La nomination d’un DPO (Data Protection Officer) est abordée par l’article 37 du règlement général européen sur la protection des données à caractère personnel. Le choix de ce professionnel est essentiel pour garantir la conformité RGPD des entreprises. Justement, il est possible d’en recruter ou d’en nommer un en interne. Mais on peut aussi externaliser les missions d’un DPO.
Comment désigner son délégué à la protection des données ?
Les articles du RGPD sont clairs en ce qui concerne la nécessité d’un DPO au sein d’une entreprise ou d’un organisme public traitant des données personnelles à grande échelle. Au début, il accompagne les structures à être en conformité. Après, sa mission consiste à réaliser un suivi régulier afin que les entreprises respectent dûment les obligations issues du RGPD. Ce qui n’est pas précisé, en revanche, c’est la façon dont les concernés doivent nommer le DPO en question. En ce sens, deux possibilités s’offrent à eux : choisir et former un délégué à la protection des données en interne ou confier les missions du DPO à un prestataire.
Mais il est également possible de travailler avec un DPO freelance à Paris et dans d’autres grandes villes. Cette dernière option est souvent la plus sollicitée par les entreprises concernées par le RGPD en raison de sa flexibilité. Quoi qu’il en soit, il y a plusieurs étapes à entreprendre pour être fixé sur le choix de son Data Protection Officer. La première consiste à bien comprendre les missions et les compétences de cet expert certifié en conformité. Cela permet d’identifier certains profils en interne pour les former par la suite. Sinon, il est préférable de demander plusieurs devis DPO afin de connaître les opérations nécessaires et de comparer les prix.
Pourquoi externaliser le poste de DPO au lieu de l’internaliser ?
Entre un DPO interne et externe, le choix dépendra des besoins de chaque organisme. Mais un délégué à la protection des données en freelance sera de loin plus pertinent. Et pour le comprendre, il faut s’attarder sur les limites d’un DPO interne. Il s’agit d’un métier récent qui nécessite une formation rigoureuse avant de pouvoir l’exercer en entreprise. Cela commence par la sensibilisation au RGPD du personnel pour dénicher les profils prometteurs et, surtout, intéressés par le concept. Mais ce n’est pas une formation de quelques jours qui transformera un salarié en un DPO apte à travailler de suite.
Autrement dit, nommer et former un DPO en interne va prendre du temps. C’est le genre de situation inopportune aux organismes dans un besoin urgent. Autant donc solliciter un expert RGPD disponible de suite. Il dispose des compétences organisationnelles, connaissances juridiques et techniques nécessaires pour intervenir au sein d’une entreprise en quête de conformité. Cela permet également de profiter de plusieurs autres avantages, notamment l’absence de conflit d’intérêt, la flexibilité ainsi que les économies de charges. Il faut aussi noter que le DPO externe apporte son regard neutre et ne prend pas de décision à la place des entreprises.