En premier lieu, il est important de savoir que lorsqu’une entreprise n’a pas respecté la législation RGPD, le DPO ne peut pas être considéré comme le responsable final. La responsabilité incombe entièrement à l’entreprise.
Le Data Protection Officer doit cependant se protéger contre les tâches qui ont un lien indirect avec la législation RGPD et pour lesquelles son donneur d’ordre peut bel et bien être responsable.
En tant que DPO nous participons activement à la gestion de l’entreprise, influençons sa stratégie, ses investissements car ils doivent être en ligne avec la loi. Si nous sommes des consultants externes avec une expérience au delà des lois nous sommes alors des conseillers privilégiés.
Le RGPD est récent et ses interprétations nombreuses, il n’est pas rare d’avoir des avis différents entre spécialistes. Il y a aussi les entreprises qui ont senti la demande auprès de leurs clients et qui se sont auto-proclamés experts sans avoir pour autant maîtrisé le sujet.
Quels sont les risques, pour le client, et pour la société de conseil / DPO ?
Voici quelques exemples :
- Le DPO donne un mauvais conseil pour la politique de confidentialité du client, ce qui entraîne la divulgation de données client.
- Le DPO conserve diverses données importantes du client en matière de traitement des données, puis les perd.
- Le client subit une perte financière en raison d’un mauvais conseil concernant la législation RGPD et le traitement des données.
- Le DPO élabore l’ensemble du système informatique pour le traitement des données, et lors de la mise en place, le client est confronté à une perte de données.
- Le DPO n’a pas les compétences requises en sécurité informatique et valide des méthodes qui ne respectent pas les états de l’art et ne peuvent se justifier pour des raisons métiers/financières, impliquant une faille de sécurité et une perte de données personnelles
- Le DPO exige au travers de ses contrats des éléments excessifs (ex : exigences de sécurité) et le client se voit payer des prestations plus coûteuses auprès de ses partenaires sans raison réelle.
- Le client étant responsable de sa conformité, il subira malheureusement l’impact d’une incompétence de son DPO, qu’il soit interne ou externe. En effet, le contrat de DPO ne peut en aucun cas stipuler que si le DPO fait mal son travail, il subira les amendes RGPD. Assurez-vous donc que votre conseiller est à la hauteur de vos attentes !
Ces situations existent, le DPO n’est donc pas sans risque. S’il crée un dommage il pourrait se voir confronté à la réparer. Côté client, un mauvais choix peut aussi coûter cher.
Un DPO interne ou externe ?
Que le DPO soit interne ou externe à l’entreprise change fortement l’impact sur l’entreprise. Les DPO interne sont généralement remontés en une fois au niveau du top management de l’entreprise et mettent du temps avant de comprendre réellement les enjeux et l’intérêt de leur position. Mais il est toujours sur place, et connait très bien l’entreprise, c’est son avantage. Le DPO externe quant à lui prend le rôle très rapidement, mais peut passer à côté de certaines informations car les collaborateurs dans l’entreprise « oublient » ou ne pensent pas que l’information devait être portée à son attention, son avantage est le même qu’un consultant externe, il voit beaucoup de choses et a une expérience beaucoup plus large.
En terme de coûts, le DPO interne sera plus cher dans une petite et moyenne entreprise. Car le temps de travail ne représente pas un temps complet, de plus il prendra plus de temps car moins expérimenté. Le DPO externe ne facture que son temps passé et est beaucoup plus rapide, il peut réutiliser ce qu’il a déjà fait chez ses autres clients. Mais son tarif horaire sera plus élevé.