RGPD : le maire d’une commune ne peut pas être son propre délégué à la protection des données personnelles (DPO)

Le maire d’une commune ne peut se désigner lui-même délégué à la protection des données personnelles (DPD ou DPO pour « Data protection officer« ).

Telle est la réponse du ministre de l’Intérieur aux collectivités qui se posaient encore la question (Réponse ministérielle du 27 septembre 2018, JO Sénat p.4914, Question n°05775 de M. Jean Louis Masson). 

Le contraire aurait été surprenant.

En effet, un maire est considéré, au sens du règlement général sur la protection des données personnelles (RGPD), comme le responsable des traitements effectués par sa commune. Or, le DPO, en plus de sa mission de conseil et d’information, est spécifiquement tenu de contrôler la régularité de ces traitements…

Ces deux rôles sont, par définition, distincts, ce que rappelle le ministre de l’Intérieur.

D’ailleurs, si le DPO peut exécuter d’autres missions et tâches, il revient au maire lui-même de veiller à ce que ces missions et tâches n’entraînent pas de conflits d’intérêts. Ce conflit est notamment caractérisé si le DPO exerce une fonction qui l’amène à déterminer les finalités et les moyens du traitement de données personnelles. 

Autrement dit, le DPO ne peut être « juge et partie » des données personnelles. Or, la fonction même de maire, par définition, l’amène à déterminer les raisons pour lesquelles des données personnelles seront traitées. Aussi, il doit être exclu du champ des personnes aptes à être DPO.

Le même raisonnement s’applique, tout naturellement, aux présidents des autres collectivités territoriales ou de groupements de collectivités territoriales (président(e) d’un conseil départemental, d’une communauté de communes, d’un syndicat mixte, etc.).

Plus largement, ce n’est pas que la fonction de chef de l’exécutif qui est concernée par de telles restrictions. Ainsi que le précise la Commission nationale de l’informatique et des libertés (CNIL), s’alignant sur une jurisprudence du Tribunal de l’Union européenne, parmi les fonctions susceptibles de donner lieu à un conflit d’intérêts au sein d’un organisme, peuvent figurer les fonctions d’encadrement supérieur.

En ce sens, les fonctions de secrétaire général, directeur général des services (DGS), directeur général (DG), directeur financier étaient expressément cités par la CNIL comme susceptibles de créer un conflit d’intérêts si elles étaient exercées par un DPO.

La question s’est aussi posée s’agissant des directeurs des systèmes d’information (DSI), ce à quoi la CNIL avait répondu que ce risque existait également.

Si lesdites fonctions n’excluent pas nécessairement la possibilité d’être désigné DPO, les risques de conflit d’intérêt s’apprécie au cas par cas.

De quoi rendre le choix du DPO encore plus délicat…

Voir ici la réponse ministérielle citée.

 

Voir aussi en vidéo :

 

 

Il y a donc des limites au dédoublement de fonctions, d’images ou de personnalité !

th

 

Crédit photographique : O. Welles, La dame de Shanghaï, 1947.