Nous vous précisions, ici, qu’à compter de l’entrée en vigueur du RGPD, le 25 mai prochain, toutes les collectivités locales seront obligées de désigner un délégué à la protection des données personnelles (DPO). Revenons sur sa désignation avec quelques recommandations pratiques

Celui-ci aura pour fonction de contrôler la conformité de chaque collectivité au regard des nouvelles règles relatives à la protection des données personnelles telles qu’instituées par le RGPD.

Pour ce faire, il devra jouir d’une certaine autonomie au regard de la collectivité qu’il sera censé contrôler (En ce sens, le paragraphe 3 de l’article 38 du RGPD dispose que le DPO ne reçoit « aucune instruction en ce qui concerne l’exercice des missions ». De même, le considérant 97 du règlement indique que les DPO, « qu’ils soient ou non des employés du responsable du traitement, devraient être en mesure d’exercer leurs fonctions et missions en toute indépendance »)..

Dans ces conditions, la fonction du DPO « en interne » apparaît particulièrement délicate, notamment pour les collectivités locales de petite taille, telles que des communes rurales.

C’est la raison pour laquelle le RGPD permet la mutualisation de cette fonction. Ainsi, le paragraphe 3 de l’article 37 du règlement dispose que :

« Lorsque le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille ».

De même, le projet de loi relatif à la protection des données personnelles, actuellement en cours d’examen au Sénat et venant étayer certaines dispositions du RGPD, prévoit aujourd’hui que :

« Un seul délégué à la protection des données peut être désigné pour plusieurs autorités compétentes, compte tenu de leur structure organisationnelle et de leur taille ».

 

Qui pourra alors exercer, à votre place et pour votre compte, la fonction de DPO ?

 

• La fonction ne peut être mutualisée qu’entre personnes publiques. 

En disposant qu’un seul DPO peut être désigné pour plusieurs autorités ou organismes publics, l’article 37 du RGPD apparaît exclure la possibilité pour le DPO d’exercer ses fonctions autant pour des personnes publiques et pour des entreprises privées.

C’est d’ailleurs la raison pour laquelle certains parlent de « DPO public » et de « DPO privé ».

 

•  Il faut se référer aux CIL déjà existants.

Le CIL (pour « correspondant Informatique et libertés ») est un peu l’ancêtre du DPO.

Institué par la loi « Informatique et libertés », il est un « référent » sur la protection des données personnelles. Toutefois, sa désignation n’était pas obligatoire.

La Gazette des communes a produit sur son site une formidable carte laissant apparaître les organismes disposant d’un CIL et précisant si ceux-ci sont internalisés ou externalisés.

Elle vous informera s’il existe un CIL près de chez vous et, peut être, vous inspirera pour la mutualisation de votre futur DPO.

Attention : en l’état actuel du droit, la transformation d’un CIL en DPO n’est pas automatique. Mais, ainsi que le précise la CNIL elle-même, les CIL d’aujourd’hui ont vocation à devenir les DPO de demain.

 

• Ce sont aussi des établissements publics locaux qui vont désigner, en interne, un DPO et proposer ensuite sa mutualisation.

Tout d’abord, des syndicats proposant d’exercer la fonction de DPO vont vraisemblablement se multiplier.

La CNIL fait état ici de structures locales déjà existantes et exerçant, pour les collectivités locales, la fonction de DPO.

Appelées parfois « agence » ou « association », il s’agit bien, en droit, de syndicats, qu’ils soient intercommunaux ou mixtes.

A titre d’exemple, l’agence landaise pour l’informatique (ALPI), qui possède le statut de syndicat mixte ouvert, proposait déjà un service de « CIL » pour les collectivités locales du territoire.

Dans le département de l’Oise, l’ADICO (association pour le développement et l’innovation numérique des collectivités) propose aujourd’hui la mutualisation de son DPO.

Il en va de même pour le syndicat « Territoire d’Energie 90 », à Belfort.

Ensuite, la communauté (de communes, d’agglomération, urbaine ou la métropole) peut bien évidemment s’emparer de cette fonction.

Sur ce point, il convient, à l’instar de chaque mission exercée par un EPCI à fiscalité propre, de s’assurer qu’elle se rattache à l’exercice de l’une des compétences qui lui a été transférée.

Enfin, la CNIL rappelle que certains centres de gestion de la fonction publique territoriale possèdent déjà des CIL exerçant leurs fonctions pour plusieurs collectivités locales.

Là encore, il est probable – en tout cas, souhaitable – que ces CIL deviennent remplissent les fonctions de DPO.