L’externalisation du DPO, une opportunité à considérer
DPO interne ou externe ? Intéressant sujet lancé en marge de l’événement IT, Powering Business & Compliance organisé par Rgroupe.
La GDPR (General Data Protection Regulation) prévoit la création d’un nouveau poste au sein de l’entreprise, le DPO (Data Protection Officer). Personnage clé et stratégique, son CV s’apparente à celui d’un oiseau rare à la fois juriste, informaticien et pédagogue. D’où, la question : peut-on externaliser cette fonction ? Le Règlement européen, qui entrera en vigueur le 28 mai 2018, ne tranche pas la question, mentionnant seulement que «le délégué à la protection des données peut être un membre du personnel ou exercer ses missions sur la base d’un contrat de service.» Ce qui veut dire que la fonction peut être externalisée.
«C’est le métier de demain, explique Mélanie Gagnon, CEO & Founder, MGSI, société spécialisée les services de protection des données. Il s’agit d’anticiper son arrivée. Plus les entreprises arriveront à les désigner tôt, plus elles seront capables d’intégrer les nouvelles contraintes réglementaires de la GDPR. A condition de les trouver…»
Tout est dit ! Les trouver, dans un premier temps; les engager, dans un second ? Pas nécessairement. Pour Roland Streber, CEO, ProNewTech, «tout le monde n’a pas besoin d’un DPO à plein temps. Faire appel à un PDO mutualisé peut être la solution. En particulier pour les plus petites structures. Egalement pour les collectivités publiques, qui peuvent se regrouper et prendre quelqu’un sur un mandat, plutôt que d’avoir un poste dédié…»
D’une manière générale, s’entendent les deux consultants, nous vivons un changement de paradigme, passant d’une situation dans laquelle les offres de postes étaient rares à une situation où les postes proposés sont nombreux. Clairement, ce sont désormais les candidats qui font la loi… et non plus les recruteurs. À l’échelle européenne, plus de 70.000 professionnels devront être désignés auprès des autorités de contrôle. Déjà, la pénurie d’experts se fait sentir, au point qu’on observe une augmentation du niveau de gratification nécessaire pour attirer de jeunes talents.
Pour trouver son DPO -externe ou mutualisé- les entreprises et organisations devront faire appel à des cabinets d’avocats ou bien à des sociétés spécialisées en protection des données -comme MGSI et PNT, même si leurs approches sont différentes.
Premier argument : externaliser ou mutualiser, c’est privilégier l’indépendance vis-à-vis de l’organisation. Et c’est précisément ce qu’exige l’article 38 du Règlement : «le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice des missions.» De fait, si le DPO est déjà titulaire d’un poste, cette limite peut facilement être dépassée. De plus, lorsqu’il exerce ses fonctions en interne, le DPO peut être amené, ou a pu être amené par le passé, à effectuer d’autres tâches qui pourraient entrainer des conflits d’intérêts. Par exemple, un DPO qui est aussi le responsable IT et qui a supervisé la sécurité des systèmes d’information peut se retrouver en conflit d’intérêts lorsqu’il doit mettre en œuvre une étude d’impact.
«Externaliser c’est aussi contrôler le coût, estime Roland Streber. La disponibilité du DPO pourra être modulée en fonction de la charge -de quelques heures par mois à ponctuellement un plein temps en cas de nouveau développement par exemple.»
«Il semble évident que l’externalisation aura de nombreux avantages pour la majorité des PME, conclut Mélanie Gagnon. C’est sans doute moins vrai dans les grandes entreprises où le DPO sera employé à sa tâche à plein temps, voire gèrera une équipe entièrement dédiée à cette mission.»