Protection des données : désigner et mutualiser le délégué
La désignation d'un délégué à la protection des données (DPO) est une obligation légale. Voici pourquoi et comment mutualiser cet acteur-clé du RGPD.
Qui est concerné ?
Toutes les autorités et organismes publics traitant des données personnelles, quelle que soit leur taille, ont l’obligation de désigner un DPO. Cela inclut aussi les offices de tourisme, les centres communaux d’action sociale ou les associations d’aide à la personne. Tout traitement de données personnelles, numérique ou papier, doit être mis en conformité avec le RGPD.
Quelles sont les missions du DPO ?
Il informe et conseille la collectivité sur les règles applicables : principe de finalité d’un traitement, recueil du consentement, durée de conservation des données, sécurisation des accès. Le DPO établit et met à jour le registre des traitements de données personnelles, document rendu obligatoire par le RGPD. Il aide aussi à rédiger les mentions types sur les formulaires et sites internet. Il est un point de passage obligé lors du choix d’une application ou d’un prestataire traitant des données personnelles. Il peut être amené à réaliser une étude d’impact sur la vie privée.
Attention, le maire reste le seul responsable des traitements de la collectivité et le DPO ne pourra être mis en cause en cas d’éventuels manquements.
Quel est le profil du DPO ?
Un DPO devra allier des connaissances juridiques et une bonne maîtrise des outils informatiques. Il devra aussi faire preuve d’indépendance par rapport à la hiérarchie et être un bon communicant. Un responsable informatique décidant des choix d’application ne peut être désigné DPO car il serait juge et partie. Pour les mêmes raisons, la Commission nationale de l’informatique et des libertés (Cnil) estime que ni un élu, ni un secrétaire de mairie ne peuvent exercer la mission de DPO. Ces contraintes doivent conduire les petites communes à opter pour un DPO extérieur à la collectivité.
DPO externalisé ou mutualisé ?
Les communes doivent se méfier des prestataires proposant une «conformité RGPD » pour un montant forfaitaire : la conformité est un processus qui s’inscrit dans la durée. La mutualisation du DPO au sein d’une structure publique est préférable à son externalisation. Cette mutualisation peut être réalisée par exemple à l’échelle de l’intercommunalité ou d’un centre de gestion. C’est la structure qui est désignée comme DPO, à charge pour celle-ci de mobiliser les ressources humaines et techniques nécessaires pour assurer la mission de DPO. Une fois désigné, le DPO doit être notifié par la commune à la Cnil.
Comment mutualiser le DPO ?
La mutualisation doit être formalisée par une convention liant la commune et la structure hébergeant le DPO. La commune devra notamment garantir un libre accès du DPO à l’ensemble de ses données et lui assurer les moyens d’exercer ses missions. La commune doit aussi désigner un ou plusieurs points de contact, notamment avec les services métiers.
Généralement, le DPO mutualisé intervient d’abord pour cartographier les traitements et établir un plan d’action pour assurer la mise en conformité de la collectivité. Le DPO aura ensuite pour mission de sensibiliser, former et accompagner les agents dans la mise en œuvre de ce plan. Chaque année, le niveau de conformité de la collectivité sera vérifié, les éventuelles défaillances pointées. En cas de violation de données personnelles (vol, perte de données, intrusion…), le DPO doit être alerté systématiquement. La tarification du DPO peut être forfaitaire et/ou calculée par journée d’intervention.
La Commission nationale de l’informatique et des libertés (Cnil) a conçu, en concertation avec l’AMF, plusieurs fiches à destination des collecti-vités sur l’impact du RGPD ou la désignation du DPO. Un cours en ligne gratuit (Mooc) ciblant les collectivités est aussi annoncé. Les pages RGPD du site internet de la Cnil comportent enfin des ressources, dont un guide sur le DPO et un autre sur la planification des actions pour atteindre la conformité. www.cnil.fr
Suivez Maires de France sur Twitter: @Maires_deFrance