Protection des données : désigner et mutualiser le délégué
La désignation d'un délégué à la protection des données (DPO) est une obligation légale. Voici pourquoi et comment mutualiser cet acteur-clé du RGPD.
Qui est concerné ?
Toutes les autorités et organismes publics traitant des données personnelles, quelle que soit leur taille, ont l’obligation de désigner un DPO. Cela inclut aussi les offices de tourisme, les centres communaux d’action sociale ou les associations d’aide à la personne. Tout traitement de données personnelles, numérique ou papier, doit être mis en conformité avec le RGPD.
Quelles sont les missions du DPO ?
Il informe et conseille la collectivité sur les règles applicables : principe de finalité d’un traitement, recueil du consentement, durée de conservation des données, sécurisation des accès. Le DPO établit et met à jour le registre des traitements de données personnelles, document rendu obligatoire par le RGPD. Il aide aussi à rédiger les mentions types sur les formulaires et sites internet. Il est un point de passage obligé lors du choix d’une application ou d’un prestataire traitant des données personnelles. Il peut être amené à réaliser une étude d’impact sur la vie privée.
Attention, le maire reste le seul responsable des traitements de la collectivité et le DPO ne pourra être mis en cause en cas d’éventuels manquements.
Quel est le profil du DPO ?
Un DPO devra allier des connaissances juridiques et une bonne maîtrise des outils informatiques. Il devra aussi faire preuve d’indépendance par rapport à la hiérarchie et être un bon communicant. Un responsable informatique décidant des choix d’application ne peut être désigné DPO car il serait juge et partie. Pour les mêmes raisons, la Commission nationale de l’informatique et des libertés (Cnil) estime que ni un élu, ni un secrétaire de mairie ne peuvent exercer la mission de DPO. Ces contraintes doivent conduire les petites communes à opter pour un DPO extérieur à la collectivité.
DPO externalisé ou mutualisé ?
Les communes doivent se méfier des prestataires proposant une «conformité RGPD » pour un montant forfaitaire : la conformité est un processus qui s’inscrit dans la durée. La mutualisation du DPO au sein d’une structure publique est préférable à son externalisation. Cette mutualisation peut être réalisée par exemple à l’échelle de l’intercommunalité ou d’un centre de gestion. C’est la structure qui est désignée comme DPO, à charge pour celle-ci de mobiliser les ressources humaines et techniques nécessaires pour assurer la mission de DPO. Une fois désigné, le DPO doit être notifié par la commune à la Cnil.
Comment mutualiser le DPO ?
La mutualisation doit être formalisée par une convention liant la commune et la structure hébergeant le DPO. La commune devra notamment garantir un libre accès du DPO à l’ensemble de ses données et lui assurer les moyens d’exercer ses missions. La commune doit aussi désigner un ou plusieurs points de contact, notamment avec les services métiers.
Généralement, le DPO mutualisé intervient d’abord pour cartographier les traitements et établir un plan d’action pour assurer la mise en conformité de la collectivité. Le DPO aura ensuite pour mission de sensibiliser, former et accompagner les agents dans la mise en œuvre de ce plan. Chaque année, le niveau de conformité de la collectivité sera vérifié, les éventuelles défaillances pointées. En cas de violation de données personnelles (vol, perte de données, intrusion…), le DPO doit être alerté systématiquement. La tarification du DPO peut être forfaitaire et/ou calculée par journée d’intervention.
La Commission nationale de l’informatique et des libertés (Cnil) a conçu, en concertation avec l’AMF, plusieurs fiches à destination des collecti-vités sur l’impact du RGPD ou la désignation du DPO. Un cours en ligne gratuit (Mooc) ciblant les collectivités est aussi annoncé. Les pages RGPD du site internet de la Cnil comportent enfin des ressources, dont un guide sur le DPO et un autre sur la planification des actions pour atteindre la conformité. www.cnil.fr
Suivez Maires de France sur Twitter: @Maires_deFrance
Cet article a été publié dans l'édition :
- Brève - Loi Egalim : une nouvelle mesure entre en vigueur au 1er janvier 2022
- Conflits d'intérêts. Quelques avancées mais toujours un grand danger
- Recensement impératif en 2022
- Présidence française de l'Union européenne : zoom sur les priorités du semestre français
- Pacte vert : l'Europe aide les collectivités
- AMF 26 - Convention avec la Fondation du patrimoine
- AMF - Partenariat avec France Victimes
- AD 86 - Rencontre avec la gendarmerie
- AMF 21 - Salon des maires et assemblée générale
- AMF 33 - Salon des élus locaux et assemblée générale
- CRTE : les élus s'interrogent sur les moyens financiers
- Un CIAS au plus près des habitants
- La lutte contre l'artificialisation des sols
- Risques industriels. Les élus demandent plus de moyens et de concertation
- Comment initier une démarche open data
- Inclusion : le CCAS de Loos labellisé pour son accessibilité
- Le Croisic aide ses habitants à rénover leurs maisons
- Une cantine 100 % bio en deux ans !
- Un pôle autonomie à la pointe du progrès
- Perles-et-Castelet en deuil de ses arbres
- Risques : élaborer un plan communal de sauvegarde
- Comment sécuriser les mots de passe des applications
- Protection des données : désigner et mutualiser le délégué
- Programme européen LIFE : les nouvelles opportunités 2021-2027
- Travailler avec... Pôle emploi
- Propreté urbaine : les élus en première ligne
- La réforme de la lutte contre l'habitat indigne
- Textes officiels - Désignation de l'enfant né sans vie par son nom à l'état civil
- Textes officiels - Le Code de la fonction publique publié
- Textes officiels - Billettique et services numériques multimodaux
- Textes officiels - Parution du décret sur les maisons de naissance
- Brève - Élections : rappel des règles pour les procurations
- Brève - Urbanisme : dématérialisation
- Brève - Publicité des actes : du nouveau en juillet 2022
- Brève - Formation des élus : consulter votre compte !
- Brève - Financement participatif : recours élargi
- Brève - Terrasses chauffées : l'interdiction repoussée au 1er avril 2022
- Brève - Produits phytosanitaires : délai pour certains équipements sportifs
- Brève - Délit de favoritisme : mesurer le risque
- Brève - Plan communal de sauvegarde : plus de communes concernées
- L'AMF vous répond - "Élection présidentielle. Quelles sont les règles encadrant les parrainages ?"
- L'AMF vous répond - "Quels sont les principes de protection des données personnelles ?"
- L'AMF vous répond - "Quelle est la règlementation applicable aux ruchers ?"
- Maires délégués: un mandat à part ?
- Le maire officier d'état civil
- Le maire et le virus
Maires de France est le magazine de référence des maires et élus locaux. Chaque mois, il vous permet de décrypter l'actualité, de partager vos solutions de gestion et vous accompagne dans l'exercice de votre mandat. Son site Internet, mairesdefrance.com, vous permet d’accéder à toute l'information dont vous avez besoin, où vous voulez, quand vous voulez et sur le support de votre choix (ordinateur, tablette, smartphone, ...).