DPO interne – Avantages et inconvénients de choisir un Data Protection Officer interne
Le Data Protection Officer (ou DPO) est un métier apparu avec le RGPD. Le DPO est le garant de la conformité de l’entreprise en matière de gestion des données prospects, utilisateurs et clients. La fonction de DPO peut être internalisée ou externalisée. Les entreprises ont donc le choix entre un DPO interne ou un DPO externe.
Dans cette page, nous allons revenir en détail sur l’option consistant à choisir un DPO interne. Nous verrons dans quels cas il peut faire sens de désigner un DPO interne et dans quels cas le choix d’un DPO externe est plus judicieux.
Découvrez notre guide complet sur le Data Protection Officer.
Sommaire :
Vous envisagez de choisir un DPO interne ?
Avant le RGPD, les organisations avaient recours à des Correspondants Informatique et Libertés (CIL). Cette fonction était définie et encadrée par la loi Informatique et Libertés. D’après celle-ci, seules les organisations de moins de 50 salariés avaient la possibilité de désigner un CIL externe. Toutes les autres devaient internaliser cette fonction et recruter un CIL interne.
Avec le RGPD, les choses ont évolué. La fonction de CIL a été remplacée par celle de Data Protection Officer, ou DPO. On utilise parfois, mais plus rarement, le nom francisé Délégué à la Protection des Données, ou DPD.
A la différence de ce que prévoyait l’ancienne loi Informatique et Libertés, il n’y a maintenant plus aucune obligation de désigner un DPO interne. Une organisation, une entreprise, quelle que soit sa taille ou son activité a le choix entre deux options :
- Choisir un DPO interne.
- Choisir un DPO externe.
Le RGPD précise en effet dans son article 37, alinéa 6, que : « Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service. »
Nous allons dans ce guide complet aborder la première option : vous souhaitez internaliser la fonction de DPO, former un DPO interne ou bien recruter un DPO.
Un DPO interne est un membre du personnel de l’organisation. C’est un salarié dédié au projet de mise en conformité au RGPD. Par opposition donc avec le DPO externe, qui est un « prestataire » qui exerce ses missions de DPO sur la base d’un contrat de service.
Nous allons mettre l’accent sur ce qu’implique le choix d’un DPO interne, sur ses avantages mais aussi ses inconvénients. Mais avant, un petit rappel s’impose sur l’obligation de désigner un DPO.
Désigner un DPO (interne ou externe) est-il obligatoire ?
Le DPO est la personne chargée de veiller au respect du RGPD dans l’organisation. Vous trouverez sur notre site plusieurs pages présentant en détail la fonction et les missions du DPO. Inutile de nous appesantir sur cette question. A priori, si vous découvrez cette page, au stade où vous en êtes, vous savez déjà quel est le rôle d’un Data Protection Officer.
La question que vous vous posez peut-être toujours est de savoir si le DPO est obligatoire ou non. La réponse est que cela dépend de plusieurs paramètres et surtout, vous vous en doutez, de l’importance que revêt pour votre activité le traitement de données personnelles.
Nous détaillons dans nos autres guides les cas où la désignation d’un DPO est obligatoire. Mais ce n’est pas parce que la désignation d’un Data Protection Officer n’est pas obligatoire qu’elle n’est pas nécessaire. Ce sont en réalité deux choses différentes. Dans bien des cas, recourir aux services d’un DPO est incontournable même si la loi ne vous y oblige pas. Si vous lisez cette page, c’est très probablement que vous avez besoin d’un DPO. La question est donc celle de choisir le type de DPO qui convient le mieux à votre organisation, à ses caractéristiques, à vos contraintes budgétaires. Voyons quels sont les avantages et inconvénients de désigner un DPO interne.
Quels sont les avantages de choisir un DPO interne (plutôt qu’un DPO externe) ?
Choisir un DPO interne, c’est attribuer la fonction de DPO à un salarié de votre entreprise. L’avantage principal, c’est que cette personne, par définition, a une bonne connaissance de l’environnement de l’entreprise, de son organisation, de ses process métiers. Le DPO interne est immergé dans l’entreprise. Inutile de préciser que ce premier avantage concerne uniquement le cas où vous confiez le rôle de DPO à un salarié déjà en poste depuis plusieurs mois ou années.
Le DPO interne connaît les collaborateurs qui font vivre au quotidien l’entreprise et qui ont à traiter des données personnelles. Un DPO interne est en interaction quotidienne avec les responsables des traitements. Il côtoie les différents services, qui lui partagent tous les projets ayant une dimension data à anticiper.
Le fait que le DPO soit intégré à l’organisation permet en général une meilleure réactivité dans les échanges et une capacité d’intervenir plus rapidement en cas d’urgence.
