Le magazine des maires et présidents d'intercommunalité
Maires de France
Pratique
janvier 2022
Numérique, réseaux sociaux

Protection des données : désigner et mutualiser le délégué

La désignation d'un délégué à la protection des données (DPO) est une obligation légale. Voici pourquoi et comment mutualiser cet acteur-clé du RGPD.

Olivier Devillers
Illustration
© AdobeStock
Depuis le règlement général sur la protection des données (RGPD), entré en vigueur en mai 2018, la désignation d’un délégué à la protection des données (DPO en anglais) est une obligation pour les communes. Elle reste insuffisamment respectée avec environ 30 000 DPO pour 80 000 organismes.
 

Qui est concerné ?

Toutes les autorités et organismes publics traitant des données personnelles, quelle que soit leur taille, ont l’obligation de désigner un DPO. Cela inclut aussi les offices de tourisme, les centres communaux d’action sociale ou les associations d’aide à la personne. Tout traitement de données personnelles, numérique ou papier, doit être mis en conformité avec le RGPD.
 

Quelles sont les missions du DPO ?

Il informe et conseille la collectivité sur les règles applicables : principe de finalité d’un traitement, recueil du consentement, durée de conservation des données, sécurisation des accès. Le DPO établit et met à jour le registre des traitements de données personnelles, document rendu obligatoire par le RGPD. Il aide aussi à rédiger les mentions types sur les formulaires et sites internet. Il est un point de passage obligé lors du choix d’une application ou d’un prestataire traitant des données personnelles. Il peut être amené à réaliser une étude d’impact sur la vie privée.

Attention, le maire reste le seul responsable des traitements de la collectivité et le DPO ne pourra être mis en cause en cas d’éventuels manquements.
 

Quel est le profil du DPO ?

Un DPO devra allier des connaissances juridiques et une bonne maîtrise des outils informatiques. Il devra aussi faire preuve d’indépendance par rapport à la hiérarchie et être un bon communicant. Un responsable informatique décidant des choix d’application ne peut être désigné DPO car il serait juge et partie. Pour les mêmes raisons, la Commission nationale de l’informatique et des libertés (Cnil) estime que ni un élu, ni un secrétaire de mairie ne peuvent exercer la mission de DPO. Ces contraintes doivent conduire les petites communes à opter pour un DPO extérieur à la collectivité.
 

DPO externalisé ou mutualisé ?

Les communes doivent se méfier des prestataires proposant une «conformité RGPD » pour un montant forfaitaire : la conformité est un processus qui s’inscrit dans la durée. La mutualisation du DPO au sein d’une structure publique est préférable à son externalisation. Cette mutualisation peut être réalisée par exemple à l’échelle de l’intercommunalité ou d’un centre de gestion. C’est la structure qui est désignée comme DPO, à charge pour celle-ci de mobiliser les ressources humaines et techniques nécessaires pour assurer la mission de DPO. Une fois désigné, le DPO doit être notifié par la commune à la Cnil.
 

Comment mutualiser le DPO ?

La mutualisation doit être formalisée par une convention liant la commune et la structure hébergeant le DPO. La commune devra notamment garantir un libre accès du DPO à l’ensemble de ses données et lui assurer les moyens d’exercer ses missions. La commune doit aussi désigner un ou plusieurs points de contact, notamment avec les services métiers.

Généralement, le DPO mutualisé intervient d’abord pour cartographier les traitements et établir un plan d’action pour assurer la mise en conformité de la collectivité. Le DPO aura ensuite pour mission de sensibiliser, former et accompagner les agents dans la mise en œuvre de ce plan. Chaque année, le niveau de conformité de la collectivité sera vérifié, les éventuelles défaillances pointées. En cas de violation de données personnelles (vol, perte de données, intrusion…), le DPO doit être alerté systématiquement. La tarification du DPO peut être forfaitaire et/ou calculée par journée d’intervention.
 

Guides et formations
La mission de délégué à la protection des données (DPO) dans une collectivité territoriale a des spécificités fortes. Toutes les communes, quelle que soit leur taille, doivent ainsi gérer des fichiers sensibles comme les listes électorales, les données d’état civil ou encore l’aide sociale.

La Commission nationale de l’informatique et des libertés (Cnil) a conçu, en concertation avec l’AMF, plusieurs fiches à destination des collecti-vités sur l’impact du RGPD ou la désignation du DPO. Un cours en ligne gratuit (Mooc) ciblant les collectivités est aussi annoncé. Les pages RGPD du site internet de la Cnil comportent enfin des ressources, dont un guide sur le DPO et un autre sur la planification des actions pour atteindre la conformité. www.cnil.fr

 

Suivez Maires de France sur Twitter: @Maires_deFrance

Suivez Maires de France sur Twitter: @Maires_deFrance


Raccourci : mairesdefrance.com/1125
Couverture

Cet article a été publié dans l'édition :

n°397 - JANVIER 2022
Retrouver tous les articles de ce numéro :
Les offres d’abonnement
Toutes les éditions
Logo

Maires de France est le magazine de référence des maires et élus locaux. Chaque mois, il vous permet de décrypter l'actualité, de partager vos solutions de gestion et vous accompagne dans l'exercice de votre mandat. Son site Internet, mairesdefrance.com, vous permet d’accéder à toute l'information dont vous avez besoin, où vous voulez, quand vous voulez et sur le support de votre choix (ordinateur, tablette, smartphone, ...).