Depuis 2018, le Règlement Général de la Protection des Données (RGPD) impose à toutes les communes de nommer un Délégué à la Protection des Données (DPD ou DPO pour Data Protection Officer), car celles-ci sont responsables de très nombreux traitements (fichiers de l’état civil, des listes électorales, de fiscalité locale, cadastraux, sociaux, de recensement de la population, des logements vacants, des associations subventionnées, des cantines scolaires et des accueils périscolaires…).
Dans une délibération du 5 mai 2022, la Commission Nationale Informatique et Libertés (CNIL) a mis en demeure 22 communes ne disposant pas de Délégué de la Protection des Données.
Ce dossier présente les missions du DPO et indique de quelle manière le nommer, afin que les communes puissent satisfaire à leur obligation.
Mise en demeure de 22 communes
Le 5 mai 2022, la CNIL a rendu public 22 mises en demeure prises à l’encontre de communes, qui comptent toutes plus de 20 000 habitants, n’ayant pas désigné de DPO.
La mise en demeure n’étant pas une sanction, elle est levée dès que la commune a désigné un DPO.
Les communes concernées doivent procéder à la désignation d’un DPO dans un délai de quatre mois.
Selon la CNIL, la publicité des décisions de mise en demeure, ainsi que du nom de l’ensemble des communes concernées est justifiée en raison notamment du rôle central de la fonction de délégué à la protection des données, dont la désignation est obligatoire pour les autorités publiques depuis l’entrée en application du RGPD, soit depuis près de 4 ans.
Les communes concernées doivent procéder à la désignation d’un DPO dans un délai de 4 mois.
Missions du DPO
Le DPO veille au respect du RGPD dans la commune.
Il a ainsi plusieurs missions :
- informer et conseiller le responsable du traitement, c’est-à-dire le maire, ainsi que les employés qui procèdent au traitement des données sur les obligations qui leur incombent ;
- contrôler le respect du RGPD y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s'y rapportant ;
- dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact relative à la protection des données ;
- coopérer avec la CNIL.
Désignation d’un DPO
Désigner un DPO en interne
Le DPO peut être choisi parmi les agents de la collectivité.
Le DPO ne doit pas appartenir à l’exécutif : maire, adjoints et conseillers municipaux ne peuvent pas exercer ces missions. L’agent assurant des fonctions d’encadrement supérieur (secrétaire général, directeur général des services, directeur des services informatiques, responsable RH…) ne pourra pas non plus exercer ces missions.
Il en va de même pour toutes les personnes pouvant avoir un conflit d’intérêt avec le rôle du DPO.
La CNIL recommande que l’agent désigné dispose de connaissances techniques et juridiques suffisantes, qu’il dispose du temps, de moyens et d’informations suffisants pour exercer ses missions, et qu’il ait la capacité d’agir en toute indépendance.
Désigner un DPO en externe
La collectivité peut, dans ce cadre, soit recourir au service éventuellement proposé par le centre de gestion, soit recourir à un prestataire privé.
Que peut faire Pédagofiche pour vous ?
En partenariat avec un cabinet d’Avocats nous intervenons en tant que DPO externalisé.
Nous proposons avec nos partenaires une assistance, un accompagnement et le pilotage de votre processus de mise en conformité RGPD.
Pour cela, nous réalisons les prestations suivantes :
- Audit de votre structure
- Envoi d’un questionnaire permettant de comprendre votre organisation
- Mise en place d’un plan d’actions
- Livraison des documents de conformité RGPD : registre de traitements, politiques de confidentialité et mentions d’informations
- Assistance RGPD : réponses aux demandes des usagers ou des agents concernant leurs droits sur leurs données personnelles
Pour en savoir plus, contactez notre service commercial :
04 73 60 46 85
E-mail : commercial@mairiexpert.fr
Désigner un DPO mutualisé
Convention entre collectivités
Il s’agit pour la collectivité de faire appel à un DPO qu’elle partage avec d’autres collectivités. Cela peut s’opérer par une convention de mise à disposition d’un agent DPO d’une collectivité auprès d’une autre.
La convention ne peut être prise qu’après avis de la commission administrative paritaire et délibérations des deux collectivités concernées. Elle doit prévoir les conditions matérielles, financières et administratives de la mise à disposition de l’agent qui, doit avoir donné son accord.
Création d’un service fonctionnel commun ou unifié
Créer un service unifié permet de regrouper des services et équipements existants au sein de ce service qui relève d’un seul des cocontractants. Les communes et leurs groupements peuvent se doter d’un tel service unifié pour assumer en commun le traitement de données à caractère personnel.
Il est aussi possible de créer un service commun entre un EPCI à fiscalité propre et une ou plusieurs de ses communes membres. C’est généralement l’EPCI qui gère le service. Une convention organise cette mise en commun, notamment ses effets financiers et ceux sur les agents.
Recours à un syndicat mixte
Les communes et EPCI peuvent depuis 2018 recourir aux services d’un syndicat mixte pour le traitement des données personnelles.
Déclaration du DPO à la CNIL
Après la désignation, il est nécessaire d’informer la CNIL, depuis le site de la CNIL, rubrique « Ma conformité au RGPD », « Services en ligne », puis « Désigner un délégué (DPO) ».
En cas de désignation d’un DPO commun ou externalisé, il est recommandé de nommer un « référent DPO » dans la collectivité. Son rôle sera de faire le lien entre la collectivité et le DPO mutualisé ou externalisé.
Sources :
Délibération du bureau de la Commission nationale de l’informatique et des libertés n° MEDP-2022-001 du 5 mai 2022 décidant de rendre publique 22 mises en demeure prises à l’encontre de communes
Règlement UE 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (RGPD)
Site de la CNIL
Comentários