Le Délégué à la Protection des Données obligatoire pour tout établissement public à compter du 25 mai 2018.
Tandis que les usagers sont particulièrement inquiets du sort des données personnelles qu’ils fournissent aux collectivités et administrations 1 , la Communauté Européenne a décidé de mettre le pied à l’étrier aux établissements publics. Le Règlement Européen portant sur les données personnelles, plus généralement nommé par les acronymes GDPR ou RGPD, comporte dans ses dispositions l’obligation pour tous les établissements public de désigner un délégué à la protection des données.
Un Délégué à la Protection des Données spécialisé et autonome
Le texte prévoit que le DPD est désigné, choisi sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données et de sa capacité à accomplir les missions. Il dispose d’une particulière autonomie dans l’exercice de ses missions en étant placé directement sous l’autorité du responsable de traitement.
Ces compétences et ce niveau d’autonomie ont bien évidemment un coût pour les petites collectivités qui n’ont ni le besoin d’un DPD à temps complet, ni la capacité financière d’assumer un tel recrutement. A titre d’information, un sondage en 2012 avait évalué le salaire médian des Correspondants Informatique et Liberté (CIL qui deviendra DPD à compter du 25 mai 2018) à 47.000 € brut avec une évolution importante ces dernières années. En effet, tant l’augmentation du besoin de cette compétence que l’essor de la collecte des données personnelles – BIG DATA – valorise la fonction.
Une mission de conseil de d’assistance du responsable de de traitement
Le GDPR n’a pas modifié le point crucial de la responsabilité des traitements, qui incombe au responsable de la collectivité. Aucune délégation de pouvoir n’est ouverte par la Loi. Le DPD a donc pour mission de conseiller et d’assister le responsable de traitement dans l’encadrement des traitements de données à caractère personnel. Sécurité, transfert, information des usagers, conformité à la Loi des données collectées et des finalités des traitements, Le DPD mettra en œuvre les processus garantissant la sécurité et liberté des usagers sur les données collectées.
Désigner un DPD externe ou mutualisé
Conscient des enjeux, les rédacteurs du texte n’ont pas exclu la possibilité de désigner soit un CIL externe, soit un CIL mutualité. L’un n’empêchant d’ailleurs pas l’autre.
Ainsi, regroupés dans le cadre de GIP (Groupement d’Intérêt Public), les collectivités peuvent mutualiser la ressource de Délégué à la Protection des Données et assurer leur conformité au RGPD sans pour autant mettre en péril leurs budgets. Le choix d’un DPD externe est également ouvert aux collectivités, leur permettant là encore de maîtriser leur budget.
Le cas du CIL/DPD avocat
L’avocat, conseil juridique, présente les garanties de compétences techniques et d’indépendance requises par la Loi pour assurer la fonction de CIL/DPO externe. Le règlement intérieur national des avocats (RIN, art. 6.2.2) encadre désormais l’activité de CIL exercée par un avocat et renforce son rôle en la matière. Titulaire du secret professionnel opposable à tous, il garantie la confidentialité de sa mission dans un domaine ou la réputation est une question clef. Il présente par ailleurs l’avantage de pouvoir représenter la collectivité en cas de contrôle et lors de la procédure de sanction de la CNIL, et engage sa responsabilité professionnelle.