Pourquoi mutualiser (externaliser) son DPO ?

4 min lire

Pourquoi mutualiser son DPO ?

La fonction de délégué à la protection des données ou DPO, est la clé de la réussite d'une bonne mise en œuvre réglementaire.

Contexte :

Le délégué à la protection des données est le chef d'orchestre de la mise en œuvre du RGPD au sein des organisations. Souvent négligé ou attribué rapidement à un salarié qui exerce déjà d'autres fonctions, les propulsés DPO se retrouvent devant une montagne à gravir avec comme seules équipements une paire de baskets inadaptées et un guide des chemins de randos.

Pourtant si l'on prends le temps de lire les textes encadrant ce rôle, on se rends vite compte qu'il s'agit là d'une incohérence totale avec la réglementation. Comment démarrer sa mise en conformité quand la première carte de votre jeu est déjà pipée ?

Rappelons les principales obligations en matière de DPO :

  • Il doit bénéficier des compétences et savoirs (les formations et certifications sont des bonnes bases)

  • Il doit agir en indépendance et ne doit pas subir de conflits d'intérêts (Exit les salariés DSI, RSSI … ces fonctions ne sont pas compatible au cumul DPO)

  • Il doit pouvoir rendre compte au plus haut niveau de la direction d'entreprise (Là encore ca limite les salariés pouvant cumuler la fonction DPO)

  • Il doit disposer des moyens suffisants "Temps, matériels, humains et informationnels" (Compliqué dans une organisation déjà existante, cela reviendrait à dire qu'au préalable votre salarié bénéficié de temps libre…)

Pourquoi l'externalisation ou mutualisation ?

En fonction si vous êtes une TPE, PME, ETI, Grand groupe, Collectivité, association, les intérêts peuvent différer, mais examinons les raisons selon votre statut :

TPE : Bien souvent la polyvalence qualifie les profils des salariés des TPE, malheureusement à être sur tous les fronts on risque de négliger le principal objectif celui de faire tourner le commerce. Hors le RGPD touche l'entreprise à tous les niveaux "commerce, communication, RH, comptabilité …etc.". La mise en œuvre en TPE est très rapide pour un DPO aguerri, certes cela représente un budget, mais en choisissant un partenaire habitué aux TPE, les processus sont adaptés et mutualisés ce qui permet une limitation importante de ce budget.

La solution TPE que je préconise est un hybride entre le faire soit même et l'expertise. Formation d'un interlocuteur (relai ou référent) au principaux concepts et processus, création d'une base solide par le biais de questionnaires et une intervention initiale, mise en place d'un plan d'action structuré et budgétisé, un accompagnement léger et modulable (bien souvent avec du crédit temps conseil)

PME : L'organisation d'une PME est souvent complexe, mouvante et déstructurée. Dans ce contexte il est nécessaire de s'appuyer en interne sur la personne la plus structurée et bénéficiant d'une vision la plus large possible sur les services. Cette personne deviendra référente ou relai RGPD. Elle sera les yeux et les oreilles du DPO tout en veillant à la bonne mise en œuvre des actions.

La solution PME préconisée : Audit de cadrage initial visant à collecter tout l'acquis, structurer des bases solides et transmettre les compétences et savoirs nécessaires aux différentes parties qui seront amenées à intervenir lors de la mise en œuvre. Puis accompagnement suivant un principe hybride avec une time line structuré (CODIR, COPIL, BILAN) et un crédit temps réparti entre le DPO et le référent interne selon un rapport BUDGET / TEMPS / SAVOIRS.

ETI : Les entreprises de tailles intermédiaire sont pour moi au seuil de critique entre DPO externalisé et internalisé. La mise en œuvre et le suivi de la réglementation vont demander un travail quasi quotidien selon l'activité de l'ETI. Suffisamment matures et structurées elles sont bien souvent en capacité de mener à bien un projet de conformité RGPD. Malgré tout, le DPO externalisé a sa carte à jouer, il limite le risque de turnover sur la fonction, il bénéficie d'une plus grande indépendance et l'externalisation permet une meilleure gestion budgétaire en alignant le rapport BUDGET / TEMPS.

La solution ETI préconisée : La formation de plusieurs référents par thématiques (exemple : processus et administratif, informatique et digital, sous-traitances et contractualisations) va permettre une efficience dans le déploiement et une meilleure adaptabilité du projet. Le DPO externe en chef d'orchestre, organise, documente, expertise les situations, préconise les solutions et établi le plan d'actions. La formule de mise à disposition d'un nombre de jour par mois avec l'accès à un crédit temps pour accompagner les référents au cas par cas.

Conclusion :

Faire le choix d'externaliser la fonction DPO s'avère être bien souvent la solution idéale. Toute fois attention de bien vérifier les points suivants :

  • Compétences du prestataire

  • Cohérence de sa proposition de services à votre organisation

  • Capacité pédagogique de l'intervenant

N'oubliez pas, respecter la réglementation ne doit pas être perçu comme une obligation mais comme un atout pour l'entreprise …

Sujet du prochain article : Comment valoriser ma conformité au RGPD "quand la réglementation devient un atout concurrentiel".

[Cet article vous a plu ! suivez moi >>> https://www.linkedin.com/company/wr-cybers%C3%A9curit%C3%A9

Besoin d'aller plus loin sur le sujet ? contactez moi >>> jbg@wr-cybersecurite.com ]

A très vite,

Numériquement