Désigner un délégué à la protection des données dans une collectivité

07 février 2020

Le RGPD impose à toutes les structures publiques de désigner un délégué. En pilotant les démarches de mise en conformité, il consolide les relations de confiance avec les administrés et limite les risques juridiques et d’image liés à une mauvaise utilisation des fichiers.

Les missions

Informer et conseiller la collectivité

Le délégué a vocation à diffuser une culture de la protection des données au sein de la collectivité. Il doit communiquer sur les règles applicables, et sur les moyens de s’y conformer, à la fois auprès de son représentant légal (maire, président du conseil régional ou départemental, président de l’établissement public de coopération intercommunale, etc.), responsable de la conformité des traitements déployés, et des services opérationnels chargés de leur mise en œuvre.

Il les conseille par exemple sur la réalisation d’une analyse d’impact relative à la protection des données : obligation ou non d’y procéder, méthodologie à suivre, mesures/garanties techniques et organisationnelles à prévoir, nécessité ou non de consulter la CNIL.

Il existe différents modes d’intervention possibles pour le délégué : animation de séances d’information « RGPD », recours à différents outils de communication (affiches, rubrique spécifique sur l’intranet, etc.) ; établissement de modèles de mentions d’information et de clauses contractuelles encadrant la sous-traitance ; formalisation de politiques de confidentialité des données, de procédures relatives à la détection, prise en charge et notification des violation de données, à la gestion des demandes d’exercice des droits Informatique et Libertés, etc.

Contrôler le respect du règlement et du droit national en matière de protection des données

Dans la majorité des cas, le délégué tient et actualise le registre des traitements.

Le registre lui offrira une vue d’ensemble sur les finalités et conditions d’utilisation des données : quels objectifs, quelles informations, quels destinataires, quelle durée de conservation, quelles mesures de sécurité, etc. ?

Pour chacun des traitements mentionnés dans le registre, le délégué vérifie qu’ils disposent d’une base juridique (obligation légale, mission d’intérêt public, etc.) et satisfont bien aux grands principes de protection des données (transparence, confidentialité des données, respect des droits des personnes, etc.).

Le registre est à géométrie variable, selon la taille de la collectivité et la nature de ses activités. Celui des petites communes pourra contenir moins d’une dizaine de fiches (gestion de l’état civil, de la liste électorale, du cadastre, des repas des seniors, des prêts de la bibliothèque, etc.).

Le délégué doit concentrer prioritairement ses efforts (personnels à former, vérifications à mener, plans d’actions correctives à actionner, etc.) sur les traitements qui présentent des risques particuliers (sensibilité des données en cause ou de la finalité/portée du traitement, insuffisance évidente des mesures de sécurité, etc.).

Attention : le délégué n’est pas personnellement comptable du respect de la règlementation. Ainsi, en cas de manquement aux obligations en cause, il ne pourra être tenu juridiquement responsable en lieu et place de la collectivité et de son représentant légal.

Être le point de contact pour les personnes dont les données sont traitées et l’interlocuteur privilégié de la CNIL

Les personnes concernées par les traitements de la collectivité (usagers et agents en particulier), peuvent soumettre au délégué toute question relative au traitement de leurs données. Il appartient également au délégué de veiller à ce qu’il soit répondu aux demandes d’exercice des droits (accès, rectification, opposition, etc.) dans les délais prévus par les textes.

Le délégué joue par ailleurs un rôle de « facilitateur » dans les relations entre la collectivité et la CNIL : il doit coopérer avec elle et permettre son accès aux documents et informations sollicités dans l’exécution de ses missions (contrôles sur place/sur pièces, instruction de plaintes, notifications de violations de données, etc.).

Pour que l’accès au délégué soit au maximum facilité, la collectivité doit mentionner les moyens de le contacter sur ses différents formulaires de collecte de données, ainsi que sur son site internet (ex. : adresse électronique dédiée, telle que « dpo[@]mairie.fr »).

Les compétences

Le statut

Le délégué doit :

pouvoir rendre compte au niveau le plus élevé de la hiérarchie

Quelle que soit sa position précise dans l’organigramme, le délégué désigné en interne doit pouvoir disposer d’un accès direct au niveau exécutif de la collectivité (maire, président du conseil départemental ou régional, directeurs généraux).

être en mesure d’exercer ses missions en toute indépendance

Cette deuxième condition signifie que le délégué bénéficie d’une liberté dans les analyses et actions qu’il décide d’entreprendre, et qu’il ne doit pas recevoir d’instruction dans l’exercice même de ses missions (par exemple, sur le sens des avis qu’il rend, sur l’orientation des conseils qu’il donne, etc.). Il ne peut donc pas faire l’objet d’une sanction ou d’une mesure préjudiciable du seul fait de leur accomplissement.

