Le DPO mutualisé

Le DPO (Data Protection Officer) ou le correspondant à la protection des données est un acteur important dans le domaine de la protection des données personnelles en entreprise. La loi fait obligation à chaque entreprise de designer un DPO pour répondre à une obligation légale liée au processus de mise en conformité à la loi sur les données personnelles.

 À côté de la notion de DPO telle que nous la connaissons, existe celle de « DPO mutualisé » qui prête bien souvent à confusion et tend à confondre plus d’un, dans son appréhension.

D’ailleurs, d’aucuns la définissent comme faisant référence au fait pour une entreprise d’avoir désigné en son sein, à la fois un DPO interne ET un DPO externe. La notion de DPO mutualisé signifierait donc l’association d’un DPO personne physique et d’un DPO personne morale au sein d’une même entreprise. QUE NENNI !

Cette approche bien qu’intéressante, est contraire à l’idée qu’en avait le législateur Européen en le consacrant dans ses textes.

En effet, la notion de « DPO mutualisé », n’a pas été consacrée par les textes ivoiriens. Toutefois, l’utilisation des référentiels internationaux est autorisée en Côte d’Ivoire par la Décision de l’ARTCI N°2014-0020 du 03 septembre 2014, portant adoption des règles de conduite relatives au traitement et à la protection des données à caractère personnel, en son chapitre 5, point 5.4 §1, page 58.

Cette décision conseille de « privilégier le recours à des référentiels reconnus et de recourir de préférence à des normes internationales, des guides publiés par des institutions telles que la CNIL et l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) ».

Ainsi, afin d’appréhender cette notion de « DPO mutualisé », nous nous référons au RGPD qui, en son article 37.2, dispose : « Un groupe d’entreprises peut désigner un seul délégué à la protection des données à condition qu’un délégué à la protection des données soit facilement joignable à partir de chaque lieu d’établissement ».

En clair, le DPO mutualisé est un DPO qui, sous certaines conditions, exerce ses missions pour un groupement d’entreprises, ou pour une structure qui dispose de plusieurs filiales.  De plus, il peut aussi bien être, une personne physique que morale.

Le RGPD énonce à ce titre, cette possibilité pour les responsables de traitement de la zone Européenne.

Mais si le législateur Européen en matière de Protection de données personnelles permet l’existence d’un DPO mutualisé, c’est dans l’objectif d’uniformiser la conformité des groupements de structures et aussi de mutualiser les coûts.

Conscient des difficultés auxquelles vous pourriez vous heurter face à ce concept innovant de données à caractère personnel, le cabinet Groupe DPSE, spécialisé dans l’accompagnement de la mise en œuvre de la protection des données personnelles des organismes privés et publics,  dans la gestion du patrimoine informationnel, ainsi que dans les secteurs de la cybersécurité et la lutte contre le blanchiment de capitaux, reste ouvert pour vous former et vous accompagner dans votre  processus de mise en conformité à la loi relative aux données personnelles.