Prestation · DPO externe
Conformément à l'article 37 paragraphe 6 du RGPD, votre organisation peut désigner un DPO externe : un prestataire indépendant qui exerce l'ensemble des missions du délégué à la protection des données. Une solution adaptée aux PME, collectivités, associations et organismes publics qui souhaitent une expertise opérationnelle, sans recruter en interne.
Échanger sur votre besoin →Interventions à Annecy, Chambéry, Grenoble, Lyon, Bourg-en-Bresse, Paris et à distance.
Ce que nous faisons
L'article 39 du RGPD définit cinq missions principales. Toutes sont exercées dans le cadre de la prestation, sans exception, avec l'indépendance garantie par le règlement.
Méthode
Premier échange pour comprendre votre organisation, son secteur, ses enjeux et son niveau de maturité RGPD. Cette phase aboutit à une proposition de mission adaptée et chiffrée.
Cartographie des traitements, construction ou mise à jour du registre des activités de traitement, identification des points de non-conformité prioritaires.
Définition des chantiers à mener, avec un calendrier réaliste et des responsabilités clairement identifiées. Le plan est validé avec la direction.
Présence régulière (mensuelle ou trimestrielle selon le contrat), suivi des chantiers, conseil sur les nouveaux projets, gestion des demandes d'exercice de droits, réponse aux incidents.
Tableau de bord trimestriel ou semestriel pour la direction. Réévaluation annuelle de la maturité et ajustement du plan d'action.
Pour qui
La désignation d'un DPO est obligatoire pour les autorités et organismes publics (collectivités, établissements publics, hôpitaux, écoles), pour les organisations dont les activités impliquent un suivi régulier et systématique des personnes à grande échelle et pour les structures traitant des données sensibles à grande échelle (santé, données biométriques, opinions, etc.).
Pour les autres organisations, elle est fortement recommandée dès lors qu'un projet RGPD significatif est en cours ou qu'un risque de contrôle existe. Le DPO externe est particulièrement adapté aux PME, ETI, associations, collectivités de taille intermédiaire et organismes publics qui n'ont pas besoin d'un DPO à temps plein.
Pour aller plus loin sur les critères de choix d'un DPO externe et les questions à poser avant de signer, consultez l'article DPO externe : pourquoi le choisir et comment bien le choisir.
Questions fréquentes
Quelle est la différence entre DPO interne et DPO externe ?
Les missions et les protections sont identiques (article 37 du RGPD). La différence tient au lien contractuel : salarié pour le DPO interne, prestataire pour le DPO externe. Le DPO externe offre une indépendance structurellement garantie, une expertise à jour et une disponibilité ajustable.
Plusieurs organismes peuvent-ils partager un DPO externe ?
Oui. L'article 37 paragraphe 2 du RGPD autorise explicitement la mutualisation d'un DPO entre plusieurs organismes, sous réserve qu'il soit facilement joignable depuis chaque entité. Cette formule est particulièrement adaptée aux groupements de collectivités et aux réseaux associatifs.
Combien de temps avant d'être opérationnel ?
La mission peut démarrer dans un délai de 2 à 4 semaines après la signature du contrat. La phase de cadrage initial dure généralement 2 à 4 semaines, puis le DPO est pleinement opérationnel.
Combien coûte un DPO externe ?
Le tarif dépend de la taille de l'organisation, du volume et de la sensibilité des données traitées, du nombre de sites et du temps de présence requis. Un devis est établi après le premier échange. Toutes les missions sont forfaitisées pour éviter les mauvaises surprises.
Premier échange sans engagement pour évaluer votre besoin.
À voir aussi : Audit RGPD · Audit site web RGPD · Toutes les prestations RGPD · Choisir un DPO externe