La mission de délégué à la protection des données au sein des collectivités
Publié le :
26/06/2018
26
juin
juin
06
2018
Le fournisseur de logiciel de gestion d’une collectivité peut-il être ce délégué à la protection des données dans le cadre du RGPD ?
Dans les lignes directrices sur les DPO daté du 13 décembre 2016, le G29 a pu statuer sur cette question, estimant que si le DPO peut exécuter d'autre mission et tâches, le responsable du traitement et le sous-traitant doivent veiller à ce que ses missions et tâches n'entraînent pas de conflit d'intérêts.Cela correspond à l’article 38 § 6 du RGPD.
Sont compris tous les rôles importants ou non dans la structure organisationnelle si ces postes ou rôle conduisent à la détermination des objectifs et moyens de traitement des données personnelles.
Il convient donc d'identifier les postes qui seraient incompatibles avec la fonction de délégué.
Au cas particulier, le fournisseur de logiciels de gestion ne peut en aucune façon être le délégué à la protection des données personnelles.
Le délégué à la protection des données personnelles, obligatoire ou volontaire, est désigné pour toutes les opérations de traitement effectuées par le responsable du traitement ou le sous-traitant.Le RGPD dans son article 37 paragraphe 2 donne la possibilité de mutualiser un délégué au sein d'un groupe d'entreprises ou de collectivités.
Une condition d'organisation matérielle est cependant imposée dans cette hypothèse en contrepartie de cette possibilité ainsi laissée : l'accessibilité du délégué à la protection des données personnelles.
En effet, l'une des missions du délégué est d'informer et de conseiller le responsable du traitement ou le sous-traitant, ainsi que les employés qui accomplissent le traitement de leurs obligations conformément aux RGPD.
Ainsi, le délégué à la protection des données personnelles doit être en mesure avec l'aide d'une équipe nécessaire de communiquer efficacement avec les personnes concernées et de coopérer avec les autorités de contrôle concernées.
La disponibilité du délégué doit être assurée par une présence physique dans les locaux mêmes de la collectivité mais aussi par l’intermédiaire d'une hotline ou tout autre moyen de communication sécurisé.
La mutualisation offre un grand intérêt quand les structures présentent de fortes similitudes et mettent en œuvre des traitements analogues.
Mais attention car en toute hypothèse le délégué à la protection des données personnelles doit respecter un principe d'indépendance.Il doit aussi être en possession d’un solide bagage de connaissances, principalement juridiques.
L'article 37 paragraphe 5 du RGPD exige que le délégué soit désigné sur la base de ses qualités professionnelles et en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données et de ses capacités à accomplir les missions visées à l'article 39.
Certes, un souhait a été émis que la profession ne soit pas réduite au seul profil juridique.
La fonction de DPO doit rester ouverte à toute personne et les exigences exprimées dans le RGPD peuvent être satisfaites même par des personnes dépourvues de diplôme en droit.
Cela étant, dans la mesure où la connaissance de ce type de droit implique un effort certain de formation initiale, il convient tout de même de privilégier une approche juridique spécialisée.
Le niveau de connaissances spécialisées requis devra être déterminé en fonction des opérations de traitement des données effectuées et de la protection exigée pour les données à caractère personnel en cours de traitement.
Cette nouvelle exigence de compétence devra être respectée.
L'expertise dans les lois et pratiques nationales et européennes de protection des données est une exigence, ainsi qu'une connaissance fine du RGPD.
Les missions du DPO peuvent également être exercées sur base d'un contrat de service ce qui permet effectivement d'externaliser la fonction et d’éviter tout risque de conflit d'intérêts, et donne la possibilité au DPO de participer à toutes les questions relatives à la protection des données dès les premiers stades possibles.
Il convient également que le DPO dispose d'un soutien en termes de ressources financières d'infrastructures et de personnel si nécessaire, ce que permet incontestablement l’externalisation de la prestation.
Le responsable du traitement et le sous-traitant doivent veiller à ce que DPO ne reçoive aucune instruction ce qui concerne l'exercice des missions.
Le considérant 97 du RGPD exige que les DPO soient en mesure d'exercer leurs fonctions et missions en toute indépendance, ce que garantit également l’externalisation.
Plus que jamais le recours à des avocats spécialisés, intervenant en qualité de délégué à la protection des données ou dans des phases de conseil s'avère indispensable.
Cet article n'engage que son auteur.
Auteur
DROUINEAU Thomas
Avocat
1927 AVOCATS - Poitiers
POITIERS (86)
Historique
-
La portée de l'obligation de communication aux membres du conseil municipal
Publié le : 04/06/2019 04 juin juin 06 2019Collectivités / Services publics / Fonction publique / Personnel administratifQuelle est la portée de l'obligation de communication aux membres du conseil municipal ? (Conseil d'Etat 5 avril CIVIS n° 416542) L’article L. 2121-13 d...
-
Quelles sont les conditions entourant le préavis de grève dans le secteur public ?
Publié le : 27/03/2019 27 mars mars 03 2019Particuliers / Emploi / Contrat de travailCollectivités / Services publics / Fonction publique / Personnel administratifAfin d’assurer la continuité du service public, le droit de grève dans le secteur public fait l’objet d’une réglementation spéciale (C. trav., art. L. 2512...
-
Distinction entre reclassement et changement d'affectation
Publié le : 04/03/2019 04 mars mars 03 2019Collectivités / Services publics / Fonction publique / Personnel administratifLe changement d’affectation pour raisons de santé après congé maladie n’est pas toujours un reclassement ! Conseil d'Etat 7 décembre 2018 Région Hauts-de-...
-
Fonction publique et don de congé à un collègue aidant un proche handicapé ou dépendant
Publié le : 20/11/2018 20 novembre nov. 11 2018Collectivités / Services publics / Fonction publique / Personnel administratifLe dispositif permettant aux agents des trois fonctions publiques de faire don de tout ou partie de leurs jours de congé au profit d’un collègue dont un en...
-
Précisions sur la notion de résidence administrative d’un fonctionnaire territorial
Publié le : 13/08/2018 13 août août 08 2018Collectivités / Services publics / Fonction publique / Personnel administratifDans une réponse du 21 juin, le ministre de l’intérieur a précisé la signification du « territoire de la commune » mentionnée dans la définition de la rési...
-
La mission de délégué à la protection des données au sein des collectivités
Publié le : 26/06/2018 26 juin juin 06 2018Collectivités / Services publics / Fonction publique / Personnel administratifLe fournisseur de logiciel de gestion d’une collectivité peut-il être ce délégué à la protection des données dans le cadre du RGPD ? Dans les lignes directr...
-
Emploi fonctionnel : la justification de la perte de confiance
Publié le : 20/06/2018 20 juin juin 06 2018Collectivités / Services publics / Fonction publique / Personnel administratifL’agent placé sur un emploi fonctionnel peut perdre son emploi après la mise en œuvre d’une procédure simple, du fait d’une perte de confiance de l’autorit...