être à l’abri des conflits d’intérêts

La condition relative au conflit d’intérêts – ne pas se retrouver à la fois juge et partie – constitue une garantie d’indépendance importante. Ainsi, lorsque le délégué est amené à exercer d’autres fonctions de façon concomitante, elles ne doivent pas le conduire à décider des finalités et/ou des moyens de mise en œuvre des traitements de données personnelles.

Cette question doit être étudiée au cas par cas, notamment au regard de la taille, de la structure organisationnelle de l’organisme et de l’objet des activités parallèles. Par exemple, la fonction de directeur général des services apparaît particulièrement problématique à cet égard.

Le cas des secrétaires de mairie

Dans les petites collectivités, ils sont souvent pressentis pour occuper la fonction de délégué. Or, l’exercice des missions associées peut parfois se heurter à des difficultés : manque de temps à consacrer au sujet et risque de conflits d’intérêts.

Ainsi, avant de procéder à la désignation, le maire devra bien s’assurer que l’intéressé ne prend pas part au circuit de décision concernant les fichiers exploités par la collectivité (objectifs et conditions de mise en œuvre, données traitées, destinataires, durées de conservation, mesures de sécurité, etc.).

Le cas des conseillers municipaux

Les contraintes de moyens humains et matériels peuvent conduire des petites collectivités à envisager la désignation d’un conseiller municipal, agissant comme délégué à titre bénévole. Si cette démarche peut se comprendre, de manière transitoire, pour répondre à l’obligation de désignation d’un délégué, elle est, pour des raisons de principe, déconseillée par la CNIL.

En effet, en tant que membre de l’assemblée délibérante, le conseiller municipal est structurellement conduit à participer au processus de décision quant aux traitements de données à mettre en œuvre pour la satisfaction de politiques publiques ou la résolution de questions d’intérêt local.

A cet égard, l’absence de délégation de pouvoirs et la pratique du déport n’apparaissent pas suffisantes pour garantir la sécurité juridique de la commune : du fait de la définition légale particulièrement large des traitements de données personnelles, et de la multiplicité des délibérations ayant en réalité un impact sur ceux mis en œuvre, une gestion des conflits d’intérêts au cas par cas peut s’avérer en pratique très délicate à opérer.

Par ailleurs, l’exercice à titre exclusivement bénévole de la fonction de délégué peut soulever des difficultés dans la durée, compte tenu de la nature et de la lourdeur des questions susceptibles d’être posées au délégué, du rôle pouvant être joué par celui-ci dans la réponse aux sollicitations des particuliers, ainsi que des exigences en termes de maintien de l’expertise Informatique et Libertés.

Les différentes formes de délégués

Le délégué interne

Le délégué peut être un agent titulaire ou contractuel de la collectivité.
Lorsqu’elle est possible, la désignation interne répond parfaitement au besoin de proximité du délégué vis-à-vis des personnes qui mettent en œuvre les traitements (solide connaissance des métiers, grande réactivité).

La désignation d’un délégué interne n’empêche pas la collectivité de s’appuyer ponctuellement, et de façon complémentaire, sur l’expertise d’un prestataire externe.

Le délégué externe

Les collectivités ont la possibilité de recourir à un délégué externe, personne physique ou morale, par exemple un avocat ou un cabinet de consultants spécialistes des questions Informatique et Libertés. Un contrat de prestation de service relevant des règles de la commande publique devra alors être conclu.

L’avantage d’une telle solution est de permettre aux collectivités de bénéficier d’une expertise en matière de protection des données, ainsi que d’outils et procédures ayant fait leur preuve dans d’autres organismes.

La mutualisation de la désignation

Dans le cadre d’une coopération entre organismes publics, et dans le respect des dispositions légales applicables (code général des collectivités territoriales, droit de la fonction publique territoriale, droit de la commande publique, etc.), des délégués peuvent intervenir selon différentes modalités de mutualisation. Par exemple :

la mise à disposition d’un ou plusieurs agents par une collectivité territoriale ou un établissement public ;
la signature d’une convention de prestation de service entre une collectivité et un établissement public ;
la mise en place d’un service unifié entre des collectivités territoriales et leurs groupements, ayant pour objet la gestion collective des charges et obligations liées au traitement de données personnelles ;
la mise en place d’un service commun entre des communes, leur établissement public de coopération intercommunale à fiscalité propre et leurs établissements publics rattachés, au sein desquels le délégué exercera sa mission au profit de tous les cocontractants.

Ainsi, les délégués mutualisés pour plusieurs communes, groupements de collectivités et établissements publics locaux peuvent être situés tant au niveau :

d’une commune, d’un département ou d’une région ;
d’une communauté de communes, communauté d’agglomération, communauté urbaine ou métropole ;
d’un syndicat intercommunal, d’un syndicat mixte « numérique », d’un groupement d’intérêt public ou d’une agence technique départementale ;
que d’un centre de gestion de la fonction publique territoriale ou d’une association d’élus locaux.

