Les responsables de la protection des données des multinationales américaines se sont récemment réunis lors de la PwC US Privacy Retreat pour une session sur la » deuxième ligne de défense : Choisir le meilleur modèle d’organisation de la protection de la vie privée à l’ère du DPO « , animée par le codirigeant mondial de la protection de la vie privée de PwC, Stewart Room. Cet article résume les 5 points principaux qui y ont été partagés ainsi que d’autres conversations que PwC a eues avec des clients sur cette question. Tout ce qu’il faut savoir sur la certification dpo
1) S’il faut nommer un DPO.
Le Règlement général sur la protection des données (RGPD) de l’UE impose à une organisation de nommer un délégué à la protection des données (DPD) sous trois conditions : il s’agit d’une autorité publique, elle effectue un suivi systématique des personnes, ou elle traite des données personnelles sensibles à grande échelle. Certaines multinationales font une lecture aussi étroite que possible de cette exigence afin d’éviter d’avoir à mettre en place ce responsable, et documentent leur raisonnement dans des mémos internes. D’autres, qui ne pensent pas être strictement tenues de désigner un DPO, prévoient tout de même de le faire afin d’établir des relations centralisées et positives avec les régulateurs. Si les entreprises font face à un risque réglementaire, contentieux ou contractuel modéré ou élevé vis-à-vis du GDPR et que l’Europe est une source importante de revenus futurs, elles devraient sérieusement envisager de nommer un DPO.
2) Où baser un DPD.
Placer le DPD dans l’État membre de l’UE où se trouve le « principal établissement » d’une entreprise en vertu du GDPR est la meilleure façon de le positionner pour réussir. Le DPD sera en mesure d’avoir une relation plus étroite avec le régulateur, en parlant la même langue et en comprenant l’interprétation particulière du GDPR par cet État membre. Pour les multinationales dont les opérations européennes sont centralisées au Royaume-Uni, en Suisse ou en Norvège, par exemple, les avantages d’un établissement principal ne sont pas possibles car ces pays sont en dehors de l’UE ou le seront bientôt. Par conséquent, certaines multinationales fortement exposées au GDPR envisagent de restructurer leurs opérations de ces sites vers un État membre tel que l’Allemagne, la France ou les Pays-Bas. Mais la grande majorité des entreprises dans cette situation calculent qu’il est bien plus coûteux de le faire que de gérer de manière appropriée les relations avec de multiples régulateurs et de fournir au DPO davantage de ressources à travers les principaux États membres pour ce faire. Plusieurs multinationales américaines dont le traitement des données et la prise de décision connexe sont centralisés aux États-Unis placent le DPD à leur siège américain pour avoir une influence maximale. Les multinationales devraient placer leur DPO là où leurs opérations de traitement des données sont centralisées, indépendamment du Brexit ou d’autres considérations liées à l’établissement principal
3) Où un DPO devrait se situer au sein d’une organisation.
La protection des données a historiquement été une fonction légale en Europe. En raison de cet élan historique, et parce que les connaissances juridiques seront un facteur de réussite essentiel pour les DPO, de nombreuses entreprises ayant leur siège en Europe placent le DPO dans le département juridique. En revanche, les multinationales américaines, qui ont une approche plus diversifiée du placement de leurs responsables de la protection de la vie privée, envisagent des fonctions dont la mission est plus indépendante, comme l’audit interne, la gestion des risques d’entreprise, l’éthique et la conformité. Si les entreprises placent leur DPD au sein du service juridique, elles doivent créer un conseil en protection de la vie privée EMEA distinct pour permettre au DPD d’être indépendant. Si les entreprises placent leur DPD au sein de l’audit interne ou d’une autre fonction indépendante, le DPD doit avoir des connaissances juridiques appropriées.
4) S’il faut faire du DPD allemand le DPD GDPR.
En raison des exigences préexistantes de l’Allemagne pour désigner un DPD, de nombreuses multinationales en emploient déjà un là-bas. Les entreprises dont le siège est en Allemagne élèvent souvent le rôle de leur DPO basé en Allemagne pour en faire leur DPO GDPR. Pour d’autres, cependant, la décision n’est pas aussi facile à prendre. Souvent, le DPD allemand ne connaît que la loi allemande sur la protection des données ou donne une interprétation plus stricte du GDPR que ses homologues des autres États membres. Pour ces raisons, de nombreuses multinationales qui ont décidé de désigner un DPD en établissent un distinct de leur DPD allemand et font en sorte que le DPD allemand rende compte au nouveau DPD GDPR. À moins que l’Allemagne ne soit le principal établissement GDPR d’une entreprise, ou que le DPO allemand soit exceptionnellement qualifié, une personne différente devrait être choisie comme DPO GDPR.
5) S’il faut faire appel à un DPO externalisé.
La plupart des multinationales qui ont décidé de nommer un DPO GDPR n’envisagent le rôle qu’en tant qu’employé à temps plein. Cela dit, le GDPR permet aux entreprises de confier la responsabilité de DPO à une personne ou une entreprise sous contrat. Cette option peut être intéressante pour les entreprises qui ont une exposition limitée au GDPR, et c’est une approche courante pour répondre à l’exigence allemande de DPO. Les entreprises qui ont du mal à trouver un DPO ayant l’esprit d’entreprise et répondant à toutes les exigences en matière de localisation, de langue et de compétences, complètent leur employé DPO à temps plein par un contractant qui comble les lacunes manquantes. Les entreprises qui ont une exposition limitée au GDPR ou qui n’ont pas réglé une stratégie d’organisation de la vie privée à long terme devraient envisager une option de DPO externalisé, mais la stratégie à long terme la plus réussie sera probablement un employé nommé.