Le DPO dans les collectivités territoriales
Le délégué à la protection des données, DPD ou DPO (Data Protection Officer) a en charge dans une organisation la politique de protections des données personnelles gérées par celle-ci. Cette fonction s’applique dans le cadre du règlement général de la protection des données (RGPD)Un délégué à la protection des données personnelles doit être désigné par les collectivités locales.
Un DPO pour la mise en œuvre du RGPD doit être désigné par les collectivités territoriales – communes, départements, régions – et leurs établissements publics – Centres communaux d’action sociale (CCAS), Établissements publics intercommunaux (EPCI), syndicats mixtes, etc.
Le DPO s’assure du respect du RGPD
Le DPD doit s’assurer du bon respect du RGPD au sein de la collectivité. Il veille à ce que les différents services de la collectivité ne collectent et n’utilisent les données personnelles que dans l’exercice précis de leurs compétences. Ces données personnelles doivent être en lien direct avec l’objet de la mission du service.
Le DPO a pour cela un rôle de conseil et doit s’assurer du bon respect des règles établies.
Le DPO conseille les élus et les agents de la collectivité
Le rôle de conseil du délégué à protection des données concerne les différents niveaux de l’organisme ou de la collectivité (Président ou Maire, Direction générale, Directeurs, chefs de service, exécutants). Il doit intervenir en amont des différents processus organisationnels, au cours du déploiement d’une nouvelle mission et de son déroulement.
Le DPO a à la fois un rôle de conseil et de formation en continu de manière que chacun s’interroge lorsqu’il collecte une donnée relative aux personnes sur la pertinence et la nécessité de détenir cette donnée.
Le DPO doit avoir une autorité incontestée dans le domaine de la protection des données personnelles
La qualification du DPO et son expérience doivent lui permettre de se positionner en véritable référent RGPD.
Sa disponibilité, son sens de la pédagogie et son sens de l’écoute positionnent le DPD comme une personne référente pour les différents acteurs de l’organisation ou de la collectivité.
Le délégué à la protection des données doit être positionné au plus près de la Direction générale, du Président ou du Maire pour asseoir son autorité d’une façon incontestable.
Conformément à la philosophie générale du RGPD, le DPO a pour mission de responsabiliser les différents acteurs.
Les compétences du DPO
Le DPO doit connaître parfaitement le RGPD et par conséquent avoir reçu une formation à cet effet, mais aussi connaître le fonctionnement de l’organisme duquel il a en charge la protection des données ou tout du moins en comprendre rapidement les grands principes de fonctionnement.
Une démarche de RGPD, par sa nature même, ne peut être déconnectée du fonctionnement général de la collectivité. Le DPO doit être en mesure de poser les bonnes questions et de mettre en évidence les points stratégiques du projet.
Le DPO doit ainsi avoir des connaissances solides sur le RGPD mais aussi un savoir-faire et savoir être lui permettant de maîtriser le projet.
Le DPD est à l’interface entre l’organisme, la CNIL et les personnes
Le DPO est l’interface entre l’organisation (entreprise, collectivité locale, établissement public, association) et la CNIL.
Il est le point de contact avec les personnes concernées par le traitement des données personnelles. A cette fin, ses coordonnées doivent être publiques pour que chacun puisse s’adresser à lui pour avoir accès aux données le concernant et connaître le traitement qui en est fait.
Exercice de la mission du DPO et déontologie du DPO
Le DPO doit être libre et indépendant dans l’exercice de sa mission. Il doit avoir les moyens adaptés. Il ne peut une simple fonction sur le papier, sans moyen d’agir.
Il est à l’abri des conflits d’intérêt, notamment vis-à-vis de ses autres activités.
Des associations professionnelles de DPO éditent des chartes de déontologie. Il est utile de s’y référer voire d’y adhérer.
DPO externe ou DPO interne
La mission de DPO peut être confiée à une personne de l’entreprise, de l’association ou de la collectivité territoriale, sous réserve que les marges de manœuvre nécessaires à l’exercice de ses fonctions lui soient garanties.
Mais il peut être fait appel à un délégué à la protection des données personnelles externe qualifié. Cela permet d’avoir un consultant formé et expérimenté dans le domaine du RGPD. Une petite entreprise ou collectivité territoriale ne peut pas toujours se permettre d’avoir son propre DPO.
Le DPO qu’il soit interne ou externe peut être mutualisé entre plusieurs organisations. Il convient de bien déterminer la nature des tâches et le temps passé pour chaque collectivité du DPO mutualisé.
RGPD et collectivités territoriales – Préconisations de la CNIL
Le pôle éthique de l’association fera le point sur cette question avec les élus locaux.