La mission de délégué à la protection des données au sein des collectivités
Publié le :
26/06/2018
26
juin
juin
06
2018
Le fournisseur de logiciel de gestion d’une collectivité peut-il être ce délégué à la protection des données dans le cadre du RGPD ?
Dans les lignes directrices sur les DPO daté du 13 décembre 2016, le G29 a pu statuer sur cette question, estimant que si le DPO peut exécuter d'autre mission et tâches, le responsable du traitement et le sous-traitant doivent veiller à ce que ses missions et tâches n'entraînent pas de conflit d'intérêts.Cela correspond à l’article 38 § 6 du RGPD.
Sont compris tous les rôles importants ou non dans la structure organisationnelle si ces postes ou rôle conduisent à la détermination des objectifs et moyens de traitement des données personnelles.
Il convient donc d'identifier les postes qui seraient incompatibles avec la fonction de délégué.
Au cas particulier, le fournisseur de logiciels de gestion ne peut en aucune façon être le délégué à la protection des données personnelles.
Le délégué à la protection des données personnelles, obligatoire ou volontaire, est désigné pour toutes les opérations de traitement effectuées par le responsable du traitement ou le sous-traitant.Le RGPD dans son article 37 paragraphe 2 donne la possibilité de mutualiser un délégué au sein d'un groupe d'entreprises ou de collectivités.
Une condition d'organisation matérielle est cependant imposée dans cette hypothèse en contrepartie de cette possibilité ainsi laissée : l'accessibilité du délégué à la protection des données personnelles.
En effet, l'une des missions du délégué est d'informer et de conseiller le responsable du traitement ou le sous-traitant, ainsi que les employés qui accomplissent le traitement de leurs obligations conformément aux RGPD.
Ainsi, le délégué à la protection des données personnelles doit être en mesure avec l'aide d'une équipe nécessaire de communiquer efficacement avec les personnes concernées et de coopérer avec les autorités de contrôle concernées.
La disponibilité du délégué doit être assurée par une présence physique dans les locaux mêmes de la collectivité mais aussi par l’intermédiaire d'une hotline ou tout autre moyen de communication sécurisé.
La mutualisation offre un grand intérêt quand les structures présentent de fortes similitudes et mettent en œuvre des traitements analogues.
Mais attention car en toute hypothèse le délégué à la protection des données personnelles doit respecter un principe d'indépendance.Il doit aussi être en possession d’un solide bagage de connaissances, principalement juridiques.
L'article 37 paragraphe 5 du RGPD exige que le délégué soit désigné sur la base de ses qualités professionnelles et en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données et de ses capacités à accomplir les missions visées à l'article 39.
Certes, un souhait a été émis que la profession ne soit pas réduite au seul profil juridique.
La fonction de DPO doit rester ouverte à toute personne et les exigences exprimées dans le RGPD peuvent être satisfaites même par des personnes dépourvues de diplôme en droit.
Cela étant, dans la mesure où la connaissance de ce type de droit implique un effort certain de formation initiale, il convient tout de même de privilégier une approche juridique spécialisée.
Le niveau de connaissances spécialisées requis devra être déterminé en fonction des opérations de traitement des données effectuées et de la protection exigée pour les données à caractère personnel en cours de traitement.
Cette nouvelle exigence de compétence devra être respectée.
L'expertise dans les lois et pratiques nationales et européennes de protection des données est une exigence, ainsi qu'une connaissance fine du RGPD.
Les missions du DPO peuvent également être exercées sur base d'un contrat de service ce qui permet effectivement d'externaliser la fonction et d’éviter tout risque de conflit d'intérêts, et donne la possibilité au DPO de participer à toutes les questions relatives à la protection des données dès les premiers stades possibles.
Il convient également que le DPO dispose d'un soutien en termes de ressources financières d'infrastructures et de personnel si nécessaire, ce que permet incontestablement l’externalisation de la prestation.
Le responsable du traitement et le sous-traitant doivent veiller à ce que DPO ne reçoive aucune instruction ce qui concerne l'exercice des missions.
Le considérant 97 du RGPD exige que les DPO soient en mesure d'exercer leurs fonctions et missions en toute indépendance, ce que garantit également l’externalisation.
Plus que jamais le recours à des avocats spécialisés, intervenant en qualité de délégué à la protection des données ou dans des phases de conseil s'avère indispensable.
Cet article n'engage que son auteur.
Auteur
DROUINEAU Thomas
Avocat
1927 AVOCATS - Poitiers
Saint-Benoît (86)
Historique
-
La mission de délégué à la protection des données au sein des collectivités
Publié le : 26/06/2018 26 juin juin 06 2018Collectivités / Services publics / Fonction publique / Personnel administratif
Le fournisseur de logiciel de gestion d’une collectivité peut-il être ce délégué à la protection des données dans le cadre du RGPD ? Dans les lignes directr...
-
Emploi fonctionnel : la justification de la perte de confiance
Publié le : 20/06/2018 20 juin juin 06 2018Collectivités / Services publics / Fonction publique / Personnel administratif
L’agent placé sur un emploi fonctionnel peut perdre son emploi après la mise en œuvre d’une procédure simple, du fait d’une perte de confiance de l’autorit... -
LOUVOIS et les erreurs sur la solde des militaires
Publié le : 06/03/2018 06 mars mars 03 2018Collectivités / Services publics / Fonction publique / Personnel administratif
En 2011, le Ministère de la Défense a lancé une nouvelle application informatique afin d’unifier la gestion et le paiement de la solde des militaires pour le... -
L’obligation d’une médiation préalable dans la fonction publique avant tout recours contentieux à compter du 1er avril 2018
Publié le : 27/02/2018 27 février févr. 02 2018Collectivités / Services publics / Fonction publique / Personnel administratif
Dans le droit fil de la loi du 18 novembre 2016 de modernisation de la justice du XXIe siècle, le décret n°2018-101 du 16 février 2018 met en place l'expér... -
Fonctionnaires : prolongation de l'indemnité de garantie individuelle du pouvoir d'achat
Publié le : 04/12/2017 04 décembre déc. 12 2017Collectivités / Services publics / Fonction publique / Personnel administratif
Un décret du 17 novembre 2017 proroge la garantie individuelle du pouvoir d'achat en 2017 et étend ce dispositif aux personnels des cultes exerçant dans le... -
Bientôt le rétablissement du jour de carence pour les fonctionnaires ?
Publié le : 21/11/2017 21 novembre nov. 11 2017Collectivités / Services publics / Fonction publique / Personnel administratif
L’Assemblée nationale a voté, lundi 20 novembre 2017, le rétablissement d’un jour de carence dans la fonction publique en cas d’arrêt maladie. Le jour de... -
Fonctionnaire territorial : quelle prescription pour la demande de reconnaissance de l'imputabilité au service d'une maladie ?
Publié le : 17/08/2017 17 août août 08 2017Collectivités / Services publics / Fonction publique / Personnel administratif
L'applicabilité de la prescription de quatre ans à la demande de reconnaissance de l'imputabilité au service d'une maladie formulée par les fonctionnaires...