Logo Dipeeo - Votre DPO externe

DPO externe

DPO externe : le bon choix pour une conformité RGPD assurée

Le délégué à la protection des données, créé par le RGPD en 2018, est là pour vous accompagner dans votre conformité RGPD.

Faut-il choisir un DPO externe ? Si oui, comment ?

Un DPO ou Délégué à la Protection des Données qu’il soit interne ou externe assiste le responsable de traitement ou le sous-traitant dans la conformité au RGPD. 🚀

On appelle responsable de traitement la personne qui réalise un traitement sur une donnée personnelle. Exemple : inscription à une newsletter via email ✉

Le RGPD a pour objectif d’encadrer les pratiques pour assurer le respect des données personnelles des citoyens.

Le DPO (ou DPD) est apparu avec le RGPD en 2018. Son rôle, ses compétences, obligations ont été façonnés par le RGPD. 📜

Désigner son DPO à la CNIL

Tous les DPO doivent être déclarés auprès de la CNIL  sur ce lien. La liste des DPO nommés auprès de la CNIL est une information publique disponible sur le site de la CNIL

Une communication interne au sein de votre entreprise (ou autre type d’organisme) est recommandée.

L’ensemble des employés doivent avoir connaissance de sa présence, ses activités et du fait qu’il est joignable pour tout sujet autour des données personnelles.

En savoir plus sur le rôle du délégué à la protection des données

🎯Le DPO s’assure du respect des règles sur les données personnelles pour l’organisme par lequel il a été nommé. Le DPO a un rôle qui s’articule autour de 4 axes :

  1. Conseiller et accompagner : apport d’expertise et diffusion de la culture et du respect des règles RGPD📜
  2. Contrôle : Le DPO peut vérifier personnellement ou mandater un audit externe pour s’assurer du respect des règles. ⚖
  3. Point de contact de l’organisme pour tous les sujets de protection des données personnelles :
  • Avec la CNIL :

– Il facilite les échanges avec la CNIL et peut l’interroger la sur une question. La CNIL refusera de répondre à un responsable de traitement qui n’aura pas consulté auparavant son DPO. Il sera le point de contact principal lors d’un contrôle ou une plainte mais ne pourra pas représenter seul l’organisme.

  • Avec les personnes dont les données personnelles sont traitées :

-Il prend en charge les différentes demandes. Il peut s’agir de demandes de droit d’accès mais également pour tout autre question au sujet de leurs données.

4. Réaliser les documents nécessaires pour la conformité RGPD 📊

-La documentation est un pilier du RGPD permettant notamment d’être en capacité de respecter les règles et de le prouver en cas de contrôle. Il s’agit du principe d’ « accountability ». 🚀

-De nombreux éléments doivent donc être intégrés dans la documentation, notamment : le registre des traitements,  registre des violations de données, les mentions d’informations, les contrats de sous-traitance… 

-Le DPO rédige l’ensemble des documents juridiques nécessaires pour la conformité RGPD de l’organisme : politiques de confidentialité, politiques cookies, clauses contractuelles liées au RGPD, charte RGPD… 🎯

Quelles compétences et certifications sont nécessaires pour devenir délégué à la protection des données ? 💼

Il n’y a pas de profil type mais il y a plusieurs prérequis à respecter. Pour assurer l’ensemble de son rôle, des connaissances sont nécessaires :

  • Expertise juridique et technique sur la protection des données
  • Connaissance du secteur d’activité de l’organisme, de la réglementation du secteur et l’organisme lui-même
  • Les opérations de traitement, les systèmes d’information et les besoins de l’organisme en matière de protection et de sécurité des données

.

🗒 Il s’agit d’une liste d’exigences réduite mais qui décrit un profil très peu représenté en entreprise. En cas de manque partiel, le DPO pourra être formé. Il pourra aussi mobiliser des expertises internes ou externes.

Au-delà des connaissances, le profil du DPO est également important : intégrité, éthique. Il doit aussi être un bon pilote capable de communiquer, vulgariser et convaincre. ⭐

🔑 Il est clé pour une entreprise que son DPO ait également une grande ouverture au business. En effet, le DPO est un pilote, intégré aux réflexions de l’entreprise pour trouver des solutions qui respectent les règles et maximisent la valeur pour l’entreprise !

