RGPD : jamais sans mon DPO (petit guide sur la nomination de votre délégué à la protection des données)

Il ne reste plus que six mois aux collectivités territoriales et à leurs établissements publics pour se conformer au règlement général sur la protection des données personnelles (RGPD). Ce Règlement communautaire — qui est donc directement applicable — a fait l’objet d’une parution au journal officiel de l’Union européenne et entrera en application le 25 mai 2018.

Au nombre des obligations qui en découleront (lesquelles peuvent — selon la situation de la collectivité ou de l’établissement — supposer en réalité d’adapter les logiciels, les procédures internes de saisie et communication des données, les règlements de services, et bien entendu de former les agents aux nouvelles obligations etc.) il convient de signaler une nouvelle obligation : celle de choisir son délégué à la protection des données personnelles (DPO).

DPO est le sigle anglophone pour « data protection officer ». Les puristes pourront lui préfèrent le sigle francophone « DPD » pour « délégué à la protection des données personnelles ».

 

I- En quelques mots, quel est le rôle du DPO ?

La mission du DPO consistera à identifier les collectes de données à caractère personnel et leur finalité afin d’analyser leur conformité au RGPD.

Il aura pour fonction de vous conseiller, mais également de servir d’intermédiaire avec les administrés, les agents ainsi que l’autorité de contrôle de l’application du RGPD, à savoir la CNIL.

Sa désignation n’est pas à prendre à la légère. A l’ère du « Big Data », son rôle est amené à devenir considérable.

Si cela n’a pas déjà été fait, nous vous rappelons ici les règles applicables pour sa désignation. Le DPO doit être désigné au plus tard au 25 mai 2018, date d’entrée en vigueur du RGPD.

 

 

II- La désignation d’un DPO est obligatoire pour les collectivités locales et leurs établissements publics.

Alors que la nomination des Correspondants Informatique et Liberté « CIL »  était facultative (Sur ce point, la Gazette des communes a établi une carte fort bien documentée de la présence des CIL ), la nomination d’un DPO est obligatoire pour toutes les « autorités et organismes publics » (art. 37 du RGPD) [3].

Cette notion inclut, de toute évidence, les collectivités locales et leurs établissements publics. En l’état actuel du droit, aucune disposition législation ou réglementaire ne prévoit d’exception à cette obligation.

Les personnes privées chargées de l’exécution d’une mission de service public ne sont pas, quant à elles, nécessairement soumises à cette obligation.

Cela étant dit, le Groupe de travail « article 29 » sur la protection des données (sobrement baptisé G29 … même si on risque de s’y perdre entre le G8, G20), lequel est chargé de fournir les lignes directrices concernant les délégués à la protection des données. recommande, « à titre de bonne pratique » la désignation d’un DPO pour toutes les personnes privées chargées de l’exécution d’une mission de service public. Il serait donc opportun pour une collectivité ou un établissement, notamment lorsqu’il délègue un service de s’assurer du respect de ces bonnes pratiques par son exploitant, voir de le prévoir expressément dans le contrat (du reste, nous recommandons en général que les contrats organisent les relations sur les fichiers numériques, ne serait-ce pour qu’en fin de contrat la personne publique soit assurée de récupérer des fichiers exploitables).

En cas de non-conformité aux obligations du règlement, les montants maximums des sanctions sont conséquents et extrêmement anxiogènes.

La violation des dispositions du RGPD fait l’objet ainsi d’une amende administrative « pouvant s’élever jusqu’à 10 000 000 euros » (Dans le cas d’une entreprise, cela peut être une amende jusqu’à 2% du chiffre d’affaires annuel mondial total). Ce montant étourdissant témoigne surtout de l’enjeu fondamental que constitue la protection des données personnelles à très grande échelle.

En pratique, la CNIL – autorité de contrôle en la matière – a déjà indiqué aux collectivités territoriales et à leurs établissements publics qu’elle ne s’inscrivait pas, dès le début de la mise en vigueur du RGPD, dans une démarche de sanction.

Pour autant, rappelons que la CNIL a l’obligation de traiter les plaintes qu’elle reçoit. Or, un administré suffisamment bien informé pourrait, par ce biais, vous mettre en difficulté si vous ne vous conformez pas à cette règle pour le 25 mai 2018.

 

III – Qui désigner comme DPO ?

A) Le DPO peut être un agent de la collectivité ou un prestataire externe, ou encore le fruit d’une mutualisation.

Le DPO n’est pas nécessaire un agent de la collectivité ou l’établissement public pour lequel il exercera cette fonction.

