10 bonnes raisons de désigner un DPO externalisé

Les entreprises concernées par le RGPD sont dans l’obligation de collaborer avec un data protection officer (DPO). Mais pas de panique, elles peuvent se passer de recruter ce spécialiste et opter pour un DPO externalisé.

1/ Désigner un DPO externalisé par obligation légale

Avec l’entrée en vigueur du RGPD, l’exigence légale de désignation officielle d’un DPO concerne un grand nombre d’entreprises et de collectivités : les organismes et autorités publiques, les entreprises privées de délégation de service public, les entreprises en capacité de traquer à grande échelle le comportement, les usages ou le déplacement du grand public, les entreprises qui manipulent des données sensibles à large échelle…

En complément, les sous traitants des entreprises (ou collectivités) concernées vont eux-aussi devoir nommer un DPO s’ils sont en capacité d’accéder à des données personnelles non-anonymisées : SSII-ESN, agence web, éditeur d’application mobile, éditeur de logiciel, SaaS, cloud et hébergeur, plateforme de SAV ou de relation client délocalisée…

Outre l’obligation légale de désigner un DPO, la CNIL recommande plus largement (dans son guide officiel pour les sous traitants) à tous les prestataires qui cumulent l’accès aux data de leurs clients de nommer un DPO, notamment les agences web. Ce data protection officer (délégué à la protection de données DPD en français) à désigner peut être soit un salarié en interne soit un consultant RGPD externalisé.
2/ Désigner un DPO externalisé pour éviter de perdre ses clients

Sur le terrain, les consultants en conformité RGPD constatent que de nombreux prestataires ont reçu des e-mails et courriers recommandés au sujet du RGPD. Les clients menacent de stopper la relation commerciale si le fournisseur de service ne se conforme pas strictement aux normes RGPD. Du coup, désigner un DPO alors qu’il n’y a pas d’obligation légale peut être une solution pour préserver le chiffre d’affaires : on parle alors de DPO volontaire. Si le DPO volontaire désigné est un consultant RGPD externalisé de prestige ou un cabinet de conseil de prestige, l’entreprise peut même bénéficier d’un atout concurrentiel pour vendre plus en rassurant les clients potentiels.
3/ Désigner un DPO externalisé pour la conformité RGPD stricte

La conformité RGPD stricte est inscrite dans la loi. Ce n’est pas parce qu’une entreprise ne nomme pas un DPO que la conformité RGPD n’est pas obligatoire. Et ce n’est pas parce qu’une entreprise est de petite taille qu’elle n’est pas soumise aux exigences légales du RGPD. Cette conformité obligatoire a un impact sur tous les pôles d’une entreprise : logiciels et bases de données conformes, sites web conformes, RH et comptabilité, vidéo-surveillance, SAV et logistique, formulaires papiers, prospection commerciale, règlement intérieur en conformité, contrat de sous traitance en conformité…

De nombreux documents légaux sont à établir pour chaque pôle. De nombreuses mentions légales sont à rédiger pour informer les clients et les salariés. Les outils informatiques doivent être paramétrés, adaptés ou remplacés pour répondre aux normes RGPD. Au final, on constate que la conformité RGPD stricte est un travail méthodique qui ne tolère aucune approximation. Missionner un prestataire externalisé plutôt qu’un employé (qui risque de bâcler les chantiers de conformité ou d’en oublier) paraît rationnel.

4/ Désigner un DPO externalisé pour éviter l’illégalité des DPO juniors

Par souci d’économie ou méconnaissance, de nombreuses entreprises ont recruté des DPO de profil junior. On voit même circuler des annonces de stage… Pour rappel, le métier de DPO est une profession réglementée. L’article 37 de la législation RGPD oblige à désigner le DPO sur la base de sa capacité technique et juridique à conformer les entreprises aux normes RGPD.

Ainsi, le DPO doit obligatoirement être un professionnel expérimenté aussi bien en informatique avancée (avec une connaissance de l’iso 27001 et l’iso 27018 par exemple) qu’en droit des NTIC pour cadrer la licéité des traitements, les consentements et les intérêts légitimes invoqués. En cas de contrôle RGPD par la CNIL, le CV et le profil du DPO seront probablement examinés et pourront constituer un critère d’illégalité face aux exigences du RGPD. Au final, avoir recours à consultant externalisé (comme un DPO freelance qualifié voire certifié) paraît plus rationnel et plus sécurisant juridiquement pour les entreprises.

