La mission de délégué à la protection des données au sein des collectivités

La mission de délégué à la protection des données au sein des collectivités

Publié le : 26/06/2018 26 juin juin 06 2018

Le fournisseur de logiciel de gestion d’une collectivité peut-il être ce délégué à la protection des données dans le cadre du RGPD ?

Dans les lignes directrices sur les DPO daté du 13 décembre 2016, le G29 a pu statuer sur cette question, estimant que si le DPO peut exécuter d'autre mission et tâches, le responsable du traitement et le sous-traitant doivent veiller à ce que ses missions et tâches n'entraînent pas de conflit d'intérêts.

Cela correspond à l’article 38 § 6 du RGPD.

Sont compris tous les rôles importants ou non dans la structure organisationnelle si ces postes ou rôle conduisent à la détermination des objectifs et moyens de traitement des données personnelles.

Il convient donc d'identifier les postes qui seraient incompatibles avec la fonction de délégué.

Au cas particulier, le fournisseur de logiciels de gestion ne peut en aucune façon être le délégué à la protection des données personnelles.

Le délégué à la protection des données personnelles, obligatoire ou volontaire, est désigné pour toutes les opérations de traitement effectuées par le responsable du traitement ou le sous-traitant.

Le RGPD dans son article 37 paragraphe 2 donne la possibilité de mutualiser un délégué au sein d'un groupe d'entreprises ou de collectivités.

Une condition d'organisation matérielle est cependant imposée dans cette hypothèse en contrepartie de cette possibilité ainsi laissée : l'accessibilité du délégué à la protection des données personnelles.

En effet, l'une des missions du délégué est d'informer et de conseiller le responsable du traitement ou le sous-traitant, ainsi que les employés qui accomplissent le traitement de leurs obligations conformément aux RGPD.

Ainsi, le délégué à la protection des données personnelles doit être en mesure avec l'aide d'une équipe nécessaire de communiquer efficacement avec les personnes concernées et de coopérer avec les autorités de contrôle concernées.

La disponibilité du délégué doit être assurée par une présence physique dans les locaux mêmes de la collectivité mais aussi par l’intermédiaire d'une hotline ou tout autre moyen de communication sécurisé.

La mutualisation offre un grand intérêt quand les structures présentent de fortes similitudes et mettent en œuvre des traitements analogues.

Mais attention car en toute hypothèse le délégué à la protection des données personnelles doit respecter un principe d'indépendance.

Il doit aussi être en possession d’un solide bagage de connaissances, principalement juridiques.

L'article 37 paragraphe 5 du RGPD exige que le délégué soit désigné sur la base de ses qualités professionnelles et en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données et de ses capacités à accomplir les missions visées à l'article 39.

Certes, un souhait a été émis que la profession ne soit pas réduite au seul profil juridique.

La fonction de DPO doit rester ouverte à toute personne et les exigences exprimées dans le RGPD peuvent être satisfaites même par des personnes dépourvues de diplôme en droit.

Cela étant, dans la mesure où la connaissance de ce type de droit implique un effort certain de formation initiale, il convient tout de même de privilégier une approche juridique spécialisée.

Le niveau de connaissances spécialisées requis devra être déterminé en fonction des opérations de traitement des données effectuées et de la protection exigée pour les données à caractère personnel en cours de traitement.

Cette nouvelle exigence de compétence devra être respectée.

L'expertise dans les lois et pratiques nationales et européennes de protection des données est une exigence, ainsi qu'une connaissance fine du RGPD.

Les missions du DPO peuvent également être exercées sur base d'un contrat de service ce qui permet effectivement d'externaliser la fonction et d’éviter tout risque de conflit d'intérêts, et donne la possibilité au DPO de participer à toutes les questions relatives à la protection des données dès les premiers stades possibles.

Il convient également que le DPO dispose d'un soutien en termes de ressources financières d'infrastructures et de personnel si nécessaire, ce que permet incontestablement l’externalisation de la prestation.

Le responsable du traitement et le sous-traitant doivent veiller à ce que DPO ne reçoive aucune instruction ce qui concerne l'exercice des missions.

Le considérant 97 du RGPD exige que les DPO soient en mesure d'exercer leurs fonctions et missions en toute indépendance, ce que garantit également l’externalisation.

Plus que jamais le recours à des avocats spécialisés, intervenant en qualité de délégué à la protection des données ou dans des phases de conseil s'avère indispensable. 


Cet article n'engage que son auteur.
 

Auteur

DROUINEAU Thomas
Avocat
1927 AVOCATS - Poitiers
POITIERS (86)
Voir l'auteur Contacter l'auteur Tous les articles de l'auteur Site de l'auteur

Historique

<< < 1 2 3 4 5 6 > >>
Navigateur non pris en charge

Le navigateur Internet Explorer que vous utilisez actuellement ne permet pas d'afficher ce site web correctement.

Nous vous conseillons de télécharger et d'utiliser un navigateur plus récent et sûr tel que Google Chrome, Microsoft Edge, Mozilla Firefox, ou Safari (pour Mac) par exemple.
OK