Maire-info
Le quotidien d’information des élus locaux
Édition du jeudi 13 septembre 2018
Numérique

RGPD : trois questions pour comprendre la méthode de désignation du délégué à la protection des données (DPD)

RGPD : depuis le 25 mai, date de son entrée en vigueur, cet acronyme est bien connu des élus. Se mettre en conformité avec le règlement général sur la protection des données ne va, en revanche, pas toujours de soi dans les communes, notamment les plus petites, qui ont l’obligation, sous peine de sanctions financières, de s’assurer de la conformité des fichiers de données personnelles qu'elles traitent au nouveau texte ainsi que de la fiabilité de son traitement de données personnelles et du respect de la vie privée de leurs habitants.
Avant le 25 mai, les collectivités locales et les EPCI avaient la possibilité de créer un poste de correspondant informatique et libertés (Cil). Ce qui relevait du facultatif hier devient obligatoire aujourd'hui et le Cil est remplacé par un délégué à la protection des données (DPD) que l'exécutif local, responsable de la conformité des traitements au RGPD, doit impérativement désigner.

Pourquoi ce changement ?
Avant le 25 mai, « il y avait des Cil cosmétiques, remarquait Alice de La Mure, qui s'occupe du secteur public au service des correspondants informatique et libertés de la Cnil, dans les colonnes du Journal du Net en février 2018. Dorénavant, le règlement inclut des obligations de moyens ainsi que d'expertise technique et juridique. » 
En effet, le RGPD précise que le DPD doit avoir un niveau d’expertise suffisant et être autonome afin d’alerter, en toute indépendance, le responsable du traitement (maire ou président d’EPCI) au cas où il constaterait des anomalies. Au regard de cette double condition, la désignation à ce poste d'un ou d'une secrétaire de mairie nécessite, selon l'AMF, une attention particulière.

Quelles sont les missions du DPD ?
Concrètement, le DPD est également soumis au secret professionnel et à une obligation de confidentialité. Il doit informer et conseiller le responsable de traitement et les autres personnes chargées de la mise en œuvre des traitements, contrôler le respect du RGPD et du droit national de la protection des données, jouer le rôle de « point de contact »  entre la collectivité et la Cnil et s’assurer de la bonne tenue du registre des traitements.

Comment désigner un DPD ?
Pour désigner le DPD, plusieurs options s’offrent au maire ou au président d'EPCI. En interne, il est possible, par exemple, de transformer le poste du Cil, quand celui-ci est déjà existant, en DPD, d’attribuer les missions du DPD à un agent déjà en poste (rédaction d’une lettre de mission) ou de créer ce nouvel emploi de DPD au tableau des effectifs. Dans ce cas, la collectivité devra prendre une délibération faisant état du cadre d’emploi et du grade. Aucune condition statutaire n’est prévue dans le texte : le DPD peut donc être un agent titulaire, stagiaire ou contractuel ou un agent appartenant aux cadres d’emplois dont les missions sont « compatibles »  avec celles du DPD.
Les communes, et notamment les plus petites, peuvent aussi avoir recours à la mutualisation quand elles n’ont pas dans leurs rangs un agent compétent pour le poste. Une convention de mise à disposition individuelle est alors conclue entre la collectivité employeur et celle qui l'accueille. Autre solution : la rédaction d’une convention de prestation de services si les communes sont membres d’un même EPCI. Autrement dit, une commune se dote d’un DPD qui sera également celui des autres communes.
Enfin, l'autorité territoriale peut faire le choix de l’externalisation en conventionnant avec son centre de gestion ou en s’assurant les services d’un prestataire privé. Il s’agit là d’un contrat qui relève des règles de la commande publique (mise en concurrence entre les candidats potentiels par appel d’offres).
Avant de prendre sa décision, le maire ou le président d’EPCI doit notamment en amont décider du rattachement hiérarchique du DPD, rédiger son profil de poste, définir les compétences attendues ou encore évaluer le temps à consacrer à l’exercice de ces missions.

Ludovic Galtier

Télécharger la note de l’AMF

Suivez Maire info sur Twitter : @Maireinfo2