Temps de lecture :
La mutualisation du DPO externe consiste à désigner une seule et même personne (ou organisme) comme Délégué à la Protection des Données pour plusieurs entités ou structures présentant des activités comparables.
Ce modèle est tout à fait conforme au RGPD (Règlement Général sur la Protection des Données) à condition que :
- Les besoins des entreprises mutualisant la fonction de DPO soient compatibles (secteurs ou métiers proches),
- Les missions du DPO soient réalisables dans de bonnes conditions pour chacune des parties,
- Des garanties organisationnelles et de confidentialité soient prévues.
Quels avantages ?
- Réduction des coûts liés à la fonction DPO,
- Accès à un DPO externe spécialisé, apportant expertise et veille réglementaire,
- Partage de bonnes pratiques et de ressources entre les structures partenaires,
- Solution flexible et adaptée à la taille des PME, associations, collectivités et structures publiques ou privées.
À qui s’adresse la mutualisation ?
La mutualisation s’adresse principalement à des structures de taille modeste ou intermédiaire (PME, associations, collectivités locales…), ayant des enjeux similaires en matière de protection des données personnelles.
Il est nécessaire d’identifier des partenaires de confiance, dont les exigences et activités sont proches des vôtres.
Modalités de mise en place
- Approche collaborative : échangez avec d’autres structures comparables.
- Convention ou contrat de mutualisation précisant les missions, coûts, durée et modalités d’intervention du DPO.
- Respect des obligations d’information et de transparence vis-à-vis des personnes concernées.
Un exemple concret :
Pour les Communauté Professionnelle Territoriale de Santé ( CPTS ), il est possible de mutualiser un DPO externe soit :
- entre les différentes CPTS d’une ville si plusieurs CPTS ont été créés pour prendre en charge la population,
- entre toutes les CPTS d’un département,
- il serait encore possible de mutualiser le DPO externe par l’interCPTS.