Désigner un délégué à la protection des données dans une collectivité

07 février 2020

Le RGPD impose à toutes les structures publiques de désigner un délégué à la protection des données. Cela concerne les collectivités ainsi que tout organisme ou autorité publique locale agissant en tant que responsable de traitement ou sous-traitant (CCAS, EPCI, etc.).

Les missions

  1. Informer et conseiller la collectivité

Le délégué a vocation à diffuser une culture de la protection des données au sein de la collectivité. Il doit communiquer sur les règles applicables, et sur les moyens de s’y conformer, à la fois auprès de son représentant légal (maire, président du conseil régional ou départemental, président de l’établissement public de coopération intercommunale, etc.), responsable de la conformité des traitements déployés, et des services opérationnels chargés de leur mise en œuvre.

Il les conseille par exemple sur la réalisation d’une analyse d’impact relative à la protection des données : obligation ou non d’y procéder, méthodologie à suivre, mesures/garanties techniques et organisationnelles à prévoir, nécessité ou non de consulter la CNIL.

Il existe différents modes d’intervention possibles pour le délégué : animation de séances d’information « RGPD », recours à différents outils de communication (affiches, rubrique spécifique sur l’intranet, etc.) ; établissement de modèles de mentions d’information et de clauses contractuelles encadrant la sous-traitance ; formalisation de politiques de confidentialité des données, de procédures relatives à la détection, prise en charge et notification des violation de données, à la gestion des demandes d’exercice des droits Informatique et Libertés, etc.

  1. Contrôler le respect du règlement et du droit national en matière de protection des données

Dans la majorité des cas, le délégué tient et actualise le registre des traitements.

Le registre lui offrira une vue d’ensemble sur les finalités et conditions d’utilisation des données : quels objectifs, quelles informations, quels destinataires, quelle durée de conservation, quelles mesures de sécurité, etc. ?

Pour chacun des traitements mentionnés dans le registre, le délégué vérifie qu’ils disposent d’une base juridique (obligation légale, mission d’intérêt public, etc.) et satisfont bien aux grands principes de protection des données (transparence, confidentialité des données, respect des droits des personnes, etc.). 

Le registre est à géométrie variable, selon la taille de la collectivité et la nature de ses activités. Celui des petites communes pourra contenir moins d’une dizaine de fiches (gestion de l’état civil, de la liste électorale, du cadastre, des repas des seniors, des prêts de la bibliothèque, etc.).

Le délégué doit concentrer prioritairement ses efforts (personnels à former, vérifications à mener, plans d’actions correctives à actionner, etc.) sur les traitements qui présentent des risques particuliers (sensibilité des données en cause ou de la finalité/portée du traitement, insuffisance évidente des mesures de sécurité, etc.).

Attention : le délégué n’est pas personnellement comptable du respect de la règlementation. Ainsi, en cas de manquement aux obligations en cause, il ne pourra être tenu juridiquement responsable en lieu et place de la collectivité et de son représentant légal.

  1. Être le point de contact pour les personnes dont les données sont traitées et l’interlocuteur privilégié de la CNIL

Les personnes concernées par les traitements de la collectivité (usagers et agents en particulier), peuvent soumettre au délégué toute question relative au traitement de leurs données. Il appartient également au délégué de veiller à ce qu’il soit répondu aux demandes d’exercice des droits (accès, rectification, opposition, etc.) dans les délais prévus par les textes.

Le délégué joue par ailleurs un rôle de « facilitateur » dans les relations entre la collectivité et la CNIL : il doit coopérer avec elle et permettre son accès aux documents et informations sollicités dans l’exécution de ses missions (contrôles sur place/sur pièces, instruction de plaintes, notifications de violations de données, etc.).

Pour que l’accès au délégué soit au maximum facilité, la collectivité doit mentionner les moyens de le contacter sur ses différents formulaires de collecte de données, ainsi que sur son site internet (ex. : adresse électronique dédiée, telle que « dpo[@]mairie.fr »).

Les compétences


mooc atelier rgpd

MOOC RGPD de la CNIL

 

La CNIL met à disposition un cours en ligne gratuit (MOOC) qui délivre une attestation de suivi. Il s’agit d’un bon moyen pour un délégué nouvellement désigné de vérifier et valider son niveau d’expertise. C’est également un outil efficace de diffusion aux agents des fondamentaux du RGPD et de la loi Informatique et Libertés.

L'atelier RGPD

Le statut


Les différentes formes de délégués


La désignation auprès de la CNIL

La collectivité doit obligatoirement notifier à la CNIL la désignation de son délégué, en utilisant le téléservice dédié. Pour toute modification, elle peut envoyer un courriel au service des délégués à l’adresse électronique indiquée dans l’accusé réception de la désignation.

Les ressources du délégué


Les mots clés associés à cet article