Dans certaines sociétés, il y a des projets nécessaires à la croissance de l’entreprise qui ont été arrêtés pour un blocage RGPD. Il convient d’être vigilant sur ce point.

🔎 Aujourd’hui le métier dont sont issues les DPO est varié : 28% de profils techniques, 28% de profils juridiques et 44% de profils administratifs, financiers ou de l’audit.

CNIL prospection commerciale et RGPD - Dipeeo

Qui peut devenir DPO ?​

Certification DPO externe

Il n’y a pas de certification ou de diplôme obligatoire mentionné dans le RGPD pour être DPO. Toutefois, la CNIL peut tenir rigueur de la désignation d’un DPO ne présentant pas les compétences requises à la réalisation des activités du délégué à la protection des données.

Compétences DPO externe

On considère qu’une formation juridique dans le domaine IT et/ou protection des données est nécessaire. Une bonne connaissance de l’IT est également requise pour être en capacité d’orchestrer les activités dites techniques notamment pour la sécurité, les cookies, la suppression des données.

Il existe de nombreuses formations RGPD ou formation DPO certifiantes dont certaines sont particulièrement reconnues et gage de confiance, comme la formation DPO certifiante de l’Afnor.

Absence de conflit d’intérêt

Dans le contexte d’un DPO interne, au-delà des compétences du DPO, il faut également respecter les critères de conflit d’intérêt. Un dirigeant d’entreprise ou un cadre ne peut pas endosser le rôle de DPO car les intérêts business et le respect des données personnelles peuvent entrer en conflit.

De nombreux dirigeants sont pourtant nommés auprès de la CNIL. Cela n’aura pas de valeur en cas de contrôle de la CNIL.

Une grande ouverture à l'opérationnel

Votre DPO doit avoir une grande ouverture sur les enjeux business. En effet, le DPO est un pilote, intégré aux réflexions de l’entreprise pour trouver des solutions qui respectent les règles et maximisent la valeur pour l’entreprise.

DPO-externe-RGPD

Quel est le profil des délégués à la protection des données ?

📜 Il existe des certifications reconnus par la CNIL attestant des formations suivies par le DPO : l’AfnorCESI certificationApave certification,  iapplstiLCPSGSBureau Veritas et PECB.

Il s’agit d’un gage de confiance dans le cadre d’une embauche ou de la signature d’un contrat avec une société de prestation qui fournit un service de DPO externalisé.🚀

DPO-externe-RGPD données
données_dpo-externe

Interne

Le DPO peut être nommé au sein de l’organisme. Il a la possibilité d’exercer d’autres activités dans l’organisme. 🏢

Toutefois, il ne doit pas y avoir de conflit d’intérêts notamment s’il devient responsable d’un traitement de données personnelles. Ses autres activités doivent également lui laisser suffisamment de temps pour exercer son rôle de DPO. 

L’organisme doit également être en capacité de prouver que l’employé possède les compétences nécessaires ou trouveras le support nécessaire sur les expertises qui pourraient lui manquer.  

Externe

Le DPO peut être dit « Externe ». Il endosse le rôle mais reste un acteur externe de l’organisme. Cela permet une meilleure indépendance vis-à-vis de la direction de l’organisme.

💼 Il s’agit aussi de DPO dont c’est le métier au quotidien, expérimentés et qui peuvent interagir facilement avec leur communauté de DPO.

Attention, le RGPD est récent, les niveaux de formations de DPO sont très hétérogènes. Certaines formations de DPO ne durent en effet que quelques jours ou semaines.

Mutualisé

Un DPO, qu’il soit interne ou externe, peut être mutualisé entre plusieurs entités. Cela permet de lisser les coûts, d’uniformiser les pratiques et de partager des enseignements sur le sujet entre ces entités. 📚

Pourquoi externaliser la fonction de DPO ?

