DPO externe, délégué à la Protection des Données externe

Avantages de désigner un DPO externe

Il n’est pas toujours aisé pour une entreprise de créer un poste de DPO en interne ni même de former un employé à cette fonction. Dans la majorité des cas, il est préférable de recourir à un cabinet DPO externe pour assurer cette mission, ou parfois simplement assister le DPO désigné en interne.

Nécessité de recourir à un expert du droit et des systèmes d’information. 

Externaliser la fonction de DPO présente de nombreux avantages. Rappelons que l’entrée en vigueur du RGPD implique désormais une connaissance approfondie de la législation, des technologies disponibles et des procédures à mettre en œuvre et à maintenir. Le DPO est donc aujourd’hui hautement qualifié comme le précise l’article 37 alinéa 5 du RGPD. Il peut s’agir d’un avocat (idéalement avec une connaissance et expérience technique liées aux systèmes d’information) ou encore d’un expert en sécurité informatique. Dans tous les cas, le DPO doit justifier d’une maîtrise des exigences légales du RGPD, une certification de compétence est fortement recommandée.

Minimisation des coûts et résultats immédiats

L’intégration d’un nouvel employé représente une charge importante pour une entreprise. La procédure de recrutement, la rémunération, les charges sociales, ou encore la formation de l’employé sont autant d’éléments à prendre en compte avant d’initier une procédure de recrutement. Le DPO externe présente l’avantage de proposer une offre clé en main, sans frais cachés et facilement budgétisable. L’entreprise profite ainsi d’un retour sur investissement accéléré. 

Savoir-faire et expertise du DPO externe

Dans le domaine de la mise en conformité et de la protection des données, il est primordial de pouvoir évaluer les connaissances des candidats à un recrutement., hors ceci n’est pas aisé notamment lorsqu’il s’agit d’une création de poste DPO. Qui dispose alors en interne des connaissances et qualifications nécessaires pour évaluer le candidat? 

Flexibilité du DPO externe

En cas de recrutement regrettable le risque encouru par l’entreprise est alors accru. Combien de temps faut-il avant de s’en rendre compte? …de procéder au licenciement dans le respect des délais? … de pouvoir initier une nouvelle procédure de recrutement? Le recours à un délégué de la protection des données externe offre une grande flexibilité: démarrage immédiat, aucun engagement, scalabilité assurée en fonction de votre activité et de vos besoins, possibilité de changer de DPO à tout moment.

Vous êtes client et non employeur de votre DPO externe

Être client de votre DPO vous permet avant tout de vous concentrer sur le cœur de votre activité et d’aborder la mise en conformité avec une plus grande sérénité. Le contrat de service avec votre DPO externe vous permet de minimiser significativement votre responsabilité en tant qu’employeur, de réduire vos tâches administratives et de profiter des solutions apportées par votre DPO externe.

Renforcement du sentiment de confiance de vos clients et partenaires.

Un DPO externe est un gage de confiance pour votre organisme vis-à-vis de tous vos interlocuteurs. Vos clients ont pour obligation de s’assurer que leurs sous-traitants sont conformes aux exigences du RGPD, leur responsabilité peut-être directement engagée sur la base de vos manquements. L’article 82 du RGPD – Droit à réparation et responsabilité apporte des précisions en ce sens que nous vous invitons à lire.

Si vous n’engagez aucune démarche de mise en conformité, il est fort à parier que vos clients et prospects seront tentés tôt ou tard de se tourner vers l’un de vos concurrents conforme au RGPD. Ceci afin de minimiser leur responsabilité et renforcer leur image aux yeux de leur propre clientèle.

Soyez proactif, transformez votre obligation en un avantage compétitif, et communiquer dès à présent à vos clients et partenaires les coordonnées de votre nouveau DPO externe. Vous démontrer par là même votre volonté de placer la protection de leurs données personnelles comme l’une des priorités de votre entreprise.

    Parlons de la désignation de votre DPO externe

    Les principaux services offerts par le DPO externe

    Nous vous soutenons conformément aux recommandations de la CNIL (Commission Nationale de l’Informatique et des Libertés) et du RGPD notamment concernant:

    • Notifications
    • Autorisation
    • Transfert de données
    • Directive sur les cookies
    • Rapport annuel
    • Demandes de sujet de données
    • Formations sur mesure

    Audit du traitement des données et recommandations

    Nous évaluons votre niveau de conformité avec la réglementation actuelle en matière de protection des données telle que le GDPR. Une comparaison de votre situation par rapport aux exigences légales permet de répertorier les lacunes et de partager avec vous les recommandations qui doivent être traduites en actions selon un ordre de priorité.

