Le règlement général sur la protection des données (RGPD) crée un nouveau rôle appelé responsable de la protection des données, qui aide un responsable du traitement des données ou un processeur à contrôler leur conformité interne. Bien que toutes les organisations n’aient pas besoin d’un délégué à la protection des données (DPO), le RGPD prévoit que celui-ci peut être un employé interne de l’organisation ou peut être sous-traité et exercer ses fonctions via un contrat de service. Cependant, bien que certaines organisations hésitent à externaliser leur service DPO, les organisations qui choisissent cette voie présentent de nombreux avantages.
Les principaux avantages de l’externalisation d’un DPO
Un DPO externalisé ajoute une couche supplémentaire de responsabilité et de soutien à votre organisation. Il fournit des conseils avisés et objectifs auxquels l’organisme peut faire confiance, car ils sont indépendants. De plus, cette indépendance est souvent bien accueillie par les autorités de régulation, qui peuvent considérer l’introduction d’un DPO externe comme une indication du niveau de transparence et de responsabilité de l’organisation. Enfin, les DPO sont tenus de garantir la confidentialité, ce qui peut encore être garanti par des accords de non-divulgation inclus dans le contrat de service.
Un DPO externalisé comprend généralement toute une équipe d’experts. Les fournisseurs de services de DPO sous-traités se caractérisent généralement par une équipe d’experts de différentes spécialités (soins de santé, marketing, etc.), ainsi que par des AIPD, des violations de données, des évaluations d’intérêts légitimes, etc. En fonction des besoins de l’organisation, un service de DPO externalisé peut affecter des experts adaptés au profil de l’organisation et faire venir des experts supplémentaires au besoin. En outre, un service de DPO sous-traité est généralement fourni à plusieurs clients, ce qui permet à votre DPO de tirer des leçons de bonnes pratiques de l’ensemble de sa clientèle à votre équipe de conformité. Un DPO professionnel développera également une bibliothèque de modèles et les fournira aux clients, en utilisant les bonnes pratiques de clients existants et nouveaux pour les améliorer en permanence. Un DPO externalisé peut également assurer la continuité du service
Les fonctions d’un DPO
Les services de DPO externalisés peuvent combiner la livraison à distance et sur site, en fonction des besoins du client. Le support sur site peut être utilisé pour des activités complexes et approfondies, tandis que le support à distance peut être utilisé pour des requêtes ad hoc et des contrôles de conformité (ce qui permet aux organisations de réduire les coûts indirects). En outre, une équipe de DPO assure la redondance, la continuité des activités et la couverture des jours fériés, des absences et des congés des employés, ainsi que du support en dehors des heures de bureau. Avoir quelqu’un de disponible à tout moment peut s’avérer inestimable dans le cas de violations de données ou de requêtes urgentes. Un DPO sous-traité est plus susceptible d’avoir une relation de collaboration avec les autorités de régulation. Les DPO externalisés contactent souvent les autorités de protection des données au nom de plusieurs clients. En conséquence, ils établissent des relations de respect mutuel avec les autorités de réglementation, ce qui peut être utile lors de la rédaction de documents de conformité. Plus précisément, un DPO externalisé aura une expérience de la communication avec les APD. Le choix d’un service de DPO sous-traité peut avoir de nombreux avantages pour votre organisation, outre le rôle désigné pour surveiller la conformité de la protection des données. Les avantages ci-dessus démontrent l’intérêt de prendre en compte cet itinéraire pour choisir la mise en œuvre du GDPR.