Un dernier avantage concerne les entreprises de taille importante et dont le traitement de données (a fortiori de données sensibles) est au cœur de leur activité. Vous aurez alors peut-être besoin d’une personne à temps plein dédiée à la réalisation des missions de DPO. Dans ce cas de figure, confier la fonction de DPO à un salarié ou recruter un DPO interne peut s’avérer une solution plus économique que de déléguer la fonction à un partenaire externe.
Quels sont les inconvénients ou les limites d’un DPO interne ?
Choisir un DPO interne n’a pas que des avantages. Dans certains cas, le recours à un DPO externe est plus judicieux.
Quels sont justement ces inconvénients ? Le premier inconvénient est qu’il existe rarement dans l’organisation un salarié réunissant les compétences de DPO. Il faut alors prévoir un temps de formation qui peut être long. Dans ce cas, nous conseillons vivement à votre entreprise d’offrir à votre collaborateur une formation certifiante. Nous vous invitons à découvrir le guide complet que nous avons rédigé à propos des organismes de certification DPO agréés par la CNIL.
Toutefois, ce n’est pas une formation de quelques jours qui suffira à rendre votre collaborateur opérationnel dans sa nouvelle fonction de DPO. Un DPO doit au départ disposer de solides compétences à la fois organisationnelles, techniques et juridique.
Le deuxième inconvénient, qui n’est pas sans lien avec le premier, est la question du coût. Si vous envisagez un nouveau recrutement pour le poste de DPO, vous devez proposer un salaire à la hauteur de ce métier expert. Au final, une PME a rarement intérêt à recruter un DPO interne. Un DPO externe, quant à lui, ne facture que son temps passé et travaille en général plus vite : il capitalise sur les missions qu’il réalise auprès d’autres entreprises. Si son taux horaire est globalement plus élevé que celui d’un DPO interne, le coût total d’un DPO externe s’avère finalement plus faible.
La troisième limite de cette option « DPO interne » touche aux conflits d’intérêt. L’une des principales qualités d’un DPO est sa neutralité, son impartialité. Cette impartialité a pour condition de possibilité une certaine indépendance dans l’exercice des missions. Un DPO interne n’est par définition pas indépendant. Il est juge et partie.
Le quatrième inconvénient est le manque de recul que peut avoir un DPO interne. Le DPO interne a l’inconvénient de ses avantages. Il connaît de très près l’entreprise, mais cette proximité rend parfois difficile cette prise de recul nécessaire à la réalisation de ses missions. A l’inverse, un DPO externe porte un regard neuf sur l’organisation et aura plus de facilités à soulever des questions structurantes et sensibles. Il peut être plus délicat pour un DPO interne d’exposer à sa hiérarchie les problèmes de non-conformité observés. Il y a des enjeux de nature « politique » à prévoir si vous choisissez un DPO interne. Le salarié exerçant la fonction de DPO devra être assuré de pouvoir effectuer ses missions de manière indépendante.
Quelle solution choisir : DPO interne ou DPO externe ?
Choisir d’internaliser la fonction de DPO a des avantages et des inconvénients comme nous l’avons vu. Grosso modo, il est plus intéressant de choisir un DPO externe lorsque l’on est une PME (voire une ETI dans certains cas). Internaliser la fonction de DPO est surtout intéressant quand on est un grand groupe. Dans ce cas, créer un poste à temps plein ou à temps partiel dédié aux missions de DPO peut faire sens.
Si vous préférez choisir un DPO interne, voici deux conseils :
- Assurez à votre collaborateur la formation nécessaire en début de prise de poste mais aussi tout au long de sa carrière – le cadre juridique et jurisprudentiel, mais aussi technologique, étant en évolution constante. La certification DPO, si elle n’est pas obligatoire, est fortement conseillée. Il existe plusieurs organismes de certification DPO agréés par la CNIL. Mon Expert du Droit vous les présente dans la page dédiée.
- Si vous êtes une PME, envisagez un poste de DPO interne à temps partiel (en CDI) plutôt qu’un temps complet, à moins de confier les fonctions de DPO à un salarié qui remplit par ailleurs d’autres missions. Une PME a rarement besoin d’une personne dédiée à 100% aux missions de DPO.
Pour aller plus loin, découvrez nos autres guides consacrées au DPO :
Comment pouvons-nous vous aider ?
FAQ : Divorce, droit de la famille
Cette procédure peut conduire à des condamnations sous astreinte et des amendes allant jusqu’à 20 000 000 € ou 4% du chiffre d’affaires annuel, avec le montant le plus élevé retenu. En outre, la CNIL peut décider de rendre la décision publique ce qui peut être dévastateur.
Cette procédure réservée aux cas peu complexes, mais qui peut être prononcée par un seul membre de la CNIL désigné à cet effet, peut amener à des sanctions de mise en conformité sous astreinte et une amende maximale de 20 000 €
