Maire-info
Le quotidien d’information des élus locaux

Édition du mardi 23 octobre 2018
Numérique

RGPD : une délibération précise « les compétences et les savoir-faire » du DPD

Informations personnelles, données médico-sociales, régime alimentaire des enfants inscrits à la cantine… Chaque année, les communes traitent et disposent de toute une série de données sensibles sur leurs usagers, dont la protection était jusque-là très peu contrôlée. La donne a quelque peu changé depuis le 25 mai 2018 et l’entrée en vigueur du règlement général sur la protection des données (RGPD) partout en Europe. « Il y a une volonté de responsabiliser les acteurs publics sur le sujet », explique à Maire info Virginie Langlet, déléguée à la protection des données au conseil départemental des Alpes-Maritimes et référente du groupe RGPD pour l’Assemblée des départements de France (AdF).
Depuis le printemps, toute autorité publique et tout organisme public, parmi lesquels les collectivités locales, les syndicats mixtes et les groupements d’intérêt public (GIP), ont pour obligation de désigner un délégué à la protection des données (DPD ou DPO). « C’est le chef d’orchestre, celui qui est à la manœuvre pour cartographier les traitements, conseiller le responsable de traitement ou encore mener les études d’impacts... Il est chargé de faire en sorte que la protection des données soit désormais dans l’ADN des collectivités locales », résume Virginie Langlet. Jusque-là, les collectivités locales et les EPCI avaient la possibilité de créer, selon leur bon vouloir, un poste de correspondant informatique et libertés (Cil) conformément à un décret d’application de 2005.

« La certification n’a pas de caractère obligatoire » 
Aujourd’hui, toute la question est de savoir qui peut exercer cette mission de DPD. Le 20 septembre dernier (Journal officiel du 11 octobre), la Commission nationale de l’informatique et des libertés (Cnil) a pris une délibération portant adoption des critères du référentiel de certification des compétences du délégué à la protection des données.
Pour prétendre à cette certification, le DPD doit « justifier d'une expérience professionnelle d'au moins 2 ans dans des projets, activités ou tâches en lien avec les missions du DPO s'agissant de la protection des données personnelles »  ou « justifier d'une expérience professionnelle d'au moins 2 ans ainsi que d'une formation d'au moins 35 heures en matière de protection des données personnelles reçue par un organisme de formation ». Un niveau d’exigence très élevé, notamment pour les plus petites communes, « qui peut créer une discrimination », s’émeut Virginie Langlet. La certification n’a toutefois pas de caractère obligatoire. « C’est seulement un affichage qui permet de donner confiance aux usagers », relativise la spécialiste.
Parmi la longue liste de compétences qu’il doit maîtriser (délibération en téléchargement ci-dessous), le DPD doit « connaître et comprendre les principes de licéité du traitement, de limitation des finalités, de minimisation des données, d'exactitude des données, de conservation limitée des données, d'intégrité, de confidentialité et de responsabilité »  ou encore savoir « élaborer, mettre en œuvre et (être) en capacité de dispenser des programmes de formation et de sensibilisation du personnel et des instances dirigeantes en matière de protection des données. »  73 départements ont procédé à la désignation de leur DPD à la fin du mois de septembre contre 46 à la fin du mois de mai (+60% environ).
Plus globalement, Virginie Langlet alerte sur « la charge de travail »  liée au RGPD et sur le « risque d’impossibilité de mise en œuvre du texte pour les petites communes eu égard aux efforts demandés (…) Les analyses de risques sur la vie privée, les études de risques sur les mesures de sécurité seront difficiles à mettre en œuvre pour les petites collectivités ». La spécialiste regrette enfin « les sanctions financières »  qui peuvent être prises à l’encontre des communes alors qu’il n’y en pas pour l’État.
Ludovic Galtier
Télécharger la délibération du 20 septembre 2018.

Suivez Maire info sur Twitter : @Maireinfo2