Désigner un délégué à la protection des données dans une collectivité
Le RGPD impose à toutes les structures publiques de désigner un délégué. En pilotant les démarches de mise en conformité, il consolide les relations de confiance avec les administrés et limite les risques juridiques et d’image liés à une mauvaise utilisation des fichiers.
Les missions
-
Informer et conseiller la collectivité
Le délégué a vocation à diffuser une culture de la protection des données au sein de la collectivité. Il doit communiquer sur les règles applicables, et sur les moyens de s’y conformer, à la fois auprès de son représentant légal (maire, président du conseil régional ou départemental, président de l’établissement public de coopération intercommunale, etc.), responsable de la conformité des traitements déployés, et des services opérationnels chargés de leur mise en œuvre.
Il les conseille par exemple sur la réalisation d’une analyse d’impact relative à la protection des données : obligation ou non d’y procéder, méthodologie à suivre, mesures/garanties techniques et organisationnelles à prévoir, nécessité ou non de consulter la CNIL.
Il existe différents modes d’intervention possibles pour le délégué : animation de séances d’information « RGPD », recours à différents outils de communication (affiches, rubrique spécifique sur l’intranet, etc.) ; établissement de modèles de mentions d’information et de clauses contractuelles encadrant la sous-traitance ; formalisation de politiques de confidentialité des données, de procédures relatives à la détection, prise en charge et notification des violation de données, à la gestion des demandes d’exercice des droits Informatique et Libertés, etc.
-
Contrôler le respect du règlement et du droit national en matière de protection des données
Dans la majorité des cas, le délégué tient et actualise le registre des traitements.
Le registre lui offrira une vue d’ensemble sur les finalités et conditions d’utilisation des données : quels objectifs, quelles informations, quels destinataires, quelle durée de conservation, quelles mesures de sécurité, etc. ?
Pour chacun des traitements mentionnés dans le registre, le délégué vérifie qu’ils disposent d’une base juridique (obligation légale, mission d’intérêt public, etc.) et satisfont bien aux grands principes de protection des données (transparence, confidentialité des données, respect des droits des personnes, etc.).
Le registre est à géométrie variable, selon la taille de la collectivité et la nature de ses activités. Celui des petites communes pourra contenir moins d’une dizaine de fiches (gestion de l’état civil, de la liste électorale, du cadastre, des repas des seniors, des prêts de la bibliothèque, etc.).
Le délégué doit concentrer prioritairement ses efforts (personnels à former, vérifications à mener, plans d’actions correctives à actionner, etc.) sur les traitements qui présentent des risques particuliers (sensibilité des données en cause ou de la finalité/portée du traitement, insuffisance évidente des mesures de sécurité, etc.).
Attention : le délégué n’est pas personnellement comptable du respect de la règlementation. Ainsi, en cas de manquement aux obligations en cause, il ne pourra être tenu juridiquement responsable en lieu et place de la collectivité et de son représentant légal.
-
Être le point de contact pour les personnes dont les données sont traitées et l’interlocuteur privilégié de la CNIL
Les personnes concernées par les traitements de la collectivité (usagers et agents en particulier), peuvent soumettre au délégué toute question relative au traitement de leurs données. Il appartient également au délégué de veiller à ce qu’il soit répondu aux demandes d’exercice des droits (accès, rectification, opposition, etc.) dans les délais prévus par les textes.
Le délégué joue par ailleurs un rôle de « facilitateur » dans les relations entre la collectivité et la CNIL : il doit coopérer avec elle et permettre son accès aux documents et informations sollicités dans l’exécution de ses missions (contrôles sur place/sur pièces, instruction de plaintes, notifications de violations de données, etc.).
Pour que l’accès au délégué soit au maximum facilité, la collectivité doit mentionner les moyens de le contacter sur ses différents formulaires de collecte de données, ainsi que sur son site internet (ex. : adresse électronique dédiée, telle que « dpo[@]mairie.fr »).
Les compétences
Le statut
Les différentes formes de délégués
La désignation auprès de la CNIL
La collectivité doit obligatoirement notifier à la CNIL la désignation de son délégué, en utilisant le téléservice dédié. Pour toute modification, elle peut envoyer un courriel au service des délégués à l’adresse électronique indiquée dans l’accusé réception de la désignation.