, réaliser des études d’impact, notifier les violations de données … ;
- Des moyens humains : des experts dans divers domaines (juridique, informatique…) ;
L’intérêt de l’externalisation est de laisser à un prestataire externe le soin d’accomplir ce que l’entreprise est dans l’impossibilité de faire faute de compétence, faute de temps et faute de moyens. Quel est l’intérêt de recourir au service d’un prestataire externe incapable de soulager l’entreprise d’un poids ?
Avec ces informations, vous ne devriez plus avoir de grands problèmes à choisir un DPO externe. Pour rappel, la désignation d’un DPO se fait en remplissant un formulaire disponible sur le site de la CNIL.