Comment assurer les DPO ?
Le Data Protection Officer / Délégué à la Protection des Données, dit « DPO », est un personnage clé du règlement européen sur la protection des données (RGPD / GDPR) entré en application le 25 mai 2018.
Beaucoup d’entreprises ont l’obligation de désigner un DPO (voir article 37 du RGPD).
Le DPO est associé à toutes les questions relatives à la protection des données à caractère personnel dans l’organisation qui l’a désigné.
Il doit être doté des moyens pour réaliser sa mission et pouvoir agir de façon indépendante. Et, bien sûr, il est nécessaire de couvrir sa responsabilité avec une assurance.
Le DPO peut être un salarié de son organisation ou un consultant externe.
Pour savoir comment assurer la responsabilité civile d’un DPO, il conviendra de distinguer selon qu’il est un salarié de l’entreprise pour laquelle il exerce sa mission (1 – DPO interne) ou qu’il est un consultant externe (2 – DPO externe).
1. Le DPO interne
Lorsqu’une entreprise fait le choix d’un DPO interne, le salarié qu’elle désignera pourra bénéficier de son assurance de Responsabilité Civile d’Exploitation – Responsabilité Civile Professionnelle (RCP).
En effet, les contrats d’assurance de RCP attribuent normalement la qualité d’assuré aux salariés du souscripteur ou des assurés additionnels.
Par conséquent, les DPO Internes n’ont pas besoin d’une assurance spécifique DPO qui n’apporterait rien de plus à l’assurance RCP.
2. Pour les DPO externes : faut-il une assurance RCP spécifique ?
Un DPO externe est un prestataire qui tient lieu de DPO de son client en vertu d’un contrat de service.
« La RCP existante devrait suffire »
Si cette activité de DPO vient compléter une activité existante du prestataire, par ailleurs avocat, conseil en informatique, en sécurité, en conformité, en certification, etc., sa nouvelle activité de DPO doit pouvoir être assurée dans le cadre de son contrat d’assurance de RCP déjà en place pour l’activité principale.
« Points de vigilance »
Il conviendra pour cela de :
- Mettre à jour les activités à assurer dans le contrat,
- Vérifier que le contrat n’a pas d’exclusion portant (i) sur les conséquences d’une atteinte à la législation aux données personnelles ni (ii) sur les conséquences d’une immixtion dans la gestion ou l’organisation de ses clients.
« La RCP de Syntec Numérique Assurances déjà adaptée aux DPO externe »
Les contrats d’assurance de RCP du programme de Syntec Numérique Assurances conçus par Neotech Assurances couvrent déjà les risques propres aux activités de services de DPO interne ou externe et peuvent donc intégrer sans surcoût les activités de DPO.
Pour les nouveaux prestataires dont l’activité porterait exclusivement sur les prestations de DPO, une assurance de prestataire de services de qualité (en vérifiant les points de vigilance ci-dessus) devrait convenir.
« Des offres marketing »
Donc attention aux effets d’annonce marketing. En particulier, les contrats dits « spécifiques DPO » n’ont rien de spécifique et n’ont pas été rédigés pour les DPO. Ce sont des contrats standards d’assurance pour les prestataires de service auxquels on a rajouté un titre purement marketing. Ces contrats dits « spécifiques » visent à alourdir votre budget assurantiel alors qu’une mise à jour sans surprime devrait suffire.