Il y a plusieurs avantages à l’externalisation de la fonction de DPO :

Le coût :

Un employé, même à temps partiel sur ce sujet, aura souvent un coût plus important qu’un DPO externe. Cet avantage est très variable étant donné la fourchette très large des tarifs de DPO externes ou de mise en conformité RGPD

La méthode de mise en conformité, les compétences :

Un DPO externe a pour fonction principale d’être DPO. Il est formé, certifié (de plus en plus) et voit de nombreux cas tout au long de l’année. Il collabore également avec d’autres DPO et partage les pratiques de sa société (ou association de DPO pour des freelances).

Il y a également un risque à l’externalisation de la fonction de DPO :

Il y a une plus faible maitrise de l’entreprise, du cabinet d’avocat ou du freelance qui est en prestation. Il y a une très forte hétérogénéité de compétence et fiabilité sur la marché actuellement. Il est important de bien investiguer, prendre des retours de clients existants avant de s’engager auprès d’un DPO externe.

Quelles sont les prestations réalisées par le DPO externe et les livrables associés ?

Le DPO externe prend en charge l’ensemble des activités sur DPO. Le rôle du DPO est de s’assurer du respect des règles sur les données personnelles. Cela se traduit principalement par les activités suivantes :

Mise en conformité de l’ensemble des blocs de l’entreprise où des traitements sur les données personnelles sont réalisés :

  • application, plateforme digitale
  • site Web
  • conformité de la structure (ex : politique RH, prospection commerciale)
  • conformité des prestataires techniques (ex : audit des prestataires techniques)
  • conformité de la structure en tant que sous-traitant (ex : DPA intégré aux CGV)
  • conformité des transferts en dehors de l’UE (ex : Clauses contractuelles standards)
  • sensibilisation des équipes (ex : quiz, sessions d’informations)
  • registre des activités de traitements
  • rédaction de l’ensemble des documents juridiques nécessaires (ex : politique de confidentialité, politique cookies, registres…)
 

Actions du DPO au quotidien :

  • réponses aux questions RGPD des salariés, clients, plaintes. Rédaction de documents contenant des clauses RGPD comme des appels d’offre, contrats…
  • gestion des imprévus (ex : piratages, nouveaux produits, développement, nouveaux prestataires, etc.)
  • il est le point de contact de la CNIL sur tous les sujets liés aux données personnelles

Les points clés à vérifier lors de la sélection de votre DPO externe :

Vérifier la formation du DPO externe qui va travailler avec vous quotidiennement. Ne vous fiez pas uniquement à l’expert ou au dirigeant que vous rencontrerez en entretien.

Vérifier le périmètre d’intervention. Une conformité partielle est inutile, il est important de vérifier que tous les volets de la conformité RGPD sont bien présents.

Exemple :

l’encadrement des sous-traitants est-il inclus ?

Est-ce que le DPO externe se nomme auprès de la CNIL ?

Quels documents juridiques sont livrés ?

Dois-je payer pour chaque nouveau document demandé ?

Posez plusieurs questions RGPD lié à votre contexte pour bien comprendre la manière dont sont traités les sujets.

Demander à contacter l’un des clients de la société ou du cabinet d’avocats. Si l’un des deux sujets s’avère complexe, méfiance !

Quels acteurs peuvent devenir votre DPO externe ?

Il existe plusieurs types d’acteurs qui peuvent prendre le rôle de DPO externe pour votre entreprise, association ou pour un autre type d’acteur :

Cabinets d’avocats :

Ce sont les acteurs traditionnels de la mise en conformité RGPD. La formation des avocats est réputée de bon niveau. Ils réalisent une méthode basée sur un audit de départ. Les tarifs sont élevés.

Cabinets RGPD et Freelances :

Ce sont des juristes ou des personnes ayant réalisés une formation sur le RGPD et le métier de DPO. Ils pratiquent également la méthode traditionnelle. Ces acteurs s’appuient souvent sur des softwares qui permettent principalement d’organiser le travail et de formaliser le registre des traitements. Mais ces softwares ne réalisent pas les documents juridiques, ils proposent au mieux un Template générique. La qualité de cette option « DPO + sotfware » est assez variable. Elle dépend beaucoup du DPO que vous choisissez, de sa formation. Les tarifs sont plus accessibles qu’en cabinet d’avocat RGPD mais il faut souvent payer le DPO et le software.