5/ Désigner un DPO externalisé pour obtenir la certification RGPD

En remplacement de l’ancien label CNIL, des certifications de conformité RGPD existent et permettent de prouver (aux clients et aux investisseurs) le respect strict des nouvelles normes EU-GDPR. De manière systématique, les critères des différents organismes de certification contiennent l’obligation d’avoir désigné officiellement un DPO. Les référentiels de certification RPGD prévoient aussi le contrôle du curriculum vitae du data protection officer nommé et de ses capacités. En complément, l’entreprise qui demande sa certification RGPD doit présenter et prouver le travail de conformité du délégué DPD (ainsi que les résultats obtenus). Au final, on comprend que les entreprises qui font appel à un spécialiste externalisé (DPO freelance ou agence) de haute expertise ont bien plus de certitude d’être certifiées. A l’inverse, les entreprises qui confient leur conformité à un DPO salarié sans réelle expertise courent le risque d’un échec pour obtenir la certification RGPD attendue.
6/ Désigner un DPO externalisé pour cadrer le marketing et le commercial

Pour rappel, le DPO doit légalement être désigné pour ses capacités techniques et juridiques à conformer l’entreprise aux normes RGPD. Du coup, les DPO salariés sont en général des juristes ou des ingénieurs mais rarement de spécialistes du marketing. Mais sur le terrain, les consultants en conformité RGPD constatent que les pratiques web marketing et mobile marketing ne cadrent pas avec les exigences légales du RGPD. Par méconnaissance, ces pratiques digital marketing totalement non-conformes sont souvent négligés par les DPO salariés. Pourtant en cas de contrôle par la CNIL, les cookies-traqueurs des campagnes de profiling et remarketing sont quasi-systématiquement examinés. Votre entreprise appréciera alors d’éviter les amendes grâce à un DPO externalisé qui a travaillé de manière exhaustive sur tous les axes de conformité : anonymisation des données webanalytics et de géolocalisation, bandeau de cookies fonctionnel, consentement opt-in avant le retargeting adwords ou social media, réglage de la conservation des données dans Google Analytics… En complément, le DPO externalisé travaille aussi sur les bonnes pratiques RGPD à respecter par les commerciaux. Cet axe de la prospection commerciale conforme RGPD est majeur en cas de logiciel CRM avec transfert hors EU, de lead generation, d’achat de données à un tiers ou d’emailing sauvage.
7/ Désigner un DPO externalisé pour garantir l’impartialité

L’article 38 de la législation GDPR indique que le DPO ne peut recevoir aucun ordre et aucune sanction hiérarchique en ce qui concerne son travail de conformité RGPD. Le DPO salarié est donc un salarié quasi-protégé (hors faute lourde comme un vol) dans l’entreprise. C’est un arbitre impartial qui délègue des actions de conformité à l’ensemble des collaborateurs et les informent des bonnes pratiques RGPD à respecter. Toujours selon l’article 38, son absence de conflit d’intérêt est une obligation légale. Le DPO ne peut donc pas être le chef d’entreprise, le directeur général, le directeur financier, le responsable RH, le responsable informatique, le responsable marketing ou le dircom… Pour résumé, le DPO est un arbitre qui ne doit pas être juge et partie. Une secrétaire ou un informaticien qui manipule les données des clients ne peuvent donc pas, eux aussi, être désignés. Le juriste ou l’avocat qui défendra l’entreprise devant les tribunaux peut aussi être considéré comme en conflit d’intérêt selon le chapitre 3.5 des lignes directrices concernant les délégués à la protection des données (DPD). Conséquence, le DPO externalisé est quasiment la seule possibilité pour garantir l’impartialité légale nécessaire (dans la mesure toutefois où ce DPO externalisé a déjà suffisamment de clients pour ne pas craindre d’en perdre un).
8/ Désigner un DPO externalisé pour réduire les dépenses

Un DPO salarié au Smic avec les charges et les frais, c’est déjà au minimum 2 000€ de dépense mensuelle pour une entreprise. Mais la loi (et les besoins du terrain) incitent plutôt à recruter des profils DPO à triple compétence informatique, juridique et marketing. Les salaires grimpent fortement pour un juriste formé en cybersécurité et en tracking marketing. Les salaires grimpent aussi pour un ingénieur-informaticien formé au juridique et ayant des capacités en web ou mobile analytics. Pour rappel, le DPO va missionner le responsable informatique de l’entreprise dans des actions de conformité. Pour bien exercer son métier, le DPO doit donc pouvoir discuter d’égal à égal au niveau technique avec la DSI et l’ensemble des informaticiens. Le DPO doit aussi collaborer avec le service juridique dans la rédaction des documents légaux, des mentions légales nécessaires et des consentements opt-in à obtenir. En complément, le DPO rend des comptes directement à la direction et doit être placé (sous elle mais à part) dans l’organigramme. Toutes ces nécessités semblent incompatibles avec un profil faiblement rémunéré. Le coût de la formation continue (légalement obligatoire) des DPO salariés est aussi à prendre au niveau budgétaire. Le DPO salarié (en respect strict des contraintes légales) est une dépense majeure pour les entreprises. En comparaison, un DPO externalisé freelance (parfois à partir de 300€/mois) paraît bien moins onéreux.
9/ Désigner un DPO externalisé pour gagner du temps
Par nature, le DPO externalisé travaille sur des dizaines de projets de conformité RGPD. C’est un prestataire qui a (en général) plus de retour d’expériences que le DPO salarié. Ce consultant expérimenté en conformité RGPD est donc susceptible d’avancer bien plus vite qu’un DPO employé qui débute. Le DPO externalisé est donc une opportunité à prendre en compte pour les entreprises qui ont du retard à rattraper dans leur conformité aux normes RGPD.