Édition du 23  octobre 2018


Imprimer Imprimer

RGPD : une délibération précise « les compétences et les savoir-faire » du DPD

Informations personnelles, données médico-sociales, régime alimentaire des enfants inscrits à la cantine… Chaque année, les communes traitent et disposent de toute une série de données sensibles sur leurs usagers, dont la protection était jusque-là très peu contrôlée. La donne a quelque peu changé depuis le 25 mai 2018 et l’entrée en vigueur du règlement général sur la protection des données (RGPD) partout en Europe. « Il y a une volonté de responsabiliser les acteurs publics sur le sujet », explique à Maire info Virginie Langlet, déléguée à la protection des données au conseil départemental des Alpes-Maritimes et référente du groupe RGPD pour l’Assemblée des départements de France (AdF).
Depuis le printemps, toute autorité publique et tout organisme public, parmi lesquels les collectivités locales, les syndicats mixtes et les groupements d’intérêt public (GIP), ont pour obligation de désigner un délégué à la protection des données (DPD ou DPO). « C’est le chef d’orchestre, celui qui est à la manœuvre pour cartographier les traitements, conseiller le responsable de traitement ou encore mener les études d’impacts... Il est chargé de faire en sorte que la protection des données soit désormais dans l’ADN des collectivités locales », résume Virginie Langlet. Jusque-là, les collectivités locales et les EPCI avaient la possibilité de créer, selon leur bon vouloir, un poste de correspondant informatique et libertés (Cil) conformément à un décret d’application de 2005.

« La certification n’a pas de caractère obligatoire »
Aujourd’hui, toute la question est de savoir qui peut exercer cette mission de DPD. Le 20 septembre dernier (Journal officiel du 11 octobre), la Commission nationale de l’informatique et des libertés (Cnil) a pris une délibération portant adoption des critères du référentiel de certification des compétences du délégué à la protection des données.
Pour prétendre à cette certification, le DPD doit « justifier d'une expérience professionnelle d'au moins 2 ans dans des projets, activités ou tâches en lien avec les missions du DPO s'agissant de la protection des données personnelles » ou « justifier d'une expérience professionnelle d'au moins 2 ans ainsi que d'une formation d'au moins 35 heures en matière de protection des données personnelles reçue par un organisme de formation ». Un niveau d’exigence très élevé, notamment pour les plus petites communes, « qui peut créer une discrimination », s’émeut Virginie Langlet. La certification n’a toutefois pas de caractère obligatoire. « C’est seulement un affichage qui permet de donner confiance aux usagers », relativise la spécialiste.
Parmi la longue liste de compétences qu’il doit maîtriser (délibération en téléchargement ci-dessous), le DPD doit « connaître et comprendre les principes de licéité du traitement, de limitation des finalités, de minimisation des données, d'exactitude des données, de conservation limitée des données, d'intégrité, de confidentialité et de responsabilité » ou encore savoir « élaborer, mettre en œuvre et (être) en capacité de dispenser des programmes de formation et de sensibilisation du personnel et des instances dirigeantes en matière de protection des données. » 73 départements ont procédé à la désignation de leur DPD à la fin du mois de septembre contre 46 à la fin du mois de mai (+60% environ).
Plus globalement, Virginie Langlet alerte sur « la charge de travail » liée au RGPD et sur le « risque d’impossibilité de mise en œuvre du texte pour les petites communes eu égard aux efforts demandés (…) Les analyses de risques sur la vie privée, les études de risques sur les mesures de sécurité seront difficiles à mettre en œuvre pour les petites collectivités ». La spécialiste regrette enfin « les sanctions financières » qui peuvent être prises à l’encontre des communes alors qu’il n’y en pas pour l’État.
Ludovic Galtier
Télécharger la délibération du 20 septembre 2018.
Édition du 23  octobre 2018 image
Journal Officiel

Journal Officiel du 23  octobre 2018

  • Ministère de l'intérieur

    Arrêté du 12 octobre 2018 portant agrément d'organismes pour effectuer les vérifications techniques réglementaires dans les établissements recevant du public et les immeubles de grande hauteur


    Lire le JO  

  • Ministère de l'intérieur

    Arrêté du 15 octobre 2018 modifiant l'arrêté du 5 septembre 2018 portant ouverture en 2019 de l'examen professionnel d'accès par avancement de grade d'attaché principal territorial par le service interrégional des concours adossé au centre de gestion d'Ille-et-Vilaine représentant le Grand Ouest (Bretagne - Normandie - Pays de la Loire) par le centre de gestion d'Ille-et-Vilaine


    Lire le JO  

  • Assemblée nationale

    Ordre du jour


    Lire le JO  

  • Sénat

    Ordre du jour


    Lire le JO  

Abonnez-vous
à la newsletter

Quotidien   Hebdomadaire
Rechercher par dossiers
Retrouvez tous les articles depuis 2002 classés par rubriques

Organisation, Gestion Communale

Finances et fiscalités locales

Territoires

Environnement, développement durable

Urbanisme, Habitat, Logement

Action sociale, Emploi, Santé

Education jeunesse

Culture, Sports et loisirs

Europe International

Etat, Administration centrale, Elections

Juridique

Rechercher par calendrier
Retrouvez une édition par date :
Maires de France

Découvrez en exclusivité quelques articles du numéro de décembre

Enquête Cevipof : Les maires de France « entre résignation et incertitude »

 


Pour vous abonner www.amf.asso.fr