Collectivités locales : l'obligation de désigner un Délégué à la Protection des Données

De la plus petite à la plus grande, chaque collectivité territoriale française a l'obligation de désigner un Délégué à la Protection des Données.

Le RGPD l'impose dans son article 37, dès lors qu'un traitement d'informations personnelles est effectué par une autorité ou un organisme public.

Pourtant, en y regardant de plus près, certaines communes et intercommunalités n'ont pas mises en oeuvre cette obligation, et pratiquent la politique de l'autruche.

La CNIL accélère le mouvement en prenant chaque année un "échantillon" de collectivités récalcitrantes et les mettant en demeure (publiquement) de se mettre en conformité. Evidemment, toutes ont obtempéré illico, mais la CNIL ne visait pas ce seul résultat. La démarche va plus loin.

Elle tente de prévenir les collectivités sur la tournure que prend aujourd'hui cette question pour le citoyen. Les Collectivités qui ne sont pas en règle avec la législation sont aussi celles qui n'ont pas abordé les questions de sécurité de l'information. Or, face aux préjudices pour les administrés, la responsabilité des collectivités est en ligne de mire. Au pénal, la mise en cause de la responsabilité des agents et élus des collectivités locales et de leurs établissements publics peut résulter de la violation des règles relatives à la protection des données personnelles,ou liées à des imprudences voire des négligences. Au civil, un maire, un élu, ou un agent public peut voir sa responsabilité civile engagée sur son patrimoine personnel pour réparer des dommages causés aux tiers.

Si la CNIL insiste tant avec l'obligation de désigner un DPO, c'est que celui-ci joue un rôle essentiel dans la conformité des traitements de données mises en œuvre par les collectivités et reste l'interlocuteur privilégié des agents et des citoyens.

Il a un rôle de conseil et d’accompagnement :

• Auprès de l'exécutif des mairies afin d'assurer la conformité des traitements

• En diffusant la culture et les règles de la protection des données auprès de toutes les personnes qui traitent des données personnelles au sein de l’organisme.

Le DPO a une mission d’information, de conseil et de contrôle. Il ne peut pas légalement être responsable de la conformité de l’organisme, de la tenue du registre, de la réalisation des analyses d’impacts ou des notifications de violations de données.

Il est également cet acteur clef qui en interne adopte les bons réflexes vis-à-vis du RGPD, texte de référence en la matière, que ce soit en cas de cyberattaque ou de traitement de donnée personnelle.