Retour aux articles

La désignation d'un délégué à la protection des données dans une collectivité : les rappels de la CNIL

Affaires - Immatériel
23/09/2019
Les collectivités territoriales ont l'obligation de désigner un délégué à la protection des données. La Commission nationale de l’informatique et des libertés (CNIL) énonce un certain nombre de rappels afin de se mette en conformité au mieux avec le Règlement général pour la protection des données (RGPD).
La CNIL rappelle que la première mission du délégué à la protection des données (DPO) est d’informer et conseiller la collectivité notamment son représentant légal (maire, président de conseil régional et départemental, président d’établissement public de coopération intercommunale), ainsi que les agents sur la conformité au RGPD des traitements.
La seconde est de contrôler le respect du règlement et du droit national en matière de protection des données.
La troisième est d’être le point de contact pour les personnes dont les données sont traitées par la collectivité et l’interlocuteur privilégié de la CNIL. A cette fin les coordonnées du DPO doivent être facilement accessibles. Il est donc nécessaire de les mentionner sur les différents formulaires et sur le site web.
 
La Commission rappelle également que le DPO doit être choisi sur la base de ses connaissances du droit et des pratiques en matière d’application du RGPD. Il n’impose toutefois pas aux organismes de recourir à une profession particulière pour la désignation de leur DPO. Aucun agrément n’est prévu, aucune exigence de diplôme ou condition statutaire n’est fixée. Il peut donc s’agir d’une personne physique ou morale issue du secteur juridique ou technique, en interne à la collectivité ou en externe (avocat, consultant...). Les compétences pourront être acquises ou développées au moyen d’un plan de formation adapté au profil du délégué.

La CNIL rappelle enfin que le délégué doit pouvoir :
rendre compte au niveau le plus élevé de la hiérarchie. Quelle que soit sa position précise dans l’organigramme, le délégué doit avoir accès et rendre compte de l’exercice de sa mission au niveau exécutif de la collectivité ;
être en mesure d’exercer ses fonctions et missions en toute indépendance. Cette deuxième condition signifie que le délégué bénéficie d’une liberté dans les analyses et actions qu’il décide d’entreprendre, et qu’il ne doit pas recevoir d’instruction dans l’exercice même de ses mission. Il ne peut donc pas faire l’objet d’une sanction ou d’une mesure préjudiciable du seul fait de leur accomplissement (en cas de désaccord avec le responsable de traitement sur une analyse par exemple) ;
être à l’abri des conflits d’intérêts.Cette condition constitue une garantie d’indépendance importante. Ainsi, lorsque le délégué est amené à exercer d’autres fonctions, elles ne doivent pas le conduire à décider des finalités et/ou des moyens de mise en oeuvre des traitements de données personnelles.
 
On retiendra en dernier lieu que la désignation d'un DPO obligatoirement être notifiée à la CNIL en utilisant le téléservice dédié.
Source : Actualités du droit