Expert du droit > RGPD > DPO - Externe ou interne > DPO Externe – Que dit la CNIL ?
DPO Externe : Que dit la CNIL ? Quel coût ? Différence avec le DPO interne ?
DPO externe ou DPO interne ? Voilà une question souvent posée par les entreprises.
Le Délégué à la Protection des Données (DPD) ou Data Protection Officer (DPO) joue un rôle clé dans la mise en conformité de votre entreprise à la règlementation en matière de protection des données personnelles (notamment RGPD).
Le DPO peut être désigné en interne, mais il existe une alternative qui consiste à se faire accompagner par un DPO externe. C’est une option souvent privilégiée par les entreprises, notamment les TPE et PME.
Quel est le rôle d’un DPO externe ? Quels sont les avantages d’externaliser la fonction de DPO ? Quel est le coût d’un DPO externe ? Quels sont les tarifs pratiqués ? Nous répondons à toutes ces questions dans ce guide complet.
expert reconnu pour la conformité au RGPD
Sommaire :
Quel est le rôle d’un Délégué à la Protection des Données externe (DPO externe) ?
Le DPO externe (ou DPD externe) joue exactement le même rôle que le DPO interne. Un Data Protection Officer, qu’il soit interne ou externe à l’entreprise, remplit la même fonction.
Quelle est-elle justement ? Cette fonction est récente, puisqu’elle est instituée par le règlement général sur la protection des données personnelles (RGPD), entré en vigueur en 2018. En un mot, le DPO externe est le garant de la légalité des traitements qu’effectue votre organisation sur les données à caractère personnel qu’elle a à sa disposition. Il s’assure que votre entreprise respecte toutes ses obligations et toutes les dispositions légales en matière de protection des données et de traitements.
Le saviez-vous ? Un traitement, au sens du RGPD, désigne la collecte, l’accès, le stockage, la manipulation et la modification des données. En clair, même les données que vous n’utilisez pas doivent respecter les règles du RGPD, dès lors qu’elles sont stockées dans votre système d’information.
En synthèse, le DPO externe remplit 5 missions :
- Informer les responsables de traitement (c’est-à-dire les collaborateurs dans l’entreprise qui procèdent à des traitements sur les données à caractère personnel) sur la législation et la réglementation applicables. Le DPO a un rôle de conseiller. Il sensibilise sur les enjeux réglementaires autour de la gestion des données. Il forme. Il évangélise.
- S’assurer que les traitements respectent le règlement RGPD ainsi que les autres dispositions juridiques encadrant le traitement des données personnelles. Le DPO externe alerte en cas de dysfonctionnements ou de risques identifiés.
- Accompagner l’entreprise dans la préparation et la réalisation des analyses d’impact. En effet, les traitements dits « à risque » doivent faire l’objet d’une analyse d’impact avant d’être déployés.
- Sécuriser le système d’information de l’entreprise et les données personnelles stockées en son sein. Le DPO externe accompagne l’organisation dans la mise en place des process et règles destinés à assurer une sécurité optimale des données.
- Assurer la coordination entre l’entreprise et l’autorité de contrôle (la CNIL). Le DPO externe est l’interlocuteur privilégié auprès de la CNIL. Il joue le rôle de point de contact, de médiateur.
En ouverture de collaboration, le DPD externe est généralement amené à réaliser un audit de conformité RGPD. Il procède dans ce cadre à :
- Une analyse des outils, bases et applicatifs de l’entreprise (cartographie).
- Un diagnostic des données, des process & traitements.
- Un audit technique de la sécurité des systèmes informatiques.
Le Conseiller à la Protection des Données est l’équivalent suisse du DPO, introduit par la LPD.
Choisir un DPO externe est-il obligatoire ?
La désignation d’un DPO est obligatoire pour la plupart des entreprises. Si vous lisez cet article, il y a de fortes chances que vous soyez concerné.
Plus précisément, cette obligation s’applique à :
- L’ensemble des administrations ou organismes publics, à l’exception des juridictions administratives et judiciaires.
- Les entreprises dont les activités des responsables de traitement ou des sous-traitants consistent dans des traitements de données exigeant :
- Un suivi régulier et systématique à grande échelle des personnes concernées.
- Un traitement à grande échelle de données sensibles.
Dans la pratique, la grande majorité des PME – ETI est concernée par l’obligation de désigner un DPO. Mais soulignons que le recours à un DPO est conseillé même en l’absence de caractère obligatoire dès lors que l’entreprise réalise des traitements sur des données à caractère personnel. Le DPO accompagnera votre entreprise dans le pilotage de la conformité mais aussi dans la valorisation de vos données personnelles.
Si vous entrez dans la catégorie des entreprises pour lesquelles la nomination d’un DPO est obligatoire, sachez que vous avez le choix entre :
- Former ou recruter un DPO en interne.
- Choisir un DPO externe.
En effet, l’article 37 du règlement général sur la protection des données personnelles (RGPD) dispose que le DPO « peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service ».
Nous allons voir maintenant quels sont les avantages d’avoir recours à un DPO externe. Ils sont multiples.
Pourquoi choisir un DPO externe plutôt qu’un DPO interne ?
Un grand nombre d’entreprises préfère avoir recours à un DPO externe, c’est-à-dire externaliser la fonction de DPO. Il y a en effet de nombreux avantages à opter pour cette solution.
Voici les principaux avantages de choisir un DPO externe :
- Le DPO doit être une personne neutre. Il ne doit pas être complaisant vis-à-vis de l’entreprise, de sa hiérarchie (direction et responsables des traitements). Il doit se faire le porte-voix du droit, alerter dès qu’un dysfonctionnement dans la gestion des données est identifié, être neutre dans ses recommandations. Le choix d’un DPO externe facilite par définition cette neutralité et évite le risque de conflits d’intérêt.
