Le délégué à la protection des données doit-il être interne ou peut-il être externe aux responsables de traitement et sous-traitants ?

Le RGPD permet les 2 possibilités. Le délégué à la protection des données peut être un employé du responsable de traitement ou du sous-traitant concerné. Ces derniers peuvent également faire appel à un DPO externe via un contrat de service. Dans ce dernier cas, un même DPO pourra travailler pour plusieurs entreprises ou autorités et organismes publics pour autant bien sûr, qu’il reçoive suffisamment de soutient, ait suffisamment de temps à consacrer à chacun de ses « clients » et que cela n’entraîne pas de conflit d’intérêt dans son chef.