La mission de délégué à la protection des données au sein des collectivités
Publié le :
26/06/2018
26
juin
juin
06
2018
Le fournisseur de logiciel de gestion d’une collectivité peut-il être ce délégué à la protection des données dans le cadre du RGPD ?
Dans les lignes directrices sur les DPO daté du 13 décembre 2016, le G29 a pu statuer sur cette question, estimant que si le DPO peut exécuter d'autre mission et tâches, le responsable du traitement et le sous-traitant doivent veiller à ce que ses missions et tâches n'entraînent pas de conflit d'intérêts.Cela correspond à l’article 38 § 6 du RGPD.
Sont compris tous les rôles importants ou non dans la structure organisationnelle si ces postes ou rôle conduisent à la détermination des objectifs et moyens de traitement des données personnelles.
Il convient donc d'identifier les postes qui seraient incompatibles avec la fonction de délégué.
Au cas particulier, le fournisseur de logiciels de gestion ne peut en aucune façon être le délégué à la protection des données personnelles.
Le délégué à la protection des données personnelles, obligatoire ou volontaire, est désigné pour toutes les opérations de traitement effectuées par le responsable du traitement ou le sous-traitant.Le RGPD dans son article 37 paragraphe 2 donne la possibilité de mutualiser un délégué au sein d'un groupe d'entreprises ou de collectivités.
Une condition d'organisation matérielle est cependant imposée dans cette hypothèse en contrepartie de cette possibilité ainsi laissée : l'accessibilité du délégué à la protection des données personnelles.
En effet, l'une des missions du délégué est d'informer et de conseiller le responsable du traitement ou le sous-traitant, ainsi que les employés qui accomplissent le traitement de leurs obligations conformément aux RGPD.
Ainsi, le délégué à la protection des données personnelles doit être en mesure avec l'aide d'une équipe nécessaire de communiquer efficacement avec les personnes concernées et de coopérer avec les autorités de contrôle concernées.
La disponibilité du délégué doit être assurée par une présence physique dans les locaux mêmes de la collectivité mais aussi par l’intermédiaire d'une hotline ou tout autre moyen de communication sécurisé.
La mutualisation offre un grand intérêt quand les structures présentent de fortes similitudes et mettent en œuvre des traitements analogues.
Mais attention car en toute hypothèse le délégué à la protection des données personnelles doit respecter un principe d'indépendance.Il doit aussi être en possession d’un solide bagage de connaissances, principalement juridiques.
L'article 37 paragraphe 5 du RGPD exige que le délégué soit désigné sur la base de ses qualités professionnelles et en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données et de ses capacités à accomplir les missions visées à l'article 39.
Certes, un souhait a été émis que la profession ne soit pas réduite au seul profil juridique.
La fonction de DPO doit rester ouverte à toute personne et les exigences exprimées dans le RGPD peuvent être satisfaites même par des personnes dépourvues de diplôme en droit.
Cela étant, dans la mesure où la connaissance de ce type de droit implique un effort certain de formation initiale, il convient tout de même de privilégier une approche juridique spécialisée.
Le niveau de connaissances spécialisées requis devra être déterminé en fonction des opérations de traitement des données effectuées et de la protection exigée pour les données à caractère personnel en cours de traitement.
Cette nouvelle exigence de compétence devra être respectée.
L'expertise dans les lois et pratiques nationales et européennes de protection des données est une exigence, ainsi qu'une connaissance fine du RGPD.
Les missions du DPO peuvent également être exercées sur base d'un contrat de service ce qui permet effectivement d'externaliser la fonction et d’éviter tout risque de conflit d'intérêts, et donne la possibilité au DPO de participer à toutes les questions relatives à la protection des données dès les premiers stades possibles.
Il convient également que le DPO dispose d'un soutien en termes de ressources financières d'infrastructures et de personnel si nécessaire, ce que permet incontestablement l’externalisation de la prestation.
Le responsable du traitement et le sous-traitant doivent veiller à ce que DPO ne reçoive aucune instruction ce qui concerne l'exercice des missions.
Le considérant 97 du RGPD exige que les DPO soient en mesure d'exercer leurs fonctions et missions en toute indépendance, ce que garantit également l’externalisation.
Plus que jamais le recours à des avocats spécialisés, intervenant en qualité de délégué à la protection des données ou dans des phases de conseil s'avère indispensable.
Cet article n'engage que son auteur.
Auteur
DROUINEAU Thomas
Avocat
1927 AVOCATS - Poitiers
POITIERS (86)
Historique
-
Rupture du contrat d’agent commercial au cours de la période d’essai
Publié le : 02/07/2018 02 juillet juil. 07 2018Entreprises / Ressources humaines / Contrat de travailRAPPEL En France, le statut des agents commerciaux est encadré par les articles L134-1 et suivants et R134-1 et suivants du Code de commerce. Ces textes...
-
Changement de nom : comment caractériser l’intérêt légitime ?
Publié le : 28/06/2018 28 juin juin 06 2018Particuliers / Famille / Mariage / PACS / Concubinage / Vie civileIl est essentiel d’établir par différentes preuves les circonstances exceptionnelles ou le préjudice traumatisant justifiant la demande de changement du no...
-
Les conséquences de la faillite d'une compagnie d'assurances : la procédure de Run off
Publié le : 27/06/2018 27 juin juin 06 2018Particuliers / Patrimoine / AssurancesL'actualité récente a montré que les compagnies d'assurances intervenant notamment en assurance construction pouvaient être fragiles… Dans un avis publié...
-
Sécurité routière : bientôt la limitation à 80 km/h sur les axes secondaires
Publié le : 26/06/2018 26 juin juin 06 2018Particuliers / Civil / Pénal / Permis de conduireLa réduction de la limitation de vitesse de 90 km/h à 80 km/h sur les routes à double sens sans séparateur central va entrer en vigueur au 1er juillet 2018...
-
La mission de délégué à la protection des données au sein des collectivités
Publié le : 26/06/2018 26 juin juin 06 2018Collectivités / Services publics / Fonction publique / Personnel administratifLe fournisseur de logiciel de gestion d’une collectivité peut-il être ce délégué à la protection des données dans le cadre du RGPD ? Dans les lignes directr...
-
Affaire Tapie (1) : suite et enfin … fin ?
Publié le : 25/06/2018 25 juin juin 06 2018Entreprises / Contentieux / Justice commercialeLes démêlés d’un « sauveur d’entreprise » confronté à une procédure de sauvegarde. Première partie : Introduction Il serait fastidieux de rappeler ici...
-
Le tourisme en France, les bonnes nouvelles de l’atlas du tourisme
Publié le : 25/06/2018 25 juin juin 06 2018Collectivités / Environnement / EnvironnementLa direction générale des entreprises vient de publier sur son site Internet un atlas du tourisme en France. La lecture de ce document est particulièrem...