DPO interne ou externe : les clés pour faire le bon choix

La désignation d’un DPO est une disposition essentielle du RGPD pour être en conformité (article 37 à 39 du RGPD). Elle est obligatoire pour les organismes du secteur public mais également pour les organismes du secteur privé dans deux cas :

  • L’organisme dont les activités de base l’amène à réaliser un suivi régulier et systématique de personnes à grande échelle ;
  • L’organisme dont les activités de base l’amène à traiter à grande échelle des données sensibles ou relatives à des infractions et condamnations pénales.

En-dehors de ces cas, la désignation d’un délégué à la protection des données n’est pas obligatoire mais fortement conseillée.

Le DPO a pour mission d’accompagner à la mise en conformité relative à la protection des données de l’organisme qui l’a désigné. Son rôle vise principalement à informer, conseiller et contrôler.

En tant que responsable de traitement, vous avez le choix de nommer un DPO en interne ou bien d’externaliser cette fonction. A travers cet article, découvrez les points de vigilance à intégrer à votre réflexion.

Expertise et connaissance du métier de DPO

En tant que véritable acteur de la conformité en matière de protection des données personnelles de votre organisation, le DPO se doit d’avoir des compétences pointues à ce sujet pour mener à bien sa mission. Son rôle étant d’apporter son expertise au service de la conformité de votre entreprise, ses compétences doivent être d’ordre organisationnel et juridique.

Sur l’aspect organisationnel, le DPO doit accompagner et conseiller l’organisme dans la documentation de sa conformité. Cela passe par la réalisation d’un registre de traitement mais également la mise en place (ou mises à jour) de procédures.

Le DPO doit également agir au niveau des pratiques internes à l’entreprise, notamment en formant et en sensibilisant le personnel sur les bonnes pratiques à appliquer en matière de protection des données.

Concernant les compétences juridiques, le DPO doit être au fait des différentes lois et obligations en vigueur relatives à la protection des données afin que votre entreprise s’y conforme. Aussi, ce dernier doit rester en veille de manière constante sur les réformes et projets de lois en cours pour anticiper d’éventuels changements.

Ainsi, dans le cas où vous désireriez désigner un DPO en interne, il est fortement conseillé de lui offrir une formation afin d’acquérir les compétences mentionnées, qui sont nécessaires à sa nouvelle fonction.

Objectivité et indépendance du DPO

L’une des qualités principales chez un DPO pour exercer correctement son métier est son objectivité. Pour conseiller votre structure au mieux, le DPO ne peut pas être « juge et partie », il se doit donc d’être impartial. C’est une qualité essentielle qui garantit la justesse de l’analyse et des recommandations qu’il émet, même si elles peuvent aller à l’encontre des intérêts de votre structure.

Dans le cas où vous choisiriez de passer par un DPO interne, il faut impérativement prendre en compte le risque de conflits d’intérêts avec ce dernier. Comme évoqué, certaines recommandations peuvent paraitre « nuire » aux intérêts de la société. Dans ce cas de figure, un DPO interne est donc d’avantage soumis à la pression et aux conflits. Pour autant, les recommandations et avis émis par celui-ci ne pourront pas faire l’objet de sanctions spécifiques au seul motif d’une nuisance aux intérêts de la société.

Coûts et ressources

Votre choix lors de la désignation d’un DPO interne ou externe doit prendre en compte les coûts associés à ce poste. La nomination d’un DPO en interne engendrera des coûts fixes et variables. Les coûts fixes englobent son salaire (y compris les charges patronales) ainsi que les avantages sociaux et éventuels frais annexes. La formation de ce dernier représente également un investissement financier lié à ce poste. Pour autant, l’intégration du DPO au sein de l’entreprise peut s’avérer rentable pour votre structure sur le long terme.

A contrario, désigner un DPO externe peut permettre de minimiser les dépenses allouées à ce poste grâce à un contrat établissant un coût global d’accompagnement. Ainsi, la gestion budgétaire est simplifiée et les coûts plus prévisibles.

Il est important de mettre cet aspect en parallèle aux autres facteurs pour établir votre choix.

Communication et collaboration

Le dernier point de réflexion n’est pas des moindre puisqu’il porte sur la collaboration entre le DPO et les équipes internes. Une coopération efficace est essentielle pour assurer une bonne conformité.

Ainsi, il est nécessaire pour un DPO, aussi bien interne qu’externe, d’avoir la capacité à former et à sensibiliser le personnel sur le sujet de protection des données.

En faisant le choix d’un DPO interne, vous bénéficiez de l’avantage non-négligeable de sa connaissance de l’environnement de travail dans lequel il devra opérer. La mise en place de ses actions sera ainsi facilitée, car il se basera sur une compréhension approfondie des besoins de votre organisation. Il pourra également suivre de près la mise en place de ses actions et sa stratégie de protection des données.

Sur cet aspect, un DPO externe aura besoin d’un certain temps d’adaptation à votre entreprise. Effectivement, il lui faudra se familiariser avec les pratiques et process en place tout en apprenant à collaborer avec les parties prenantes liées à ses missions. Pour autant, un DPO externe apporte généralement plus d’objectivité dans sa réflexion et son plan d’action, ce qui peut être bénéfique à l’entreprise.

Alors, DPO interne ou externe ?

Afin de réaliser le meilleur choix possible pour votre structure, nous vous conseillons de prendre en compte les différents points de vigilance évoqués dans l’article, à savoir :

  • Expertise et connaissance métier
  • Objectivité et indépendance
  • Coûts et ressources
  • Communication et collaboration

Votre choix doit refléter vos besoins en matière de protection des données tout en prenant en compte votre capacité à gérer ce sujet.

Les experts Digitemis vous accompagnent en tant que DPO externe ou en tant que consultants sur votre conformité RGPD.

Contactez-nous

Je partage

Derniers articles

Illustration de sécurité WordPress avec logo central et éléments numériques de sécurité

Renforcer la sécurité WordPress, du développement des plugins à la configuration serveur

Il y a peu, dans le cadre de recherches sur des plugins WordPress, notre pentester Vincent Fourcade a découvert une injection de code, côté client, dans un module du célèbre CMS. Celle-ci fut vérifiée et validée par les équipes de WPScan. Aujourd’hui, une CVE lui a été attribuée. L’occasion de revenir aujourd’hui sur la sécurité, au sens large, dans le CMS WordPress, que ce soit au niveau de la couche applicative, de la configuration du serveur ou du bureau. C’est parti !

Lire l'article

Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client

Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?

Lire l'article