Il peut s’agir de « délégués personnes physiques », employés par l’une des structures précédemment évoquées et mis à disposition d’autres organismes de même nature ou de nature différente, comme de « délégués personnes morales » ayant développé une offre de services en la matière dans leur ressort territorial.

Une solution adaptée à la situation des plus petites collectivités

La mutualisation du délégué permet en effet de rationaliser les coûts associés à la fonction, tout en bénéficiant de services de qualité, dispensés par des professionnels disposant de compétences Informatique et Libertés, de la connaissance des problématiques propres au secteur public local, d’une proximité avec les élus et de la disponibilité nécessaires à un exercice efficace des missions.

La convention de mutualisation et les garanties à prévoir

Les collectivités territoriales, établissements publics locaux et organismes privés chargés d’une mission de service public qui optent pour la mutualisation doivent conclure une convention définissant les conditions dans lesquelles s’exerce cette mutualisation.

Pour que l’action du délégué soit bien effective au sein de chaque organisme, il conviendra en particulier de veiller à ce que l’échelle de la mutualisation (nombre d’entités concernées) soit en adéquation avec les moyens alloués à la personne mutualisée.

Par ailleurs, lorsque cette personne est située au niveau d’une structure pouvant être qualifiée de « sous-traitant » pour des traitements des collectivités (ex. : structure publique de mutualisation informatique offrant à ses adhérents des prestations de développement d’outils, d’hébergement de données, de maintenance, etc.), elle ne devra avoir ni la position de dirigeant ni la qualité de donneur d’ordre au sein de la structure « mutualisatrice ». Une telle séparation fonctionnelle permettra d’écarter le risque de conflits d’intérêts.

La désignation auprès de la CNIL

La collectivité doit obligatoirement notifier à la CNIL la désignation de son délégué, en utilisant le téléservice dédié. Pour toute modification, elle peut envoyer un courriel au service des délégués à l’adresse électronique indiquée dans l’accusé réception de la désignation.

Les ressources du délégué

Les moyens fournis par la collectivité

Le maire ou président de la collectivité publique doit apporter au délégué désigné un soutien actif et pérenne.

Ainsi, en plus de communiquer auprès des collaborateurs et élus locaux sur son rôle (ex. : circulation d’une lettre de mission, point d’information en séance), il doit s’assurer de sa bonne association, de façon appropriée et en temps utile, à toutes les questions relatives à la protection des données.

Il doit également lui attribuer des ressources suffisantes : disponibilité, formation régulière, budget ; possibilité de s’appuyer sur des référents dans les services opérationnels/fonctionnels et d’intégrer des réseaux de professionnels de la protection des données ; etc.

Les moyens accordés au délégué doivent être adaptés à la volumétrie, la complexité et la sensibilité des traitements mis en œuvre par la collectivité.

Le soutien apporté par les réseaux professionnels

Pour faciliter les démarches de mise en conformité au sein de leurs collectivités, les délégués peuvent bénéficier des partages de connaissances, d’outils et de bonnes pratiques, développés au sein d’instances de collaboration locales et nationales réunissant des professionnels de la protection des données.

La CNIL soutient les actions menées par les associations de délégués et les différentes têtes de réseaux du secteur public local (diffusion d’informations ciblées, mise en place de groupes de travail, etc.) : signature de conventions de partenariat avec l’Assemblée des Départements de France (2017) et l’Association des Maires de France et des présidents d’intercommunalités (2019).

L’accompagnement de la CNIL

L’accompagnement des collectivités territoriales, et notamment des plus petites d’entre elles, constitue un objectif prioritaire pour la CNIL, consciente des difficultés qu’elles rencontrent au quotidien pour la mise en application de la règlementation.

Les délégués désignés peuvent ainsi s’appuyer sur les nombreux contenus élaborés spécifiquement à l’intention des professionnels de leur secteur d’activité. En plus du guide de sensibilisation et des fiches pratiques publiés par la Commission dans la rubrique « Thématiques » de son site web, ils disposeront prochainement d’un module dédié dans son cours en ligne sur le RGPD.

Ces outils ciblés s’ajoutent aux contenus généralistes mis à disposition de l’ensemble des professionnels dans la rubrique « Ma conformité au RGPD » (modèle de registre des traitements, exemples de mentions d’information, etc.).

Un dispositif d’accompagnement humain assuré par les services de la CNIL complète les productions documentaires : en particulier, le service des Affaires régaliennes et des collectivités territoriales et le service des Délégués à la protection des données, qui tient quotidiennement une permanence téléphonique dédiée aux délégués.

Contactez la CNIL

Texte reference