Non, le statut de CIL a disparu le 25 mai 2018, avec l’entrée en vigueur du RGPD et la disparition des textes anciens. Désormais vous devez nécessairement désigner un délégué à la protection des données.
Non, cette désignation n’a aucun caractère automatique, même s’il peut être tentant, pour assurer la continuité, de faire confiance au même agent. Avant toute chose, il faut vérifier que le CIL remplit les conditions de compétences nécessaires à sa désignation en tant que DPD, et le cas échéant le former.
Ensuite, il conviendra de mener la procédure de désignation du DPD auprès de la Cnil dans son intégralité. La désignation préalable d’un CIL n’offre aucune « avance », de ce point de vue.
Si vous souhaitez procéder à un recrutement extérieur, effectivement, le poste peut être compliqué à pourvoir. Dans ce cas de figure, conservez précieusement la trace de toutes les démarches effectuées pour parvenir à ce recrutement, pour montrer votre bonne volonté.
Posez-vous aussi les bonnes questions : ce poste ne peut-il pas être pourvu en interne, en chargeant un agent de cette tâche ? Puis-je externaliser la fonction (dans le cadre d’un marché public, par exemple), au moins pour la phase de diagnostic et de mise en conformité initiale ?
Oui, des outils de plus en plus nombreux sont en cours d’élaboration par la Cnil pour assister le DPD dans ses missions, par exemple le logiciel open source PIA (Privacy Impact Assessment) qui permet de mesurer l’impact des traitements sur les données personnelles en facilitant la conduite et la formalisation d’analyses d’impact sur la protection des données telles que prévues par le RGPD. En termes plus clairs, ce logiciel permet d’aider le DPD à déterminer si ces traitements sont compatibles avec les règles du RGPD.
Par ailleurs, de nombreux logiciels de marché permettent de tenir le registre des traitements, et proposent un accompagnement semi-guidé pour les collectivités.
Le devoir d’alerte du DPD à l’égard du maire et du conseil municipal est certain, puisqu’il est le fondement même de la fonction : donner à la collectivité les moyens de diagnostiquer les non-conformités et de les corriger.
En revanche, et même si le RGPD est muet sur ce point, il ne semble pas tenable que le DPD doive dénoncer la collectivité ou ses décideurs en cas de non-conformité persistante. Il y aurait, s’il s’agit d’un agent, un manquement à son devoir de loyauté, et dans tous les cas une perte de confiance.
Non, la Cnil conserve l’intégralité de sa fonction de contrôle. Le délégué à la protection des données sera, dans ce cadre, son interlocuteur privilégié en cas de contrôle.
Si la désignation du DPD doit être faite en respectant une procédure strictement définie, aucun texte ne prévoit pour le moment comment mettre fin à ses fonctions.
Oui. Cette formalité a pour objet de communiquer au régulateur les coordonnées de celui qui sera son point d’entrée au sein de la collectivité. Il doit donc disposer d’un contact en fonction.
Le DPD n’exerce, sur le fondement des textes, aucune fonction à l’égard des instances représentatives du personnel. Il se doit toutefois de répertorier les traitements de données existants, s’ils sont internes à la collectivité. Dans certains cas, il sera associé à l’information des représentants du personnel lorsqu’un traitement concerne les agents de la collectivité.
Une réponse ministérielle a indiqué (à propos d’un DPD salarié de droit privé) que le DPD n’est pas un salarié protégé au sens du droit du travail, même s’il bénéficie d’une protection spécifique prévue par la législation sur les données personnelles ( Rép. min. n° 02896 : JO Sénat, 7 févr. 2019 ). Il ne peut ainsi « être relevé de ses fonctions ou pénalisé par le responsable de traitement ou le sous-traitant pour l’exercice de ses missions » ( RGPD, art. 38 ). Sont concernées les sanctions même indirectes telles que l’absence de promotion, les freins à l’avancement de carrière ou le refus d’octroi d’avantages dont bénéficient d’autres travailleurs. Cette position de l’administration est sans nul doute opposable aux DPD employés par une collectivité publique.