Désigner un délégué à la protection des données dans une collectivité

18 septembre 2019

Le RGPD impose à toutes les structures publiques de désigner un délégué à la protection des données. Cela concerne les collectivités ainsi que tout organisme ou autorité publique locale agissant en tant que responsable de traitement ou sous-traitant (CCAS, EPCI, etc.).

Les missions

1. Informer et conseiller la collectivité,

notamment son représentant légal (maire, président de conseil régional et départemental, président d’établissement public de coopération intercommunale), ainsi que les agents sur la conformité au RGPD des traitements (actuels et à venir). Le délégué conseille par exemple la collectivité sur la réalisation d’une analyse d’impact relative à la protection des données.

2. Contrôler le respect du règlement et du droit national en matière de protection des données.

Dans la majorité des cas, le délégué tient et actualise le registre des traitements. Ce registre lui offre une vue d’ensemble sur les traitements : quels objectifs, quelles données, quels destinataires, quelles durées de conservation, quelles mesures de sécurité, etc ?

3. Être le point de contact pour les personnes dont les données sont traitées par la collectivité et l’interlocuteur privilégié de la CNIL.

Pour cela, les coordonnées du DPO doivent être facilement accessibles. Il est donc nécessaire de les mentionner sur les différents formulaires et sur le site web.

Les compétences

Le DPO doit être choisi sur la base de ses connaissances du droit et des pratiques en matière d’application du RGPD. Toutefois, le RGPD n’impose pas aux organismes de recourir à une profession particulière pour la désignation de leur DPO : aucun agrément n’est prévu, aucune exigence de diplôme ou condition statutaire n’est fixée. Il peut donc s’agir d’une personne physique ou morale issue du secteur juridique ou technique, en interne à la collectivité ou en externe (avocat, consultant, etc.).
Les compétences pourront être acquises ou développées au moyen d’un plan de formation adapté au profil du délégué. Les compétences pourront être attestées, sans qu’il n’y ait aucune obligation en la matière, par le recours à un mécanisme de certification, tel que celui établi par la CNIL.

mooc atelier rgpd

MOOC RGPD de la CNIL

La CNIL met à disposition un cours en ligne gratuit (MOOC) qui délivre une attestation de suivi. Il s’agit d’un bon moyen pour un DPO nouvellement désigné de vérifier et valider son niveau d’expertise. C’est également un outil efficace de diffusion aux agents des fondamentaux du RGPD et de la loi Informatique et Libertés.

L'atelier RGPD

Le statut

Le délégué doit pouvoir :

  • rendre compte au niveau le plus élevé de la hiérarchie. Quelle que soit sa position précise dans l’organigramme, le délégué doit avoir accès et rendre compte de l’exercice de sa mission au niveau exécutif de la collectivité (maire, président du conseil départemental ou régional, directeurs généraux).
  • être en mesure d’exercer ses fonctions et missions en toute indépendance. Cette deuxième condition signifie que le délégué bénéficie d’une liberté dans les analyses et actions qu’il décide d’entreprendre, et qu’il ne doit pas recevoir d’instruction dans l’exercice même de ses missions (par exemple sur le sens des avis qu’il rend, sur l’orientation des conseils qu’il donne, etc.). Il ne peut donc pas faire l’objet d’une sanction ou d’une mesure préjudiciable du seul fait de leur accomplissement (en cas de désaccord avec le responsable de traitement sur une analyse par exemple).
  • être à l’abri des conflits d’intérêts.
    La condition relative au conflit d’intérêts – ne pas se retrouver à la fois juge et partie – constitue une garantie d’indépendance importante. Ainsi, lorsque le délégué est amené à exercer d’autres fonctions, elles ne doivent pas le conduire à décider des finalités et/ou des moyens de mise en oeuvre des traitements de données personnelles.
    Cette question doit être étudiée au cas par cas, notamment au regard de la taille, de la structure organisationnelle et de l’objet des activités parallèles. Par exemple, la fonction de directeur général des services apparaît particulièrement problématique à cet égard.

Dans les petites collectivités, les secrétaires de mairie sont souvent pressentis pour occuper la fonction de DPO. Or, leur désignation peut parfois se heurter à des difficultés :
manque de temps à consacrer au sujet et risque de conflits d’intérêts. Ainsi, avant de procéder à la désignation et pour éviter un risque de conflit d’intérêt, il faudra s’assurer qu’ils ne prennent pas part au circuit de décision concernant les fichiers mis en oeuvre dans leur collectivité (objectifs et conditions de mise en oeuvre, données traitées, destinataires, durées de conservation, mesures de sécurité, etc.). Dans le cas contraire, leur désignation ne sera pas possible.
Les conseillers municipaux (dont le maire) ne peuvent pas quant à eux être désignés délégués. En effet, en tant que membres de l’assemblée délibérante, ils prennent directement part au processus de décision.

Les différentes formes de délégués

Le délégué interne

Le délégué peut être un agent titulaire ou contractuel de la collectivité.
Lorsqu’elle est possible, une désignation interne répond parfaitement au besoin de proximité du délégué vis-à-vis des personnes qui mettent en oeuvre les traitements (solide connaissance des métiers, grande réactivité). La désignation d’un DPO interne n’empêche pas la collectivité de s’appuyer ponctuellement, et de façon complémentaire, sur l’expertise d’un prestataire
externe.

Le délégué externe

Les collectivités ont la possibilité de recourir à un délégué externe, personne physique ou morale, par exemple un avocat ou un cabinet de consultants spécialistes des questions Informatique et Libertés. Un contrat de prestation de service relevant des règles de la commande publique devra alors être conclu.
L’avantage d’une telle solution est de permettre aux collectivités de bénéficier d’une expertise en matière de protection des données, ainsi que d’outils et procédures ayant fait leur preuve dans d’autres organismes.

La mutualisation de la désignation

La mutualisation peut permettre de limiter les coûts et de bénéficier de professionnels disposant des compétences et de la disponibilité nécessaires. Le délégué pourra intervenir selon plusieurs modalités de mutualisation, par exemple :

  • la mise à disposition d’agents par une collectivité territoriale ou un établissement public, voire un centre de gestion, au profit d’une autre collectivité ou d’un établissement public, pour y exercer des missions de DPO ;
  • la prestation de services : le DPO peut intervenir dans le cadre d’une convention de prestation de services conclue entre une collectivité et un établissement public dans les conditions prévues par le CGCT (Code général des collectivités territoriales). Une telle prestation est soumise au droit de la commande publique ;
  • la mise en place d’un service unifié entre des collectivités territoriales et leurs groupements, au sein duquel le DPO exercera sa mission au profit de tous les cocontractants ;
  • la mise en place d’un service commun entre des communes, leur établissement public de coopération intercommunale à fiscalité propre et leurs établissements publics rattachés, au sein desquels le DPO exercera sa mission au profit de tous les cocontractants.

La convention de mutualisation pour les organismes publics

Les collectivités territoriales, les établissements publics administratifs locaux et les personnes morales de droit privé gérant un service public qui optent pour la mutualisation ont l’obligation de conclure une convention de mutualisation.
Cette convention définit les conditions dans lesquelles s’exerce cette mutualisation, en particulier s’agissant des moyens alloués au délégué afin que son action soit effective au sein de chaque collectivité.

La désignation

Vous devez obligatoirement notifier à la CNIL la désignation de votre délégué, en utilisant le téléservice dédié. Pour toute modification, vous pouvez envoyer un courriel à servicedpo@cnil.fr.

Les mots clés associés à cet article