Puis-je conserver mon correspondant informatique et libertés (CIL) après l’entrée en vigueur du RGPD, et me dispenser de nommer un DPD ?

Non, le statut de CIL a disparu le 25 mai 2018, avec l’entrée en vigueur du RGPD et la disparition des textes anciens. Désormais vous devez nécessairement désigner un délégué à la protection des données.

Le correspondant informatique et libertés désigné avant l’entrée en vigueur du RGPD devient-il automatiquement DPD ?

Non, cette désignation n’a aucun caractère automatique, même s’il peut être tentant, pour assurer la continuité, de faire confiance au même agent. Avant toute chose, il faut vérifier que le CIL remplit les conditions de compétences nécessaires à sa désignation en tant que DPD, et le cas échéant le former. Ensuite, il conviendra de mener la procédure de désignation du DPD auprès de la Cnil dans son intégralité. La désignation préalable d’un CIL n’offre aucune « avance », de ce point de vue.

Que faire si la collectivité n’arrive pas à recruter un DPD ?

Si vous souhaitez procéder à un recrutement extérieur, effectivement, le poste peut être compliqué à pourvoir. Dans ce cas de figure, conservez précieusement la trace de toutes les démarches effectuées pour parvenir à ce recrutement, pour montrer votre bonne volonté. Posez-vous aussi les bonnes questions : ce poste ne peut-il pas être pourvu en interne, en chargeant un agent de cette tâche ? Puis-je externaliser la fonction (dans le cadre d’un marché public, par exemple), au moins pour la phase de diagnostic et de mise en conformité initiale ?

Existe-t-il des outils susceptibles d’aider le DPD dans ses tâches ?

Oui, des outils de plus en plus nombreux sont en cours d’élaboration par la Cnil pour assister le DPD dans ses missions, par exemple le logiciel open source PIA ( Privacy Impact Assessment ) qui permet de mesurer l’impact des traitements sur les données personnelles en facilitant la conduite et la formalisation d’analyses d’impact sur la protection des données telles que prévues par le RGPD. En termes plus clairs, ce logiciel permet d’aider le DPD à déterminer si ces traitements sont compatibles avec les règles du RGPD. Par ailleurs, de nombreux logiciels de marché permettent de tenir le registre des traitements, et proposent un accompagnement semi-guidé pour les collectivités.

Quelle est l’étendue de l’obligation d’alerte du DPD ?

Le devoir d’alerte du DPD à l’égard du maire et du conseil municipal est certain, puisqu’il est le fondement même de la fonction : donner à la collectivité les moyens de diagnostiquer les non-conformités et de les corriger. En revanche, et même si le RGPD est muet sur ce point, il ne semble pas tenable que le DPD doive dénoncer la collectivité ou ses décideurs en cas de non-conformité persistante. Il y aurait, s’il s’agit d’un agent, un manquement à son devoir de loyauté, et dans tous les cas une perte de confiance.

Le DPD se substitue-t-il à la Cnil pour contrôler les traitements de la collectivité ?

Non, la Cnil conserve l’intégralité de sa fonction de contrôle. Le délégué à la protection des données sera, dans ce cadre, son interlocuteur privilégié en cas de contrôle.

Comment mettre fin aux fonctions du DPD ?

Si la désignation du DPD doit être faite en respectant une procédure strictement définie, aucun texte ne prévoit pour le moment comment mettre fin à ses fonctions.

Si je change de DPD, dois-je de nouveau le notifier à la Cnil ?

Oui. Cette formalité a pour objet de communiquer au régulateur les coordonnées de celui qui sera son point d’entrée au sein de la collectivité. Il doit donc disposer d’un contact en fonction.

Quels rapports le DPD entretient-il avec les instances représentatives du personnel ?

Le DPD n’exerce, sur le fondement des textes, aucune fonction à l’égard des instances représentatives du personnel. Il se doit toutefois de répertorier les traitements de données existants, s’ils sont internes à la collectivité. Dans certains cas, il sera associé à l’information des représentants du personnel lorsqu’un traitement concerne les agents de la collectivité.

Le DPD peut-il être considéré comme un agent protégé ?

Une réponse ministérielle a indiqué (à propos d’un DPD salarié de droit privé) que le DPD n’est pas un salarié protégé au sens du droit du travail, même s’il bénéficie d’une protection spécifique prévue par la législation sur les données personnelles (Rép. min. n° 02896 : JO Sénat , 7 févr. 2019, p. 712). Il ne peut ainsi « être relevé de ses fonctions ou pénalisé par le responsable de traitement ou le sous-traitant pour l’exercice de ses missions » ( RGPD, art. 38 ). Sont concernées les sanctions même indirectes telles que l’absence de promotion, les freins à l’avancement de carrière ou le refus d’octroi d’avantages dont bénéficient d’autres travailleurs. Cette position de l’administration est sans nul doute opposable aux DPD employés par une collectivité publique.

Gouvernance locale

11161

Désigner un délégué à la protection des données

Nos fiches mettent en partage l’expérience terrain et vous indiquent la marche à suivre concrète et schématisée pour une meilleure compréhension, pour vous accompagner dans la mise en œuvre de vos décisions.

2 outils associés

Contexte

Avec l’entrée en vigueur du règlement général pour la protection des données (RGPD), les obligations de la collectivité à l’égard des traitements de données personnelles ont beaucoup changé.

S’il n’est plus (ou plus systématiquement) nécessaire de solliciter des autorisations ou de déposer des déclarations lors de la création d’un traitement de données personnelles, toute collectivité se doit désormais de mener une politique responsable et autonome de gestion de ses traitements. Pour ce faire, elle doit nommer une personne qui en est plus spécifiquement chargée : le délégué à la protection des données (DPD ou DPO en anglais). Voici ce qu’il faut savoir pour le désigner.

Schéma

Désigner un délégué à la protection des données

Notre schéma vous indique la procédure à suivre pour nommer ou remplacer un délégué à la protection des données (DPD). Si la notification à la Cnil ne présente pas, en elle-même, de difficulté particulière, la réflexion autour du choix du DPD mérite quant à elle d’être accompagnée.

> Voir le schéma

La lecture complète de cette fiche
et le téléchargement du pdf sont réservés aux abonnés

Se connecter

Vous êtes abonné à cette offre ?
Connectez-vous !

Faire un essai gratuit

Pas encore abonné ?
Cette fiche est incluse dans l'offre :

Gouvernance communale

RESTEZ EN CONTACT

Recevez toute l'actualité en temps réel des dossiers, les nouvelles fiches, les mises à jour, les nouveaux outils...