Sa fonction peut être « externalisée » et un contrat de services peut alors être conclu en ce sens avec une personne ou même avec un organisme dont l’objet est d’exercer de telles fonctions. On s’attend d’ailleurs à l’ouverture de nombreux organismes dédiés exclusivement à cette fonction.

Toutefois des collectivités bien structurées, avec une DSI pourra aussi envisager de disposer d’un DPO interne pour une certaine réactivité et bonne connaissance interne de la structure. Mais la voie de l’externalisation ouvre bien entendue aussi une possibilité d’explorer des formes de mutualisation.

B) Le DPO peut exercer sa fonction pour le compte de plusieurs collectivités locales ou établissements publics.

Chaque collectivité n’est ainsi pas tenue de disposer de son propre DPO en interne et le règlement permet que cette fonction soit mutualisée.

La mutualisation ne doit regrouper que des autorités publiques ou organismes publics. Autrement dit, il est interdit de procéder à une mutualisation du DPO avec des personnes privées. On peut donc envisager de recourir au panel des outils de mutualisation du CGCT par exemple entre une communauté et les communes, mais aussi entre syndicats, etc.

Afin de poursuivre la rationalisation intercommunale, il serait logique que les EPCI à fiscalité propre mutualisent la fonction de DPO avec leurs communes membres et la création d’un DPO mutualisé pourrait faire partie intégrante du schéma de mutualisation.

Ni le RGPD, ni les lignes directrices explicitant la fonction du DPO ne précisent si une mutualisation est possible avec une personne privée exerçant une mission de service public. Dans le doute nous ne pouvons le recommander.

La mutualisation entre autorités et organismes publics se fait « compte tenu de leur structure organisationnelle et de leur taille », un critère permet une grande marge d’appréciation. Cela induit qu’un DPO à plein temps soit requis pour les plus grosses structures publiques, notamment en nombre d’habitants concernés et dont des données personnelles sont collectées.

 

IV – Le profil du DPO

A) Le DPO doit être… joignable et compétent.

Voici une autre raison de ne pas négliger la fonction de DPO.

L’objectif du RGPD en la matière est d’en faire une fonction réellement effective. Le G29 souligne l’importance de la disponibilité du DPO, notamment si la fonction est mutualisée ou si la taille de la structure l’exige.

En fait, le G29 signifie, par-là, son refus de voir se développer des « DPO fantômes », travaillant pour le compte d’une multitude d’administrations ou d’entreprises.

 L’effectivité du DPO traduit également une exigence de compétence. Sur ce point, en application des critères définis par le G29, le choix du DPO doit se faire en fonction de :

  • son expertise juridique et notamment « une connaissance approfondie du RGPD » ;
  • sa compréhension des opérations de traitement qu’il doit surveiller ;
  • sa compréhension des technologies de l’information et de la sécurité des données ;
  • sa connaissance de la collectivité ou de l’établissement public ;
  • sa capacité à sensibiliser les agents à la protection des données.

L’appréciation de ces compétences dépendra de la taille de votre structure et de l’importance des données collectées. Ceci nous conduit a faire une petite digression : souvent les personnes considèrent que seules constituent des données sensibles celles collectées via un outil dédié (logiciel RH, logiciel gérant les abonnées / usagers d’un service public). Mais rappelons qu’un simple fichier type tableur dans lequel seront collectées des données peut former déjà un système de collecte de données Il est donc important de sensibiliser tous les acteurs sur l’implication « à tous les niveaux » du numérique.

B) Le DPO doit justifier d’un haut niveau de déontologie.

 Cette exigence n’est pas vaine. En effet, le DPO est soumis au secret professionnel et à une obligation de confidentialité. Il est un intermédiaire entre la collectivité et ses administrés, mais aussi avec ses propres agents ainsi qu’avec la CNIL.

C) Le DPO doit être connu de tous.

Puisque le DPO assurera une fonction d’intermédiaire, ses coordonnées doivent être accessibles :

  • aux administrés et à tout personne susceptible d’être concernée par la collecte de données ;
  • aux agents ;
  • à la CNIL.

 

 

V – Désigner le DPO n’est qu’une première étape 

La désignation du DPO n’est qu’une première étape. Elle est importante car elle permet — outre de respecter une obligation — d’amorcer la démarche. Mais il sera important ensuite de vérifier que le mode de fonctionnement de la personne publique est conforme au règlement, d’on l’intérêt de se poser les bonnes questions sur les données collectées, les outils, l’accès aux données, la sécurité de ces données, les procédures internes, leur traduction auprès des usagers et dans le règlement de service, etc.