Pourquoi changer de DPO externe
Plusieurs raisons peuvent conduire un organisme a envisager un changement de DPO externe. L’insatisfaction quant a la qualite des prestations, le manque de disponibilite ou de reactivite du prestataire figurent parmi les motifs les plus frequents.
Un changement de contexte peut egalement justifier cette decision. La croissance de l’organisme, l’evolution de son secteur d’activite ou le lancement de nouveaux traitements de donnees peuvent necessiter des competences que le DPO actuel ne possede pas.
La perte de confiance constitue un motif serieux. Si le DPO externe ne respecte pas ses obligations de confidentialite, ne maintient pas ses competences a jour ou presente un conflit d’interets, le changement devient necessaire.
Decouvrir DPO France
Les etapes pour changer de DPO externe
Etape 1 : Evaluer la situation actuelle
Avant toute demarche, l’organisme doit dresser un bilan complet de la mission du DPO sortant. Ce bilan porte sur l’etat de conformite RGPD, les actions realisees, les dossiers en cours et les points de vigilance identifies.
Cette evaluation permet de definir precisement les attentes pour le nouveau prestataire et d’identifier les axes d’amelioration souhaites.
Etape 2 : Verifier les conditions contractuelles
Le contrat en cours avec le DPO sortant doit etre examine attentivement. Les conditions de resiliation, le preavis contractuel, les modalites de restitution des documents et les clauses de non-concurrence eventuelles doivent etre identifies.
Le respect du preavis contractuel est essentiel pour eviter tout litige. La resiliation doit etre formalisee par ecrit, de preference par courrier recommande avec accuse de reception.
Etape 3 : Selectionner le nouveau DPO externe
La selection du nouveau prestataire suit un processus structure. L’organisme definit un cahier des charges precisant ses besoins, son secteur d’activite, le volume de traitements et les competences attendues.
Plusieurs criteres guident le choix : la certification DPO, l’experience dans le secteur concerne, la methodologie proposee, les references clients et la capacite a assurer une transition rapide.
La comparaison de plusieurs prestataires permet de faire un choix eclaire. Des entretiens approfondis avec les candidats retenus permettent de verifier l’adequation entre les besoins et les competences proposees.
Etape 4 : Organiser la passation
La passation entre le DPO sortant et le DPO entrant constitue l’etape la plus delicate. Elle doit etre planifiee sur une periode suffisante, generalement quatre a six semaines, pour garantir la continuite de la conformite.
Le DPO sortant transmet l’ensemble de la documentation : registre des traitements, analyses d’impact, procedures internes, historique des violations de donnees, correspondances avec la CNIL et rapports d’activite.
Un temps de recouvrement entre les deux prestataires est recommande. Cette periode permet au nouveau DPO de prendre connaissance de l’environnement et de poser des questions au DPO sortant.
Etape 5 : Notifier la CNIL
Le changement de DPO doit etre notifie a la CNIL. L’organisme procede a la modification de la designation sur le site de la CNIL via le teleservice dedie. La nouvelle designation prend effet a la date indiquee dans le formulaire.
Cette notification doit intervenir des la prise de fonction effective du nouveau DPO. Tout retard dans cette demarche expose l’organisme a un risque de non-conformite.
Les documents a transmettre lors de la transition
La liste des documents a transmettre comprend plusieurs categories essentielles. Le registre des traitements constitue le document central, accompagne de toutes les fiches de traitement detaillees.
Les analyses d’impact sur la protection des donnees realisees doivent etre transmises dans leur integralite, ainsi que les plans d’action associes et leur etat d’avancement.
Les procedures internes relatives a la protection des donnees sont egalement concernees : procedure de gestion des demandes d’exercice de droits, procedure de notification des violations, politique de confidentialite et mentions d’information.
L’historique des incidents, des demandes de droits traitees et des controles effectues complete cette documentation. Les rapports d’activite du DPO sortant fournissent une vision globale de la conformite.
Les pieges a eviter lors du changement
Le premier piege est de negliger la periode de transition. Un changement brutal, sans passation organisee, cree une rupture dans la conformite. Les dossiers en cours risquent de tomber dans l’oubli et les delais reglementaires de ne pas etre respectes.
Le deuxieme piege consiste a ne pas formaliser la restitution des documents. Sans inventaire precis et accuse de reception, des documents essentiels peuvent etre perdus. Un protocole de transfert ecrit protege les deux parties.
Le troisieme piege est d’oublier la mise a jour des referents internes. Les collaborateurs doivent etre informes du changement de DPO et connaitre les nouvelles coordonnees de contact. Une communication interne claire evite toute confusion.
Enfin, ne pas verifier la destruction des donnees par le DPO sortant represente un risque. Le contrat doit prevoir les modalites de restitution et de destruction des copies de documents contenant des donnees personnelles.
Combien de temps prend un changement de DPO externe
Le delai total d’un changement de DPO externe varie entre deux et quatre mois. La phase de selection du nouveau prestataire prend generalement quatre a six semaines. La periode de passation necessite quatre a six semaines supplementaires.
Ce delai peut etre reduit si l’organisme a anticipe sa demarche et si le DPO sortant coopere activement a la transition. A l’inverse, un contexte conflictuel ou une documentation incomplete peuvent allonger significativement le processus.
La planification en amont est la cle d’une transition reussie. L’ideal est de commencer la recherche d’un nouveau prestataire avant meme de notifier la resiliation au DPO sortant.
Decouvrir DPO Suite
Decouvrir Focus RGPD
Article redige par Laurent de Cavel, DPO certifie et fondateur de DPO Partage. Accompagnement RGPD sur mesure pour toutes les structures.
