Association des Maires et des Présidents d'intercommunalité du Jura
Note rédigée par l'Association des maires de France et des présidents d'intercommunalité le 18 juillet 2018
Désignation obligatoire d’un délégué à la protection des données (DPD) dans chaque commune et intercommunalité depuis le 25 mai 2018 et communication du nom et des missions auprès du conseil municipal ou communautaire et des agents. Le SIDEC du Jura a proposé aux collectivités de bénéficier d'un DPD mutualisé.
Le Maire ou le président d'intercommunalité est responsable de la conformité des traitements au Règlement général sur la protection des données (RGPD). La nomination d'un DPD n'entraine pas un transfert de responsabilité.
I – Les missions du délégué à la protection des données
Depuis le 25 mai 2018, le RGPD rend obligatoire la désignation d’un délégué à la protection des données pour tous les organismes et autorités publics et précise ses modalités de désignation, ses missions et les conditions dans lesquelles elles s’exercent.
Si l’accent a souvent été mis sur cette obligation de désigner un DPD pour les organismes publics, il faut également insister sur le rôle et la responsabilité du responsable de traitement. En pratique et de façon générale, c’est sur le maire ou le président de l’EPCI que va peser la responsabilité du respect de la conformité des traitements au RGPD.
Les modalités de désignation du DPD
Le DPD peut être un membre du personnel de la commune ou de l’EPCI ou un prestataire extérieur. Il peut être mutualisé entre plusieurs entités.
Une fois le DPD choisi, la CNIL doit en être informée à l’aide du formulaire suivant : www.cnil.fr/fr/designation-dpo.
Les élus locaux peuvent-ils exercer les missions de DPD ?
Pour leur propre commune, le maire, les adjoints au maire et les conseillers municipaux délégués ne peuvent exercer les missions de DPD. Appartenant à l’exécutif de la collectivité, ils seraient « juges et parties » pour s’assurer de la mise en conformité des traitements au RGPD. Le maire, de surcroît, étant le « responsable de traitement », il est de toute façon dans l’impossibilité d’exercer les missions de DPD.
S’agissant des conseillers municipaux sans délégation, ils pourraient éventuellement assurer cette fonction mais à titre bénévole car ils ne peuvent être salariés de la commune.
En revanche, il n’y a pas d’obstacle à ce que les élus assurent les fonctions de DPD au sein d’autres communes.
Les missions du DPD
Le RGPD prévoit les missions qui doivent être exercées par le DPD ; il/elle doit :
Il est à noter que le DPD est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de ses missions.
Les conditions d’exercice des missions du DPD
Le DPD doit avoir un niveau d’expertise suffisant lui permettant d’exercer les missions qui lui sont confiées via le RGPD. Il doit disposer de suffisamment de temps et de moyens pour exercer ses missions.
Par ailleurs, il ne doit pas être susceptible de se trouver à la fois « juge et partie » au regard de ses autres activités, cette absence de conflit d’intérêt constituant une garantie d’indépendance.
Enfin, il doit être suffisamment autonome pour alerter le responsable du traitement. L’article 38 du RGPD précise que le responsable du traitement veille à ce qu’il ne reçoive aucune instruction pour l’exercice de ses missions qu’il devra assumer en toute indépendance.
La responsabilité juridique du DPD
La responsabilité finale de la conformité des traitements au RGPD relève du responsable de traitement (maire ou président d’EPCI) et/ou du sous-traitant. Le DPD n’endosse pas la responsabilité juridique qui pèse sur eux. Toutefois, le DPD pourra être responsable pénalement s’il enfreint intentionnellement la loi.
II – La désignation du délégué à la protection des données
Le SIDEC a mis en place une solution mutualisée, pour les autres solutions se référer à la note de l'AMF du 18 juillet 2018 réservée aux adhérents
Source AMF : Administration et Gestion communales : Véronique PICARD, Stéphanie COLAS - Département Intercommunalité et Territoires : Marie-Cécile GEORGES, Alice COURANJOU - Département Conseil juridique et Documentation : Annick PILLEVESSE