- Une PME, et a fortiori une TPE, n’a pas besoin d’avoir une personne exerçant la fonction de DPO à temps plein. De même que les très petites entreprises externalisent leur gestion comptable à un cabinet de comptabilité, elles ont intérêt à choisir un DPO externe. C’est une solution plus économique et plus en phase avec les besoins de la plupart des entreprises. Elle permet des économies d’échelle considérables. Dans les faits, ce sont surtout les ETI et les grands groupes qui choisissent d’internaliser la fonction de DPO.
- Les DPO externe sont des experts agréés, juristes ou avocats. Ils connaissent le droit de la protection des données personnelles et le droit d’internet sur le bout des doigts…ce qui n’est pas forcément le cas d’un collaborateur qui exercerait la fonction de DPO en parallèle de ses missions principales. Une formation expresse ne remplacera jamais une expertise reconnue.
- Un DPO externe est un expert en gestion des données personnelles. Au-delà de la gestion de la conformité, il est à même de vous délivrer des conseils pour identifier de nouveaux leviers et opportunités pour valoriser vos données personnelles. Un DPO externe sera de très bon conseil dans le cadre de votre stratégie d’optimisation de l’exploitation des données clients.
Vous cherchez un DPO externe pour votre entreprise ? On vous accompagne pour trouver le partenaire qui répondra le mieux à vos besoins : Trouver le DPO idéale facilement et rapidement
Quel est le coût d’un DPO externe ?
Le coût d’un DPO externe est négocié et déterminé dans le contrat de service qui le lie à l’entreprise cliente. Le DPO externe peut avoir la qualité d’avocat, de juriste, d’ingénieur en données. Quoi qu’il en soit, il exerce en profession libérale. Les tarifs ne sont donc pas réglementés. Cela explique la difficulté qu’il y a à donner une réponse simple à cette question du coût. Néanmoins, voici quelques précisions pour vous aider à décrypter l’offre et choisir votre DPO externe.
Les professionnels proposant des services de DPO externe proposent en général deux modèles tarifaires :
- Le forfait. Le coût total de l’accompagnement est fixé à l’avance, dès le début de collaboration.
- La facturation au temps effectif presté.
Dans le cadre d’un accompagnement destiné à s’inscrire dans la durée, c’est le modèle de la régie qui est généralement privilégié. C’est de fait le plus adéquat. Si le besoin est ponctuel (par exemple, un audit de la conformité RGPD à l’instant t), le modèle au forfait peut être envisagé.
En résumé, le coût d’un DPO externe dépend de 3 critères principaux :
- Le modèle de facturation : forfait ou au temps passé.
- Le professionnel. Le coût dépend en effet de la notoriété et de l’expertise du DPO externe.
- Les besoins de l’entreprise et les caractéristiques en matière de traitements de données à caractère personnel. Les offres proposées par les DPO externes s’adaptent aux types d’organisations : PME, TEP, startup, association, collectivités publiques…
Pour vous donner malgré tout une fourchette tarifaire (qui, nécessairement, sera large), le coût d’un DPO externe varie entre quelques milliers d’euros par an à plusieurs dizaines de milliers d’euros par an.
Les modalités de la prestation de service peuvent varier, mais un DPO externe pourrait présent à temps partiel dans les locaux de l’entreprise.
Pour aller plus loin, découvrez nos autres guides consacrées au DPO :
Comment trouvez le DPO externe idéal pour votre entreprise ?
Remplissez notre formulaire afin de bénéficier gratuitement d’un accompagnement, avec un juriste expert en conformité, pour trouver le DPO externe qui répondra le mieux à vos besoins.
Comment pouvons-nous vous aider ?
FAQ : DPO Externe
Un DPO externe est un Délégué à la Protection des Données qui est engagé par une entreprise ou une organisation de manière externe. Il est chargé de veiller à la conformité avec le RGPD et d’assurer la protection des données personnelles des individus.
Selon le RGPD, la désignation d’un DPO est obligatoire pour certaines organisations, notamment celles qui effectuent un traitement régulier et systématique de données à grande échelle, ou celles qui traitent des données sensibles à grande échelle. Cependant, il est recommandé d’avoir un DPO même si ce n’est pas obligatoire, car cela démontre l’engagement envers la protection des données personnelles.
Les missions d’un DPO comprennent la surveillance de la conformité avec le RGPD, la sensibilisation et la formation des employés à la protection des données, la gestion des demandes des personnes concernées et des autorités de contrôle, la réalisation d’audits internes, la tenue d’un registre des activités de traitement des données, et la gestion des incidents de sécurité des données.
Lorsque l’entreprise n’a pas l’obligation légale de désigner un DPO, il n’est pas nécessaire de le déclarer à la CNIL. Cette absence d’obligation de déclaration présente un avantage important : la simplification des formalités administratives.
En effet, en ne déclarant pas le DPO externe à la CNIL, l’entreprise évite une étape supplémentaire dans le processus de conformité au RGPD. Cela permet de gagner du temps et d’alléger la charge administrative, tout en respectant les dispositions légales.
Si l’entreprise n’est pas légalement tenue de désigner un DPO, elle peut bénéficier de la simplicité des formalités administratives en évitant la déclaration du DPO externe à la CNIL. Cela permet de se concentrer sur d’autres aspects de la conformité au RGPD tout en respectant les exigences légales en matière de protection des données