DPO INTERNE VS DPO EXTERNE : COMMENT FAIRE LE BON CHOIX ?

Nous avons étudié la question pour vous, et nous en parlerons maintenant ! La rédaction d’un nouvel article pour vous éclairer sur un nouveau sujet… Notre but est de vous faciliter la vie…

Avant que de vous dire qui choisir, faisons ensemble une toute petite genèse sur le DPO, c’est souvent salutaire !

Le DPO Quézako ?

Consacré par le RGPD en date du 25 mai 2018. Le DPD ou communément appelé DPO (Data Protection Officer) est au sens de la CNIL le « Chef d’Orchestre ». Car il a la charge de la protection des données à caractères personnel auprès des établissements publics ou privés qu’importe la taille. Le RGPD ne manque pas toutefois d’apporter des précisions sur les règles affectées à sa désignation, ses fonctions mais aussi les missions et certifications qui s’y attachent.

Un rôle qui perdure

Il est vrai que cette fonction n’est pas nouvelle, car déjà avant le RGPD elle existait sous une autres forme. En effet, la nomination d’une personne à charge de la gestion effective des données personnelles faisait déjà partie de la culture d’entreprise, toutefois cela restait non contraignent à la limite marginal sous l’ancienne loi de 1978, il s’agissait du Correspondant Informatique et Liberté.

Obligatoire ou non Obligatoire ? On vous répond !

Aujourd’hui encore avec le RGPD la donne ne change pas. La désignation d’un DPO n’est pas une obligation du moins pas pour tous les responsables de traitement dans son article 37-7 dans lequel il énumère trois (3) cas dans lequel la désignation du DPO est obligatoire.

La fonction de DPO peut être exercée par toutes personnes répondant au critère de désignation en externe ou en interne. Il convient toutefois de dire que le métier de DPO Externe à aujourd’hui une portée conséquente et qui ne cesse de croitre avec le temps.

Il a la charge de :

  • Informer et conseiller les établissements ou organismes à charge,
  • Contrôler la conformité
  • Être l’interface entre les organismes, CNIL et les personnes concernées.

Il se trouve que les DPO, qu’ils soient externes ou internes ont les mêmes obligations et fournissent les mêmes services.

Vous vous demandez certainement sur la base de quoi vous devez choisir !?

TOUT DEPEND DE VOUS !

Toutefois ce dernier doit idéalement être qualifié !

Les compétences requises pour Devenir Le DPO

  • Avoir des connaissances aussi bien juridique que technique
  • Posséder une certification de compétences
  • Il doit être digne de confiance et de fiabilité
  • Il doit travailler avec de bon outils. Qui garantissent ainsi un travail dans les règles de l’art et dans les exigence du RGPD
  • Le DPO doit être indépendant !

L’indépendance du DPO !

Une chose entrainant une autre, le principe d’indépendance nous emmène à parler du conflit d’intérêt, je m’explique !

Selon la loi N° 2013-907 du 11 octobre 2013 on entend par conflit d’intérêt, « Toute situation d’interférence entre intérêt public et les intérêt publics ou privés qui est de nature à influencer ou à paraître influencer l’exercice indépendant, impartial et objectif d’une fonction »[1] c’est dans le même ce sens, que la CNIL exige qu’un DPO soit dépourvu de tout conflit d’intérêt avec les autres missions exercées dans l’organisme surtout lorsqu’elle est à temps partiel.

En effet, le DPO ne peut être juge et partie.

De ce fait, bien que l’article 38-6 du RGPD stipule qu’un DPO peut exercer d’autres missions en interne, nous nous interrogeons tout de même sur sa légitimité concrète, lorsqu’on sait d’une part qu’entre un employeur et son employé il existe un lien de subordination. Autrement dit l’employé est sous les ordres et les directives de son employeur qui a également le droit de sanction face aux manquements de celui-ci.

Et d’autres parts, être DPO exige une autonomie dans l’exercice de ses fonctions comme mentionné à l’article 38-3 mais aussi dans le considérant 97 du RGPD. Selon les textes c’est envisageable et même faisable d’être DPO interne et exclus de tous conflits d’intérêt, mais dans la pratique est-ce également le cas ?

Est-ce facilement exécutable de payer son employé qui finalement du fait des missions dont il a la charge se prévaut de toute autonomie et de tout droits sur ses missions ?

Finalement au risque d’être dans l’illégitimité, ne serait-ce pas plus judicieux et objectif d’entamer la mises en conformité en optant pour un DPO externalisé ?

Surtout, lorsqu’on sait que le manquement à cette obligation est passible de sanction, en guise d’exemple je suis tombé sur celle de l’autorité belge qui a décidé quant au fond 18/2020 du 28 avril 2020 dossier AH-2019-0013 de sanctionner d’une amande de 50.000 euros une entité du fait du non-respect de l’obligation pour un DPO d’être exempte de tous conflits d’intérêt


ACE Concept vous met en conformité

Certaines de nos formations, sont depuis peu éligibles au CPF.

C’est sur la base de tous ces principes, contraintes et autres attachés à la fonction de DPO que Marine GERVASONI votre DPO Externe trace son chemin avec ACE Concept pour vous accompagner dans votre conformité.

Alors n’hésitez plus et faite le choix d’une conformité en toute confiance et simplicité !

contact@ace-concept.fr / 06 52 66 52 89