DPO Externe : Que dit la CNIL ? Quel coût ? Différence avec le DPO interne ?

Quel est le rôle d’un Délégué à la Protection des Données externe (DPO externe) ?

Le DPO externe (ou DPD externe) joue exactement le même rôle que le DPO interne. Un Data Protection Officer, qu’il soit interne ou externe à l’entreprise, remplit la même fonction.

Quelle est-elle justement ? Cette fonction est récente, puisqu’elle est instituée par le règlement général sur la protection des données personnelles (RGPD), entré en vigueur en 2018. En un mot, le DPO externe est le garant de la légalité des traitements qu’effectue votre organisation sur les données à caractère personnel qu’elle a à sa disposition. Il s’assure que votre entreprise respecte toutes ses obligations et toutes les dispositions légales en matière de protection des données et de traitements.

En synthèse, le DPO externe remplit 5 missions :

• Informer les responsables de traitement (c’est-à-dire les collaborateurs dans l’entreprise qui procèdent à des traitements sur les données à caractère personnel) sur la législation et la réglementation applicables. Le DPO a un rôle de conseiller. Il sensibilise sur les enjeux réglementaires autour de la gestion des données. Il forme. Il évangélise.
• S’assurer que les traitements respectent le règlement RGPD ainsi que les autres dispositions juridiques encadrant le traitement des données personnelles. Le DPO externe alerte en cas de dysfonctionnements ou de risques identifiés.
• Accompagner l’entreprise dans la préparation et la réalisation des analyses d’impact. En effet, les traitements dits « à risque » doivent faire l’objet d’une analyse d’impact avant d’être déployés.
• Sécuriser le système d’information de l’entreprise et les données personnelles stockées en son sein. Le DPO externe accompagne l’organisation dans la mise en place des process et règles destinés à assurer une sécurité optimale des données.
• Assurer la coordination entre l’entreprise et l’autorité de contrôle (la CNIL). Le DPO externe est l’interlocuteur privilégié auprès de la CNIL. Il joue le rôle de point de contact, de médiateur.

En ouverture de collaboration, le DPD externe est généralement amené à réaliser un audit de conformité RGPD. Il procède dans ce cadre à :

• Une analyse des outils, bases et applicatifs de l’entreprise (cartographie).
• Un diagnostic des données, des process & traitements.
• Un audit technique de la sécurité des systèmes informatiques.

Choisir un DPO externe est-il obligatoire ?

La désignation d’un DPO est obligatoire pour la plupart des entreprises. Si vous lisez cet article, il y a de fortes chances que vous soyez concerné.

Plus précisément, cette obligation s’applique à :

• L’ensemble des administrations ou organismes publics, à l’exception des juridictions administratives et judiciaires.
• Les entreprises dont les activités des responsables de traitement ou des sous-traitants consistent dans des traitements de données exigeant :
  • Un suivi régulier et systématique à grande échelle des personnes concernées.
  • Un traitement à grande échelle de données sensibles.

Dans la pratique, la grande majorité des PME – ETI est concernée par l’obligation de désigner un DPO. Mais soulignons que le recours à un DPO est conseillé même en l’absence de caractère obligatoire dès lors que l’entreprise réalise des traitements sur des données à caractère personnel. Le DPO accompagnera votre entreprise dans le pilotage de la conformité mais aussi dans la valorisation de vos données personnelles.

Si vous entrez dans la catégorie des entreprises pour lesquelles la nomination d’un DPO est obligatoire, sachez que vous avez le choix entre :

• Former ou recruter un DPO en interne.
• Choisir un DPO externe.

En effet, l’article 37 du règlement général sur la protection des données personnelles (RGPD) dispose que le DPO « peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service ».

Nous allons voir maintenant quels sont les avantages d’avoir recours à un DPO externe. Ils sont multiples.

Pourquoi choisir un DPO externe plutôt qu’un DPO interne ?

Un grand nombre d’entreprises préfère avoir recours à un DPO externe, c’est-à-dire externaliser la fonction de DPO. Il y a en effet de nombreux avantages à opter pour cette solution.

Voici les principaux avantages de choisir un DPO externe :

• Le DPO doit être une personne neutre. Il ne doit pas être complaisant vis-à-vis de l’entreprise, de sa hiérarchie (direction et responsables des traitements). Il doit se faire le porte-voix du droit, alerter dès qu’un dysfonctionnement dans la gestion des données est identifié, être neutre dans ses recommandations. Le choix d’un DPO externe facilite par définition cette neutralité et évite le risque de conflits d’intérêt.
• Une PME, et a fortiori une TPE, n’a pas besoin d’avoir une personne exerçant la fonction de DPO à temps plein. De même que les très petites entreprises externalisent leur gestion comptable à un cabinet de comptabilité, elles ont intérêt à choisir un DPO externe. C’est une solution plus économique et plus en phase avec les besoins de la plupart des entreprises. Elle permet des économies d’échelle considérables. Dans les faits, ce sont surtout les ETI et les grands groupes qui choisissent d’internaliser la fonction de DPO.
• Les DPO externe sont des experts agréés, juristes ou avocats. Ils connaissent le droit de la protection des données personnelles et le droit d’internet sur le bout des doigts…ce qui n’est pas forcément le cas d’un collaborateur qui exercerait la fonction de DPO en parallèle de ses missions principales. Une formation expresse ne remplacera jamais une expertise reconnue.
• Un DPO externe est un expert en gestion des données personnelles. Au-delà de la gestion de la conformité, il est à même de vous délivrer des conseils pour identifier de nouveaux leviers et opportunités pour valoriser vos données personnelles. Un DPO externe sera de très bon conseil dans le cadre de votre stratégie d’optimisation de l’exploitation des données clients.

Vous cherchez un DPO externe pour votre entreprise ? On vous accompagne pour trouver le partenaire qui répondra le mieux à vos besoins : Trouver le DPO idéale facilement et rapidement

Quel est le coût d’un DPO externe ?

Le coût d’un DPO externe est négocié et déterminé dans le contrat de service qui le lie à l’entreprise cliente. Le DPO externe peut avoir la qualité d’avocat, de juriste, d’ingénieur en données. Quoi qu’il en soit, il exerce en profession libérale. Les tarifs ne sont donc pas réglementés. Cela explique la difficulté qu’il y a à donner une réponse simple à cette question du coût. Néanmoins, voici quelques précisions pour vous aider à décrypter l’offre et choisir votre DPO externe.

Les professionnels proposant des services de DPO externe proposent en général deux modèles tarifaires :

• Le forfait. Le coût total de l’accompagnement est fixé à l’avance, dès le début de collaboration.
• La facturation au temps effectif presté.

Dans le cadre d’un accompagnement destiné à s’inscrire dans la durée, c’est le modèle de la régie qui est généralement privilégié. C’est de fait le plus adéquat. Si le besoin est ponctuel (par exemple, un audit de la conformité RGPD à l’instant t), le modèle au forfait peut être envisagé.

En résumé, le coût d’un DPO externe dépend de 3 critères principaux :

• Le modèle de facturation : forfait ou au temps passé. 
• Le professionnel. Le coût dépend en effet de la notoriété et de l’expertise du DPO externe.
• Les besoins de l’entreprise et les caractéristiques en matière de traitements de données à caractère personnel. Les offres proposées par les DPO externes s’adaptent aux types d’organisations : PME, TEP, startup, association, collectivités publiques…

Pour vous donner malgré tout une fourchette tarifaire (qui, nécessairement, sera large), le coût d’un DPO externe varie entre quelques milliers d’euros par an à plusieurs dizaines de milliers d’euros par an.