DPO externalisé et mutualisé : ingrédients d’un succès

Plus qu’une fonction, il se doit d’être un capitaine de navire ou un chef d’orchestre tant pour ses équipes internes que ses clients.
Pour ce faire, ce dernier doit s’appuyer sur un triptyque :
Organisation, animation et pilotage, gages de succès dans sa mission.

Au sein de certains secteurs économiques, de plus en plus de structures ont aujourd’hui recours à un Data Protection Officer (DPO) externalisé et mutualisé.

Partageant des caractéristiques communes (comme l’obligation de nommer un DPO, des activités ou métiers similaires, l’appartenance à un groupe ou un groupement professionnel, des ressources humaines et temporelles limitées etc) l’externalisation et la mutualisation de la fonction de DPO apparait souvent comme la meilleure solution pour gérer la conformité RGPD dans un environnement complexe.

Malgré tout, derrière ces similitudes se cachent bien souvent une très grande hétérogénéité en termes de taille, d’organisation interne, de gestion des données et de maturité vis-à-vis du RGPD. Autant d’enjeux que le DPO doit prendre en compte dans sa réponse aux attentes opérationnelles de ces structures et aux exigences de conformité.

Avant toutes choses, deux prérequis doivent être réunis :

1. Il faut que tous les acteurs soient bien conscients que le DPO mutualisé est bien DPO de chacune des structures prises individuellement mais qu’il intervient dans un cadre mutualisé. Cela signifie que les modalités d’exercice de sa mission sont avant tout collectives. Il doit trouver la bonne organisation et les bons leviers pour emmener une collectivité de structures partant toutes d’une situation différente à un point d’arrivée unique.

2. Il faut aussi être conscient que nommer un DPO externalisé et mutualisé n’est pas un moyen d’externaliser la contrainte liée au RGPD, de se « débarrasser du problème », car le responsable ultime reste le responsable de traitement.

Notre expérience de ces situations nous amène à constater les facteurs clé de succès suivants :

Organiser une gouvernance qui assure une bonne communication du DPO jusqu’aux acteurs dans les métiers

La structuration d’une gouvernance tant humaine que technique est un point essentiel pour un DPO mutualisé externalisé. Du fait de sa posture externe aux structures, ce dernier n’a pas une vision opérationnelle de ces dernières, ne peut connaitre leurs organisations. Pour pallier cela, nous avons mis en place un réseau de Correspondants à la protection des données (CDP), tête de pont du RGPD dans les structures.

Ces CDP ont pour rôle d’assurer la remontée d’information des équipes opérationnelles et d’être des ambassadeurs du RGPD en favorisant la mise en place des règles et bonnes pratiques. A leur niveau, les CDP doivent aussi mettre en place un réseau de correspondants internes dans les métiers pour déployer de manière opérationnelle le RGPD et assurer sur la durée la conformité.

De plus, le pilotage du déploiement et la gestion de la conformité en environnement mutualisé passe nécessairement par un outil informatique nous permettant de monitorer, de coordonner, de tracer et de contrôler la conformité : registre des traitements, des demandes de droits des individus, violations de données etc.

Trouver les bons leviers d’animation pour déployer la conformité pour tous dans une dynamique de groupe.

A partir d’une diversité de situations au regard des exigences du RGPD, la difficulté pour le DPO est de créer un parcours qui puisse amener chacun des correspondants et des structures à un niveau de conformité identique dans une temporalité qui est la même pour tous.

Un pilotage à 360 degrés.

Être DPO externalisé et mutualisé est avant tout une affaire d’équipe, le DPO seul ne peut pas y arriver, il doit s’entourer d’experts. Chez Grant Thornton, le DPO est, selon les demandes du client, un avocat de Grant Thornton Société d’Avocats, ou un consultant de Grant Thornton, représenté par leurs structures respectives et qui bénéficie de toutes les ressources du groupe, avocats, consultants conformité, cyber spécialistes…

Le DPO doit d’un côté coordonner les actions et les interventions de ces compétences et d’autre part coordonner les structures dont il est DPO. En effet, gérer une dizaine (ou plus) de structures de concert peut vite s’avérer ardu pour un DPO. Aussi, en complément du dispositif technique présenté ci-avant, nous avons instauré des réunions mensuelles puis trimestrielles de suivi et de retour d’expérience afin en permanence d’ajuster le dispositif, le rythme de travail, les thématiques traitées en fonction de l’actualité ou des urgences.