La principale tâche du délégué à la protection des données (DPD) est de veiller à ce qu’une organisation traite ses données personnelles conformément aux lois et dispositions applicables en matière de protection des données. Le DPD contribue donc à réduire le risque de traitement non conforme, auquel votre entreprise peut être exposée à votre insu. De cette manière, le fait de disposer d’un DPD garantit que votre entreprise a un niveau élevé de conformité en matière de protection des données, que des mesures de sécurité appropriées sont mises en œuvre et, surtout, que votre risque d’atteinte à la vie privée – et donc votre risque commercial – est correctement géré.
Vous pourriez hésiter entre désigner un de vos employés comme DPD ou en désigner un externe. La désignation d’un de vos employés comporte plusieurs risques et le choix d’un DPD externe présente plusieurs avantages. Nous en avons énuméré quelques-uns :
-
- De nombreuses entreprises n’ont pas de personnel qualifié en matière de protection des données et de sécurité des informations en interne. En faisant appel à CRANIUM, vous pouvez vous assurer que votre DPD possède l’expertise, les compétences et les outils nécessaires pour remplir ce rôle. En effet, tous nos consultants sont formés comme DPD en matière de protection et de sécurité des données, équipés des équipements nécessaires par Cranium et beaucoup ont des certifications IAPP (telles que CIPPE, CIPM, CIPT, etc.) pour mener à bien leur mission. De plus, un bon DPD doit avoir d’excellentes compétences en matière de communication, une qualité partagée par tous nos consultants.
-
- La nomination d’un DPD externe garantit également l’absence de conflit d’intérêts et l’indépendance totale du DPD (article 38.6 du RGPD). L’Autorité belge de protection des données est stricte en la matière, et a récemment infligé une amende de 50 000 euros à un opérateur de télécommunications qui avait nommé son Directeur de la Conformité comme DPD. Dans le cadre de ses fonctions de conformité et d’audit, le directeur avait une responsabilité opérationnelle importante, ce qui signifie qu’il était en mesure de déterminer les objectifs et les moyens de traitement des données à caractère personnel. Ceci est incompatible avec la fonction de DPD, qui doit être en mesure d’accomplir ses tâches de manière indépendante. Cela signifie que toute personne ayant un pouvoir de décision sur les activités d’une entreprise ou d’un service (par exemple, les chefs de service, les directeurs, C-Suite) ne peut pas également assumer le rôle de DPD en relation avec ces activités, sans porter atteinte à l’indépendance du rôle du DPD et créer un conflit d’intérêt.
-
- Engager quelqu’un en interne signifie également lui donner une double casquette. Une personne ayant deux fonctions dans une entreprise aura plus de difficultés à détecter les risques liés à la protection des données à caractère personnel qu’une personne ayant un regard extérieur sur une organisation. De plus, il peut être difficile pour un employé de fournir une analyse franche et indépendante de peur d’offenser sa direction. Un DPD externe rassurera mieux vos partenaires, actionnaires et clients sur le fait que vous protégez vos données de manière responsable, et la confiance des clients n’a pas de prix !
-
- La désignation d’un DPD externe peut également permettre de réaliser des économies considérables. Le coût d’un DPD externe sera inférieur au coût de l’embauche d’une personne à temps plein pour remplir cette fonction en interne. En effet, un DPD externe est flexible et ne travaille pour vous que lorsque vous avez besoin de lui. Par exemple, un DPD externe peut travailler à temps plein au début pendant la mise en œuvre, et réduire son temps de travail plus tard, lorsque seul un suivi (“maintenir et soutenir”) est nécessaire. Cela vous permet de rationaliser les coûts en fonction de la taille de votre entreprise et de vos besoins. En outre, les risques de non-conformité et de traitement illicite de données à caractère personnel peuvent avoir des conséquences financières importantes. Plusieurs amendes ont été imposées par les autorités de contrôle pour sanctionner les entreprises qui ont traité illégalement les données à leur disposition. Soyez prudents et faites appel à un DPD professionnel pour garantir la licéité de votre traitement de données !
-
- Enfin, le recours à un DPD externe permet d’établir un contrat transparent avec des tâches claires, précises et variées. En fonction des besoins de votre entreprise, le DPD peut s’occuper de la conformité au RGPD mais peut également couvrir d’autres tâches. Par exemple, les DPD peuvent fournir des conseils et des recommandations sur l’interprétation ou l’application des règles de protection des données, informer les employés de leurs obligations en vertu de la loi sur la protection des données, traiter les demandes ou les plaintes, alerter l’organisation de tout manquement aux règles de protection des données applicables, donner des conseils sur la protection des données par la conception, fournir des informations pour l’élaboration des DPIA, rédiger et tenir des registres des activités de traitement, etc. Un DPD peut également jouer un rôle de sensibilisation au sein de l’entreprise et former les employés à l’exercice de leurs fonctions dans le respect des règles de protection des données à caractère personnel.
Si vous hésitez encore à engager un DPO externe, ou si vous avez des questions, jetez un œil à notre service DPO ou contactez-nous!