Le choix du mode de designation du DPO
La designation d’un delegue a la protection des donnees est obligatoire pour les organismes publics, les organisations dont l’activite de base implique un suivi regulier et systematique des personnes a grande echelle, et celles qui traitent des donnees sensibles a grande echelle. Pour les autres organisations, la designation reste fortement recommandee par la CNIL.
Le RGPD laisse le choix au responsable de traitement de designer un DPO interne, membre du personnel, ou un DPO externe, prestataire de services. Chaque option presente des avantages et des limites qu’il convient d’evaluer en fonction de la taille de l’organisation, de la complexite de ses traitements et de ses ressources.
Le DPO interne : proximite et connaissance de l’organisation
Le DPO interne beneficie d’une connaissance approfondie de l’organisation, de ses metiers, de ses systemes d’information et de sa culture. Cette proximite facilite l’identification des traitements de donnees, la sensibilisation des equipes et l’integration de la protection des donnees dans les projets.
Cependant, le DPO interne doit disposer de competences specifiques en matiere de protection des donnees et de securite de l’information. Sa formation initiale et continue represente un investissement pour l’organisation. Il doit egalement disposer du temps necessaire pour exercer sa mission, ce qui peut s’averer difficile lorsque la fonction de DPO s’ajoute a d’autres responsabilites.
Le principal risque du DPO interne reside dans les conflits d’interets. Le RGPD interdit au DPO d’exercer des fonctions qui l’ameneraient a determiner les finalites et les moyens du traitement. Les fonctions de directeur general, directeur financier, directeur des ressources humaines, directeur informatique ou responsable marketing sont incompatibles avec la fonction de DPO.
Le DPO externe : expertise et independance
Le DPO externe apporte une expertise specialisee et une vision transversale acquise aupres de multiples clients. Il dispose generalement d’une connaissance approfondie de la reglementation, de la jurisprudence et des bonnes pratiques du secteur. Sa position externe garantit une independance naturelle vis-a-vis de la direction.
Le DPO externe mutualise ses competences entre plusieurs organisations, ce qui permet de reduire le cout pour chacune d’entre elles. Cette formule est particulierement adaptee aux PME et aux collectivites territoriales qui ne disposent pas des ressources pour recruter un DPO a temps plein.
La limite du DPO externe reside dans sa disponibilite et sa connaissance de l’organisation. Le prestataire doit consacrer un temps suffisant a chaque client pour comprendre ses specificites et assurer un suivi effectif de la conformite. Le contrat de prestation doit definir clairement les missions, les moyens et les indicateurs de performance.
Les criteres de choix
Le choix entre DPO interne et externe depend de plusieurs facteurs : la taille de l’organisation, le volume et la sensibilite des donnees traitees, les competences disponibles en interne, le budget alloue a la conformite RGPD et la maturite de l’organisation en matiere de protection des donnees.
Quelle que soit l’option retenue, le DPO doit disposer des ressources necessaires pour exercer ses missions, acceder aux informations utiles et rendre compte directement au niveau le plus eleve de la direction. Son independance fonctionnelle doit etre garantie : il ne peut recevoir aucune instruction concernant l’exercice de ses missions et ne peut etre releve de ses fonctions en raison de l’exercice de celles-ci.
