Un nouveau métier, non encore très connu par la plupart des entreprises, a vu le jour depuis l’application des nouvelles règles sur la protection des données (RGPD). Les entreprises sérieuses font de plus en plus appel à un DPO (Data Protection Officer) ou DPD en français (Délégué à la Protection des Données), un métier qui vient en remplacement de celui du Correspondant Informatique et Libertés (CIL), depuis mai 2018, date d’entrée en vigueur de l’application du RGPD.
Dans cet article, nous allons voir s’il est nécessaire de prendre un DPO en interne ou externalisé, en étudiant ensemble les avantages et les inconvénients de chaque cas.
Quels sont les avantages d’un DPO interne ?
C’est la question que de nombreuses entreprises, surtout celles de petites tailles, se posent très souvent, lorsqu’elles sont confrontées à la question de savoir s’il leur sera profitable d’embaucher un Délégué à la Protection des Données au sein de leurs entreprises.
Une équipe de professionnel dans votre personnel qui sera chargé de la conformité RGPD (Règlement Général pour la Protection des Données) est en fait indispensable, mais vous devez aussi penser en termes de rapport coûts-bénéfices avant de décider si vous devez embaucher en interne ou non. Leurs avantages au sein de votre entreprise sont nombreux, parmi lesquels :
- Une bonne connaissance de votre environnement de travail : Un DPO interne connaîtra toujours mieux votre entreprise qu’un spécialiste externalisé. Il connaît vos interlocuteurs, les métiers et process mis en place dans votre entreprise, les logiciels et outils que vos employés utilisent au quotidien, les valeurs de votre entreprise, etc. Toutefois, l’inconvénient ici est qu’il faudra un temps de formation pour que ce professionnel s’adapte aux réalités de l’entreprise afin d’être totalement disponible.
- Une grande réactivité face aux menaces et autres attaques : Un DPO interne sera toujours disponible pour intervenir le plus rapidement et le plus efficacement possible face aux éventuelles attaques cybernétiques. Il sera toujours à proximité des autres employés et au sein des différents services.
- Le coût : par rapport à un DPO externe, le coût horaire ou mensuel de ce professionnel sera plus bas, ce qui peut être un avantage pour l’entreprise. Mais dans la pratique, le salaire et l’ensemble des charges liées à ce personnel représentent pour les petites entreprises un coût difficilement supportable (le salaire d’un DPO interne débutant peut varier autour de 3200 € bruts par mois). Notons cependant que le salaire d’un DPO interne est souvent difficilement chiffrable dans la mesure où ce salarié est souvent très indépendant et peut se retrouver à faire de longues périodes sans travailler.
Il revient donc à l’entreprise de faire des analyses approfondies pour savoir si elle doit prendre ou non un DPO en interne.
Quels sont les avantages d’un DPO externalisé ?
C’est la solution qu’adopte la plupart des entreprises de petites tailles, surtout lorsqu’elles n’ont pas toujours les moyens adéquats pour s’offrir les compétences d’un DPO interne. Les avantages d’un DPO externe sont nombreux, parmi lesquels :
- Son indépendance : il intervient seulement en tant que conseil auprès de l’entreprise où il est sollicité. Avec son expérience, il intervient ponctuellement en tant que professionnel pour s’assurer que tout est en ordre.
- Sa certification : tous les DPO externes doivent justifier d’une certification, ce qui atteste de leur professionnalisme dans le domaine de la protection des données et représente un gage de sécurité pour les entreprises.
- La maîtrise du budget : grâce à une relation de contrat entre l’entreprise et le DPO externalisé, il peut avoir une plus grande maîtrise du budget conformité RGPD.
- Une disponibilité immédiate : les DPO externalisés sont disponibles à la carte et peuvent intervenir en fonction des besoins de l’entreprise qui les sollicite. De plus, ils n’ont pas besoin d’une formation particulière ou d’un temps d’adaptation (à moins que ce soit en début de contrat où le DPO prendra le temps qu’il faut pour analyser l’environnement de l’entreprise afin de se familiariser avec ses méthodes de travail), puisqu’en général, ils connaissent déjà les entreprises avec lesquelles ils travaillent.
- Le coût : par rapport à un DPO interne, le coût de ce professionnel est bien sûr plus élevé à l’heure, mais puisque l’entreprise n’a aucun salaire mensuel à payer, ni aucune charge liée à l’embauche d’un employé. Mais pour les petites entreprises, le coût horaire de ces DPO externalisés peut être particulièrement élevé et constituer un inconvénient pour la réalisation du contrat de travail.
Pour les entreprises de petites et de tailles moyennes, un DPO externalisé sera toujours la meilleure solution, ce qui permettra non seulement de garantir un service professionnel et de qualité, mais aussi à ne pas avoir à s’occuper des charges et des démarches administratives souvent coûteuses pour un employé supplémentaire.
Externalisez votre DPo
En conclusion
Alors, répondre à la question de savoir s’il faut prendre un DPO en interne ou externalisé est un peu difficile, mais il convient d’étudier le contexte et les spécificités propres à vous, comme les ressources humaines et financières à votre disposition, la taille de votre entreprise, vos besoins à court et à long terme sur la conformité RGPD.
Dans la pratique, Il est beaucoup plus simple pour les entreprises, institutions et gouvernements, de faire recours à un DPO externalisé pour la protection et la sécurité de leurs données et de leurs systèmes informatiques. Ce dernier devra mettre en place un système hautement performant pour assurer la sécurité de votre organisation contre d’éventuelles attaques cybernétiques, en plus de former l’ensemble de votre personnel dans les notions de sécurité informatiques et des bonnes pratiques à adopter au quotidien. Un DPO externalisé vient faire des vérifications ponctuelles au niveau de la sécurité, et sensibilise le personnel sur les comportements à adopter pour la protection des données sensibles de l’entreprise.
En plus d’un DPO externalisé, les entreprises n’hésitent pas à recruter en interne un DPO interne qui puisse prendre le relais au niveau des dispositifs de sécurité mis en place, ou encore au niveau du suivi de la conformité RGPD par exemple.