    Transferts transfrontaliers de données

    Nous assistons nos clients dans la gestion souvent complexe des transferts de données personnelles pour des opérations globales. Il s’agit de transferts hors des frontières de l’Espace Économique Européen (EEE) vers des pays offrant différents niveaux de protection selon les normes de la Commission européenne, niveau adéquat (Suisse, Israël, etc.) ou vers des pays plus problématiques (comme les États-Unis). Nous explorons les possibilités légales disponibles (clauses standard, règles d’entreprise contraignantes BCR, etc.) et sélectionnons la solution la plus efficace pour valider le transfert..

    Gestion des données au sein de l’entreprise

    Nous examinons, évaluons, modifions votre traitement de données avec les départements concernés de votre entreprise. Nous vous aidons à développer et à mettre en œuvre des politiques de gestion de données personnelles conformes aux lois nationales en vigueur et aux exigences spécifiques du secteur.

    Données personnelles relatives aux employés

    Nous vous conseillons sur les droits de vos employés (vidéosurveillance, emails, réseaux sociaux), les politiques de confidentialité des données des ressources humaines, la mise en œuvre des traitements des catégories sensibles des données personnelles.

    Enquêtes de l’autorité de surveillance

    Les sanctions administratives et pénales représentent une réelle menace pour les organismes négligents avec le RGPD. Les autorités nationales de surveillance telles que la CNIL en France, procèdent régulièrement à des inspections sur site suite á un manquement qui leur a été signalé.

    Les organisations sont bien avisées d’anticiper ces enquêtes, car celles-ci conduisent souvent à révéler des manquements bien plus importants que celui pour lequel la procédure a été initiée. Nous assistons nos clients lors des enquêtes des régulateurs et les accompagnons lors d’éventuels litiges consécutifs afin d’atténuer leur responsabilité, l’atteinte à leur réputation, et d’éviter des amendes exorbitantes.

    Formations

    Nous formons des cadres à la gestion des risques liés à la protection des données personnelles, à la conformité avec le RGPD et à sa mise en œuvre. 

    Questions Réponses sur le DPO externe

    Comment designer un DPO externe?

    La désignation d’un DPO externe est tout aussi simple que la désignation d’un DPO interne. La procédure est identique face à l’autorité de contrôle, la désignation du délégué à la protection des données se fait en ligne sur le site de la CNIL (Lien vers l’interface de désignation de la CNIL) en remplissant un formulaire en 4 étapes: informations sur la société, informations sur le DPO, les coordonnées publiques et enfin un récapitulatif suivi de l’envoi.

    Comment choisir un DPO externe?

    Tout d’abord il convient de s’assurer que le DPO dispose bien des qualités requises, qu’il atteste d’une expertise juridique dans le domaine de la protection des données et du droit des contrats, de connaissance des techniques et outils disponibles en matière de sécurité des systèmes d’information. Il faut s’assurer qu’il dispose d’une assurance professionnelle en exigeant une attestation de police d’assurance couvrant notamment les risques liés précisément à l’activité de DPO d’une part et à l’activité de représentant RGPD (les deux activités étant parfaitement distinctes, et non comprise l’une dans l’autre en termes de responsabilité). Il faut s’assurer de la façon dont votre collaboration va concrètement se dérouler tout au long de la mise en conformité puis de son maintien.

    Quel est le prix du service d’un DPO externe?

    L’évaluation du coût d’un délégué à la protection des données externe requiert une attention toute particulière afin de maîtriser votre budget et par là-même la réussite du projet de mise en conformité à moyen terme. Pour cela, il est courant de recourir à des forfaits pour certaines fonctions ou tâches raisonnablement prévisibles en termes de complexité. Les forfaits peuvent être complétés par une tarification au temps passé pour les éléments de mission dont la charge de travail est difficilement prévisible. Concernant les forfaits, veillez à bien définir les services inclus sans se contenter de formules générales, il est ainsi préférable de prévoir une liste de livrables. Nous recommandons également de prévoir une limite à chaque service offert dans le cadre d’un forfait. Par exemple un service de support mensuel doit être délimité (par exemple à 5 heures), ce qui est illimité doit allumer une alerte dans votre esprit.

    Retour en haut