Dipeeo :

Dipeeo regroupe à la fois le sofware et les DPO certifiés, ex-avocats dans la même société. Le software automatise les parties de mise en conformité à faible valeur ajoutée. Dipeeo permet ainsi d’être en conformité RGPD simplement et d’être accompagné au quotidien par un DPO certifié référent.

Les DPO étant formés et s’appuyant sur une méthode éprouvée et un software, la qualité délivrée est très bonne. Les fonctions d’automatisation permettent un gain de temps très important pour le clients notamment en réduisant fortement le temps d’audit. Les tarifs sont très accessibles grâce à l’automatisation partielle. C’est l’expérience globale de la conformité RGPD qui est transformée.

La nomination d’un DPO externe est-elle obligatoire ?🔥

La désignation d’un délégué à la protection des données est obligatoire pour :

  • les autorités ou organismes publics (à l’exception des juridictions dans l’exercice de leurs fonctions juridictionnelles) ;
  • les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique de personnes à grande échelle ;
  • des organismes dont les activités de base les amènent à traiter à grande échelle des données sensibles ou relatives à des condamnations pénales et infractions.

📄 La CNIL recommande une bonne pratique : dès que l’organisme rencontre des problématiques liées relatives à la protection des données personnelles, la désignation d’un DPO est recommandée pour identifier et coordonner les actions.

Vous êtes à la recherche d’un DPO externe ? 

Nous sommes là pour vous aider. 

Pour en savoir plus, prenez un RDV avec l'un de nos experts !

Le témoignage d'une cliente accompagnée par le DPO externe Dipeeo

Leadjet logo
Laura Patricia - Head of Marketing - Leadjet

Grâce à Dipeeo, le RGPD est accessible aux Startups comme nous. Dipeeo propose un service qui inclut tout ce qui concerne la mise en conformité RGPD. 

Nous savons que les conséquences vont être très lourdes si jamais il y a un contrôle de la CNIL en cas de non conformité RGPD. Dipeeo nous a donc aidé à structurer et organiser les données personnelles que nous traitons. 

Notre Start-up est spécialisée dans le secteur du digital, raison pour laquelle nous prenons au sérieux le RGPD. Sans oublier qu’être en conformité RGPD permet d’avoir plus de confiance vis-à-vis des clients de telle manière qu’ils se sentiront plus en confiance. 

Nous sommes très satisfaits de la qualité de service proposé par Dipeeo. Ils sont tout le temps accessibles et nous ont permis de renforcer notre image de marque »

Play Video about Témoignage client Leadjet
Plus de témoignages clients - YouTube Dipeeo

Dipeeo : c'est un DPO externalisé qui traite tous les sujets RGPD pour vous

Cela va vous permettre de gagner du temps et de sécuriser votre business, pour un coût près de 3 fois moindre qu’un cabinet d’avocat

Icone dpo_externe
Icone dpo_externe
Icone dpo_externe
Icone dpo_externe
Icone dpo_externe

DPO externalisé à vos côtés

Conformité RGPD globale

Simple et rapide

Certifié par des avocats et DPO

Le label "RGPD Conforme" délivré

Tous nos DPO sont certifiés par l'AFNOR et justifient d'une
expérience significative

Envie de découvrir
Dipeeo ?
Demander une démo !

Nous sommes disponibles pour échanger sur vos besoins
et vous présenter le service de DPO externalisé Dipeeo
 
Votre DPO externalisé réalise votre mise en conformité et traite
tous les sujets RGPD au quotidien

Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.

Les ressources disponibles

L'essentiel du RGPD

L’essentiel du RGPD

L’essentiel du RGPD Le RGPD en 9 points Qu’est-ce que le RGPD ? ⭐ Qui est concerné par la conformité RGPD ? 📜 Comment s’effectue...

Read More
charte informatique cnil rgpd

Exemple de Charte RGPD

La Charte RGPD Rédiger ma Charte RGPD La Charte RGPD de Dipeeo Comment rédiger vos mentions RGPD ? La Charte de Données Personnelles est-elle obligatoire...

Read More