DossierRGPD: tout savoir sur le DPO, délégué à la protection des données

Publié par le

6 - Comment trouver son DPO externe ou mutualisé?

Pour trouver un DPO externe, les entreprises devront faire appel à des cabinets d'avocats, ou bien à des sociétés spécialisées en protection des données. Pour sélectionner le bon prestataires, les labels délivrés par la Cnil constituent un bon indicateur!

"Tout le monde n'a pas besoin d'un DPO à plein temps", rappelle Isabelle Dubois, qui exerce la fonction de DPO externalisé, avec sa structure Ad Hoc Résolution, pour une start-up suisse spécialisée dans la géolocalisation, ayant une filiale en France. Une solution idéale pour les organisations dont le traitement de données personnelles n'est pas le coeur de métier, mais qui veillent à leur conformité avec le RGPD. "Alors que l'externalisation du CIL n'était possible que lorsque moins de 50 personnes participaient au traitement des données, le DPO peut être externalisé librement", précise Richard Bertrand, dirigeant d'Actecil. Les collectivités publiques, par exemple, peuvent ainsi se regrouper et prendre quelqu'un sur un mandat, plutôt que d'avoir un poste dédié.

Fédérations professionnelles, cabinets d'avocats, sociétés de conseil... Les pistes à explorer

Pour trouver un prestataire, la Cnil recommande de "se rapprocher des fédérations professionnelles pour vérifier la présence des experts informatique et libertés qui pourraient devenir le délégué mutualisé pour plusieurs entreprises." Le Daf (ou le dirigeant d'entreprise) pourra solliciter des cabinets d'avocats ou encore des sociétés de conseil spécialisées. À cet effet, les labels Cnil en audit et gouvernance constituent un bon indicateur pour le guider. Au-delà des compétences indispensables, Isabelle Dubois recommande surtout de choisir "une personne de confiance, qui est bien en phase avec le fonctionnement de l'entreprise, qui a de l'entregent et qui sait trouver les ressources".

>> [Mise à jour du 23/01/18] Le conseil national des barreaux recommande 2 offres de DPO externalisé, retrouvez l'article sur ce sujet ici.

La prestation de DPO externalisé en détail

Côté organisation de la prestation, Richard Bertrand, dirigeant d'Actecil, commence "par faire un état des lieux pour connaître le niveau de maturité de la société et évaluer le travail à effectuer pour parvenir à la conformité".

Deuxième étape: la création du registre des traitements, puis la mise en place d'actions: création d'une charte informatique, de documents structurants... "Puis on descend dans la conformité au niveau des traitements." Pour les prestataires de services, un registre de sous-traitance devra également être créé.

Une fois la conformité atteinte, le DPO va suivre l'évolution des traitements et de l'entreprise (nouveaux logiciels, nouvelles arrivées...). Il validera que les nouvelles applications mises en place respectent le RGPD. À noter, Actecil met à disposition de l'entreprise un tableau de bord qui lui permet de suivre à distance le processus et d'accéder à son registre.

Isabelle Dubois, pour sa part, prévoit en moyenne un jour d'activité par mois au sein de l'entreprise, le reste des échanges se faisant surtout par mail et téléphone.

La rédaction vous recommande

Sur le même sujet