Commençons par le commencement. Avant de se poser la question de l’externalisation du DPO, il faut se poser la question de la nécessité du DPO.
Le DPO, c’est comme les antibiotiques : c’est pas automatique.
L’imaginaire collectif de la folie du lancement du RGPD a voulu qu’une légende urbaine impose un DPO pour les entreprises de plus de 250 salariés. C’est totalement faux !
Il n’y a aucun seuil d’effectif pour la nomination d’un DPO. Le seuil de 250 salariés existe bien, mais il concerne uniquement l’obligation de la réalisation d’un registre de traitements. Et encore là, cette non obligation est parfois bien théorique : les travaux de mise en conformité vont mener directement et indirectement à la formalisation de ce document dans bien des cas, donc pourquoi ne s’en priver quand on a fait 90% du travail ? La CNIL a également dit qu’elle souhaitait avoir un registre de traitement dans toutes les sociétés. D’un autre côté, si on demande au régulateur s’il souhaite une application stricte du texte, on aurait pu deviner la teneur de la réponse…
L’obligation de nomination du DPO est clairement indiquée dans l’article 37 du texte. Vous devez nommer un DPO quand (un des critères suffit) :
- Vous êtes une autorité publique (hors justice)
- Vous réalisez des traitements à grande échelle sur des données relatives aux condamnations pénales
- Et surtout (99% des cas de nomination de DPO dans le privé) : vos activités de base consistent en des opérations de traitements qui […] exigent des suivis réguliers et systématiques à grande échelle. (Le texte ne donne aucun seuil, bien entendu !)
Point de seuil de 250 salariés mentionné dans le RGPD !
Vous pouvez aussi nommer volontairement un DPO. L’un de mes clients l’a fait pour une raison simple : il avait déjà consenti tellement d’efforts pour sa mise en conformité qu’une nomination de DPO bouclait la boucle et asseyait sa démarche pour un coût global, au final, assez comparable.
Revenons à nos moutons. Partons du principe que vous devez ou voulez nommer un DPO. La grande question qui va se poser est : qui prendre ?
Le texte vous explique qu’il faut que le DPO soit indépendant de la Direction, qu’il ait de bonnes connaissances en droit, en informatique, en cybersécurité, et que la gestion de projet est un plus. Ça ne peut pas être le dirigeant, le DAF, le DSI ou le DRH. Bref, dans l’hypothèse où vous auriez ce profil en interne (rien n’est moins sûr), peut-être avez-vous d’autres plans plus opérationnels pour ce petit génie. Sans compter que ça ne l’intéresse pas forcément, et qu’il est vraisemblablement déjà débordé. Dans ce contexte, on peut être tentant de recourir à un externe.
Je vais me faire l’avocat du diable et vous expliquer pourquoi ce n’est pas forcément une bonne idée alors même que cette prestation serait plus rentable pour mon propre business…
Raison 1 : Le coût
Oui, faire faire la totalité de la mise en conformité en externe coûtera plus cher que de la faire en interne. C’est un fait, les consultants ne travaillent pas pour rien.
C’est comme si vous demandez à quelqu’un de faire la cuisine chez vous. Si vous lui montrez où est la cuisine et que vous partez regarder la TV, il y arrivera mais il devra déjà ouvrir tous les placards pour savoir où sont les casseroles.
Dans ce cas, vous avez une bien plu grande valeur ajoutée à faire la cuisine vous-même en étant assisté du professionnel qui vous dira quand ajouter le sel et vous donnera les bons conseils pour que la mayonnaise prenne bien.
Raison 2 : La souveraineté
C’est notre côté cabinet de conseil en stratégie d’entreprise qui parle maintenant. Si vous devez nommer un DPO, il y a fort à parier que votre entreprise soit fortement exposée aux risques informatiques. Il n’est souvent pas raisonnable et encore moins stratégique de confier les clefs d’un processus aussi stratégique à une entreprise tierce. Ce cycle est tellement sensible qu’il convient que vous en ayez la maîtrise en interne.
En internalisant, vous prenez par contre le risque que le salarié en charge du problème parte un jour : il faut anticiper ce risque par des contre-mesures efficaces de documentation.
Raison 3 : L’engagement
Je le vois chez mes clients : à partir du moment où ils ont nommé un DPO, ils ont l’impression que tout est réglé. On a filé les clefs de la boutique à OPTIMUS EXPERTS, ils n’ont qu’à se débrouiller pour qu’on ne soit pas embêté, c’est leur job.
Pas exactement. Notre job, que ce soit en tant que DPO externe ou en tant que soutien au DPO interne, c’est de faire en sorte que la mise en conformité avance. Toutefois, nous ne prendrons pas de décision de gestion qui appartiennent à la Direction. Ce qui veut dire que si la Direction ne fait rien, il ne se passera pas grand-chose, fussions-nous DPO.
Il ne faut pas jeter le bébé avec l’eau du bain. L’externalisation DPO peut avoir un sens dans beaucoup de cas, notamment :
- Structures fortement exposées qui ont besoin d’un spécialiste en la matière mais qui n’ont pas les ressources internes qui sont toutes mobilisées sur la production
- Absence de candidat disponible en interne : dans ce cas-là, l’externalisation peut n’être que temporaire
- Absence d’exposition forte de l’entreprise mais volonté d’aller au bout de la démarche.
Dans tous les cas, le choix d’internaliser ou d’externaliser la fonction de DPO est un choix stratégique qui doit être pris avec du recul. Ce n’est pas une décision anodine.
Retrouvez nos offres de DPO externe / assistance à DPO interne sur https://optimus-experts.com/nos-offres Rubrique RGPD
