S'inscrire à la newsletter
La mission de délégué à la protection des données au sein des collectivités

La mission de délégué à la protection des données au sein des collectivités

Publié le : 26/06/2018 26 juin Juin 2018

Le fournisseur de logiciel de gestion d’une collectivité peut-il être ce délégué à la protection des données dans le cadre du RGPD ?

Dans les lignes directrices sur les DPO daté du 13 décembre 2016, le G29 a pu statuer sur cette question, estimant que si le DPO peut exécuter d'autre mission et tâches, le responsable du traitement et le sous-traitant doivent veiller à ce que ses missions et tâches n'entraînent pas de conflit d'intérêts.

Cela correspond à l’article 38 § 6 du RGPD.

Sont compris tous les rôles importants ou non dans la structure organisationnelle si ces postes ou rôle conduisent à la détermination des objectifs et moyens de traitement des données personnelles.

Il convient donc d'identifier les postes qui seraient incompatibles avec la fonction de délégué.

Au cas particulier, le fournisseur de logiciels de gestion ne peut en aucune façon être le délégué à la protection des données personnelles.

Le délégué à la protection des données personnelles, obligatoire ou volontaire, est désigné pour toutes les opérations de traitement effectuées par le responsable du traitement ou le sous-traitant.

Le RGPD dans son article 37 paragraphe 2 donne la possibilité de mutualiser un délégué au sein d'un groupe d'entreprises ou de collectivités.

Une condition d'organisation matérielle est cependant imposée dans cette hypothèse en contrepartie de cette possibilité ainsi laissée : l'accessibilité du délégué à la protection des données personnelles.

En effet, l'une des missions du délégué est d'informer et de conseiller le responsable du traitement ou le sous-traitant, ainsi que les employés qui accomplissent le traitement de leurs obligations conformément aux RGPD.

Ainsi, le délégué à la protection des données personnelles doit être en mesure avec l'aide d'une équipe nécessaire de communiquer efficacement avec les personnes concernées et de coopérer avec les autorités de contrôle concernées.

La disponibilité du délégué doit être assurée par une présence physique dans les locaux mêmes de la collectivité mais aussi par l’intermédiaire d'une hotline ou tout autre moyen de communication sécurisé.

La mutualisation offre un grand intérêt quand les structures présentent de fortes similitudes et mettent en œuvre des traitements analogues.

Mais attention car en toute hypothèse le délégué à la protection des données personnelles doit respecter un principe d'indépendance.

Il doit aussi être en possession d’un solide bagage de connaissances, principalement juridiques.

L'article 37 paragraphe 5 du RGPD exige que le délégué soit désigné sur la base de ses qualités professionnelles et en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données et de ses capacités à accomplir les missions visées à l'article 39.

Certes, un souhait a été émis que la profession ne soit pas réduite au seul profil juridique.

La fonction de DPO doit rester ouverte à toute personne et les exigences exprimées dans le RGPD peuvent être satisfaites même par des personnes dépourvues de diplôme en droit.

Cela étant, dans la mesure où la connaissance de ce type de droit implique un effort certain de formation initiale, il convient tout de même de privilégier une approche juridique spécialisée.

Le niveau de connaissances spécialisées requis devra être déterminé en fonction des opérations de traitement des données effectuées et de la protection exigée pour les données à caractère personnel en cours de traitement.

Cette nouvelle exigence de compétence devra être respectée.

L'expertise dans les lois et pratiques nationales et européennes de protection des données est une exigence, ainsi qu'une connaissance fine du RGPD.

Les missions du DPO peuvent également être exercées sur base d'un contrat de service ce qui permet effectivement d'externaliser la fonction et d’éviter tout risque de conflit d'intérêts, et donne la possibilité au DPO de participer à toutes les questions relatives à la protection des données dès les premiers stades possibles.

Il convient également que le DPO dispose d'un soutien en termes de ressources financières d'infrastructures et de personnel si nécessaire, ce que permet incontestablement l’externalisation de la prestation.

Le responsable du traitement et le sous-traitant doivent veiller à ce que DPO ne reçoive aucune instruction ce qui concerne l'exercice des missions.

Le considérant 97 du RGPD exige que les DPO soient en mesure d'exercer leurs fonctions et missions en toute indépendance, ce que garantit également l’externalisation.

Plus que jamais le recours à des avocats spécialisés, intervenant en qualité de délégué à la protection des données ou dans des phases de conseil s'avère indispensable. 


Cet article n'engage que son auteur.
 

Auteur

DROUINEAU Thomas
Avocat Associé
DROUINEAU 1927 - Poitiers
POITIERS (86)
Voir l'auteur Contacter l'auteur Tous les articles de l'auteur Site de l'auteur

Historique

<< < ... 57 58 59 60 61 62 63 ... > >>
Information sur les cookies
Nous avons recours à des cookies techniques pour assurer le bon fonctionnement du site, nous utilisons également des cookies soumis à votre consentement pour collecter des statistiques de visite.
Cliquez ci-dessous sur « ACCEPTER » pour accepter le dépôt de l'ensemble des cookies ou sur « CONFIGURER » pour choisir quels cookies nécessitant votre consentement seront déposés (cookies statistiques), avant de continuer votre visite du site. Plus d'informations
 
ACCEPTER CONFIGURER REFUSER
Gestion des cookies

Les cookies sont des fichiers textes stockés par votre navigateur et utilisés à des fins statistiques ou pour le fonctionnement de certains modules d'identification par exemple.
Ces fichiers ne sont pas dangereux pour votre périphérique et ne sont pas utilisés pour collecter des données personnelles.
Le présent site utilise des cookies d'identification, d'authentification ou de load-balancing ne nécessitant pas de consentement préalable, et des cookies d'analyse de mesure d'audience nécessitant votre consentement en application des textes régissant la protection des données personnelles.
Vous pouvez configurer la mise en place de ces cookies en utilisant les paramètres ci-dessous.
Nous vous informons qu'en cas de blocage de ces cookies certaines fonctionnalités du site peuvent devenir indisponibles.
Google Analytics est un outil de mesure d'audience.
Les cookies déposés par ce service sont utilisés pour recueillir des statistiques de visites anonymes à fin de mesurer, par exemple, le nombre de visistes et de pages vues.
Ces données permettent notamment de suivre la popularité du site, de détecter d'éventuels problèmes de navigation, d'améliorer son ergonomie et donc l'expérience des utilisateurs.