Faire appel à un DPO externalisé

En vertu du règlement général de l’UE sur la protection des données, entré en vigueur le 25 mai 2018, certaines organisations sont tenues de nommer un délégué à la protection des données. Une organisation est tenue de désigner un délégué à la protection des données lorsqu’il s’agit d’une autorité ou d’un organisme public ou si ses activités principales consistent à réaliser des opérations de traitement de données nécessitant un suivi régulier et systématique des personnes concernées à grande échelle ou un traitement à grande échelle de catégories particulières de données à caractère personnel (données sensibles) ou de données à caractère personnel relatives à des condamnations pénales et à des infractions. Pour gérer tout cela, le recours à un DPO externalisé peut être une excellente alternative.

Tâches des DPO

Le RGPD est explicite sur les tâches que les DPO doivent accomplir. Ils doivent:

  • Informer et conseiller l’organisation et ses employés sur leurs obligations en matière de protection des données en vertu du RGPD;
  • Contrôler la conformité de l’organisation avec le RGPD et les politiques et procédures internes de protection des données. Cela comprendra le suivi de l’attribution des responsabilités, la formation à la sensibilisation et la formation du personnel impliqué dans les opérations de traitement et les audits connexes;
  • Donner des conseils sur la nécessité d’évaluation des incidences sur la protection des données, leur mode de mise en œuvre et les résultats;
  • Servir de point de contact avec les autorités de protection des données pour tous les problèmes de protection des données, y compris le signalement des violations de données;
  • Servir de point de contact pour les individus (personnes concernées) sur les questions de confidentialité, y compris les demandes d’accès des sujets.

Toutes les organisations sont tenues d’enregistrer leur DPO auprès de leur autorité de contrôle.

Avantages d’un DPO externalisé

De nombreuses organisations, en particulier les plus petites entreprises, peuvent trouver que les responsabilités du délégué à la protection des données représentent un défi, compte tenu de l’étendue des connaissances requises pour le traitement et la sécurité des données. Le RGPD permet aux organisations d’externaliser le rôle du DPO à un prestataire externe.

Le DPO externalisé vous permet de bénéficier des conseils d’experts qui vous aideront à répondre aux exigences de conformité du RGPD tout en restant concentré sur vos activités. Les avantages de l’externalisation de ce rôle incluent:

  • Une solution pratique et rentable pour atteindre la conformité RGPD;
  • L’accès à l’expertise indépendante des DPO n’est pas disponible en interne;
  • Pas de conflit d’intérêts entre le DPO et d’autres activités commerciales;
  • Application des meilleures pratiques pour atteindre et maintenir la conformité au RGPD;
  • Rentabilité par rapport à une nomination interne;
  • Accès aux solutions de formation et de conformité RGPD.

Le prestataire de services peut-il agir en toute indépendance dans l’exercice de ses fonctions de DPO?

Selon les lignes directrices des articles 38 (3) et 29 du RGPD relatives aux DPO, ces derniers doivent s’acquitter de leurs tâches de manière indépendante. En d’autres termes, le DPO ne doit pas être contraint sur la manière de traiter une affaire et ne doit pas être sollicité à prendre une certaine position en rapport avec un problème de confidentialité des données. Toutefois, pour de nombreux fournisseurs tiers, cela peut constituer un problème potentiel, en particulier si le fournisseur de services entretient une relation particulière avec l’entité en question. C’est pour cette raison qu’il est conseillé d’opter pour un DPO externalisé. Cela peut être confié à un avocat ou une agence spécialisée dans la mise en conformité RGPD comme dpo-consulting.fr