Maire-info
Le quotidien d’information des élus locaux

Édition du mardi 11 février 2020
Numérique

RGPD : les recommandations de la Cnil pour la désignation du délégué à la protection des données

Depuis le 25 mai 2018, les communes et les intercommunalités sont, comme l’ensemble des organisations, soumises au Règlement général pour la protection des données (RGPD). Elles sont dans l’obligation de désigner un délégué à la protection des données (DPD), « personnage central »  s’il en est dans l’application du cadre juridique.
La Commission nationale de l’informatique et des libertés poursuit son effort de pédagogie en mettant à jour ses recommandations pour la désignation du DPD, « notamment vis-à-vis des conseillers municipaux et des délégués mutualisés ». « 60 % des communes »  n’avaient pas encore désigné de DPD en novembre 2019 (leur nombre est passé de 3 000 à 13 600 entre mai 2018 et novembre 2019), affirmait, lors du Congrès des maires de France et présidents d'intercommunalité, Marie-Laure Denis, présidente de la Cnil. À la même époque, 90 % des départements et 100 % des régions avaient procédé à cette désignation. 

Les missions du DPD
Comme Maire info l’a rappelé à plusieurs reprises (lire Maire info du 13 septembre 2018 ou du 27 mai 2019), le DPD, qui « doit être choisi sur la base de ses connaissances du droit et des pratiques en matière de protection des données »  (lire Maire info du 23 octobre 2018), a vocation à « diffuser une culture de la protection des données au sein de la collectivité ». Il doit notamment, précise la Cnil, « communiquer sur les règles applicables, et sur les moyens de s’y conformer, à la fois auprès de son représentant légal (maire, président du conseil régional ou départemental, président de l’établissement public de coopération intercommunale, etc.), responsable de la conformité des traitements déployés, et des services opérationnels chargés de leur mise en œuvre ». Il les conseille par exemple sur « la réalisation d’une analyse d’impact relative à la protection des données : obligation ou non d’y procéder, méthodologie à suivre, mesures/garanties techniques et organisationnelles à prévoir, nécessité ou non de consulter la Cnil ».
Le DPD est aussi chargé de tenir et actualiser le registre des traitements (gestion de l’état civil, de la liste électorale, du cadastre, des repas des seniors, des prêts de la bibliothèque, etc.) et d’être « le point de contact »  pour les personnes dont les données sont traitées et l’interlocuteur privilégié de la Cnil.

Son statut
« Quelle que soit sa position précise dans l’organigramme », rappelle la Cnil, le délégué désigné en interne « doit pouvoir disposer d’un accès direct au niveau exécutif de la collectivité (le maire pour une commune) ». Il doit aussi être en mesure « d’exercer ses missions en toute indépendance »  et « d’être à l’abri des conflits d’intérêts ».
Si le DPD est secrétaire de mairie, « souvent pressenti pour occuper la fonction de délégué »  dans les petites communes, « le maire devra bien s’assurer que l’intéressé ne prend pas part au circuit de décision concernant les fichiers exploités par la collectivité ». 
La Cnil « déconseille pour des raisons de principe »  que le DPD soit conseiller municipal car, de par sa définition, « le conseiller municipal est structurellement conduit à participer au processus de décision quant aux traitements de données à mettre en œuvre pour la satisfaction de politiques publiques ou la résolution de questions d’intérêt local ».

Les différentes formes de DPD
Les communes ont le choix entre plusieurs formules : un DPD peut être interne à la commune, externe ou « mutualisé »  à l’échelle de plusieurs communes ou de l’intercommunalité. Pour accélérer le mouvement, la présidente de la Cnil conseillait notamment aux plus petites collectivités de « mutualiser cette désignation ». Celle-ci peut, en effet, être envisagée à différents niveaux : celui de l’EPCI, du syndicat mixte ou du centre de gestion de la fonction publique territoriale. « Les collectivités territoriales, établissements publics locaux et organismes privés chargés d’une mission de service public qui optent pour la mutualisation doivent conclure une convention définissant les conditions dans lesquelles s’exerce cette mutualisation. Pour que l’action du délégué soit bien effective au sein de chaque organisme, il conviendra en particulier de veiller à ce que l’échelle de la mutualisation (nombre d’entités concernées) soit en adéquation avec les moyens alloués à la personne mutualisée. » 
La collectivité doit obligatoirement notifier la désignation de son délégué, en utilisant le téléservice dédié, à la Cnil. Qui peut être amenée à sanctionner financièrement les communes qui ne respecteraient pas le RGPD. « C’est du cas par cas, on n’aura pas le même niveau d’exigence en fonction de la taille des collectivités », rassurait en novembre 2019 Marie-Laure Denis qui cherche avant tout à « nouer un dialogue avec les élus ».

Ludovic Galtier

Accéder aux recommandations de la Cnil.

Suivez Maire info sur twitter : @Maireinfo2

Suivez Maire info sur Twitter : @Maireinfo2