C’est le casse-tête de tous les collectivités, et notamment les Communautés de Communes et les Mairies.
Le choix de prime abord est souvent porté sur le DSI, le DRH, ou encore le DGS voir même un élu du conseil municipal.
Pourtant, la lecture du RGPD et du Guidelines DPO du G29, ces choix n’apparaissent pas judicieux.
Que dit le RGPD ?
Le RGPD prohibe tout conflit d’intérêt dans le cadre d’une appréciation concrète.
Article 38 6) du RGPD : « Le délégué à la protection des données peut exécuter d'autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n'entraînent pas de conflit d'intérêts. »
Soyons honnête, la lecture du texte ne nous avance pas beaucoup...
Les autorités de protection des données personnelles de tous les pays européens (la CNIL en France) ont par ailleurs établi un texte commun d’interprétation du RGPD s’agissant du DPO.
Le texte - in english please - indique que le DPO ne doit pas se trouver dans une situation qui l’amène à déterminer les buts ou les moyens du traitement. Cette règle est appréciée au cas par cas. Il est précisé qu’en règle générale, les positions conflictuelles incluent le Directeur d’exploitation (DGS) ; le DRH, le DSI.
Guidelines on Data Protection Officers (‘DPOs’) 16/EN WP 243 point 3.5
Qui désigner ?
Il semble s’imposer que le DGS, le DSI ou le DRH déterminent les finalités ou les moyens des traitement de part leur position. Et l'on imagine mal comment ceux-ci pourraient ne pas le faire. Le recrutement interne du DPO, lorsque la collectivité n’en a pas besoin à plein temps, apparaît donc difficile.
* Le DPO mutualisé apparaît comme la solution la plus économique : les collectivité regroupées peuvent alors se doter d’un DPO qui sera placé hors de tout conflit d’intérêt, et pouvant mener sa mission à bien. Celui-ci pourra capitaliser sur des traitements identiques au sein des collectivités dont il est DPO.
* Le DPO externalisé permet à chaque collectivité de faire son propre choix de DPO et celui-ci sera également hors de tout conflit d’intérêt. Attention toutefois à vérifier les qualités des prestataires qui doivent bénéficier d’une solide compétence juridique. Les avocats qui proposent ces services sont bien évidemment des interlocuteurs de choix parce qu’ils maîtrisent la Loi et son interprétation.
Quelle évolution à prévoir ?
Le RGPD vient de créer un véritable nouveau champ juridique : les éditions DALLOZ lui consacrent cette année un nouveau code de couleur rouge, à l’instar des autres domaines du droit. Les dispositions du RGPD vont donc être interprétées, s’affiner et ce d’autant plus que les collectivités sont aussi soumises à l’OPEN-DATA. Le rôle du DPO ne va donc cesser de s’accroître pour resituer au sein des collectivités la place centrale qu’elle occupe.
Il est donc à prévoir un accroissement du rôle du DPO dans les mois et les années à venir.
