Par Lucile Bonnin
Depuis le 25 mai 2018, le Règlement général sur la protection des données (RGPD) est entré en vigueur. A suivi, le 20 juin 2018, la publication au JO de la loi relative à la protection des données personnelles qui adapte le RGPD à la loi française.
Une des grandes nouveautés du RGPD par rapport à la loi « Informatique et Libertés » : la responsabilisation des acteurs qui traitent les données à caractère personnel. Ces derniers doivent en effet prendre toutes les mesures en matière de protection des données personnelles et démontrer leur conformité.
En conséquence, le RGPD impose « à toute collectivité territoriale, quelle que soit sa taille, de désigner un délégué à la protection des données qui sera le pilote de sa mise en conformité », comme l’explique l’Agence publique de gestion locale sur son site internet.
Le métier de délégué à la protection des données (DPD ou DPO, selon l’acronyme anglais utilisé par la CNIL) est devenu essentiel et incontournable au sein des collectivités. Actuellement, environ 80 000 organismes ont déjà désigné un DPD.
Un guide de bonnes pratiques
C’est dans ce cadre que la CNIL publie ce guide, après trois ans d’accompagnement sur le terrain de ces professionnels. Son objectif : fournir les clés pour tirer au mieux parti de la présence d’un délégué et mieux connaître les missions professionnelles de ce dernier. Un contenu tout aussi utile pour les DPD que pour les collectivités.
Avec l’aide de nombreuses associations professionnelles, la CNIL a réparti les principales connaissances utiles sur le DPD en quatre parties : rôle, désignation, exercice de la fonction et accompagnement par la Cnil.
Contrôler l’effectivité des règles, savoir renseigner la collectivité sur les sujets de RGPD, assurer la documentation des traitements de données… Le guide rappelle d’abord la nature du travail du DPO. Sous la forme d’une Foire aux questions (FAQ), la CNIL recense aussi les interrogations les plus fréquentes autour de ce sujet encore nouveau pour beaucoup.
Trouver des réponses à ses interrogations
On peut lire, par exemple, la question suivante : « Un élu politique peut-il être DPO ? » . Réponse de la CNIL dans son guide : « Un élu ne peut pas exercer les fonctions de délégué pour la collectivité dont il est élu en raison d’un conflit d’intérêts. En effet, ce dernier participe à la prise des décisions sur les traitements de données mis en œuvre par la collectivité. »
La CNIL confirme en revanche qu’un secrétaire de mairie dans une petite collectivité peut être DPD mais le maire « doit bien s’assurer que le DPO pressenti ne prend pas part aux décisions concernant les fichiers exploités par la collectivité ».
Des solutions face au problème de recrutement
En juillet 2019, nos confrères de la Gazette des communes confirmaient que 11 818 communes ont nommé un DPD, 250 communautés de communes sur 1 000, 53 communautés d’agglomération sur 222, 22 métropoles sur 22, 89 départements sur 101 et 12 régions sur 13.
Ce retard dans le recrutement est naturellement surtout prégnant dans les plus petites communes, qui n’ont pas les moyens de recruter un DPD. Le guide présente d’ailleurs des solutions sur ce sujet, comme l’externalisation ou la mutualisation.
Un répertoire à outils
La CNIL accompagne les DPD en mettant à leur disposition différents outils qui sont à retrouver dans le guide. Ateliers, webinaires, formations en ligne (MOOC), ressources numériques… Le guide oriente par exemple les DPD vers un modèle de registre réutilisable, en format ouvert, comprenant une fiche tutorielle, une fiche de liste de traitements, un modèle de fiche à remplir et une fiche d’exemple.
Cette nouvelle ressource va dans le sens d’une facilitation du travail des DPD et invite plus largement à la formation, aux échanges et surtout à la sensibilisation des organismes –dont les collectivités- aux enjeux du numérique.
© sources : Maire Info (www.maire-info.com) / 1 Déc 2021