Le rôle du délégué à la protection des données DPD

Note rédigée par l'Association des maires de France et des présidents d'intercommunalité le 18 juillet 2018

Désignation obligatoire d’un délégué à la protection des données (DPD) dans chaque commune et intercommunalité depuis le 25 mai 2018 et communication du nom et des missions auprès du conseil municipal ou communautaire et des agents. Le SIDEC du Jura a proposé aux collectivités de bénéficier d'un DPD mutualisé.

Le Maire ou le président d'intercommunalité est responsable de la conformité des traitements au Règlement général sur la protection des données (RGPD). La nomination d'un DPD n'entraine pas un transfert de responsabilité.

I – Les missions du délégué à la protection des données

Depuis le 25 mai 2018, le RGPD rend obligatoire la désignation d’un délégué à la protection des données pour tous les organismes et autorités publics et précise ses modalités de désignation, ses missions et les conditions dans lesquelles elles s’exercent.

Si l’accent a souvent été mis sur cette obligation de désigner un DPD pour les organismes publics, il faut également insister sur le rôle et la responsabilité du responsable de traitement. En pratique et de façon générale, c’est sur le maire ou le président de l’EPCI que va peser la responsabilité du respect de la conformité des traitements au RGPD.

Les modalités de désignation du DPD

Le DPD peut être un membre du personnel de la commune ou de l’EPCI ou un prestataire extérieur. Il peut être mutualisé entre plusieurs entités.

Une fois le DPD choisi, la CNIL doit en être informée à l’aide du formulaire suivant : www.cnil.fr/fr/designation-dpo.

Les élus locaux peuvent-ils exercer les missions de DPD ?

Pour leur propre commune, le maire, les adjoints au maire et les conseillers municipaux délégués ne peuvent exercer les missions de DPD. Appartenant à l’exécutif de la collectivité, ils seraient « juges et parties » pour s’assurer de la mise en conformité des traitements au RGPD. Le maire, de surcroît, étant le « responsable de traitement », il est de toute façon dans l’impossibilité d’exercer les missions de DPD.

S’agissant des conseillers municipaux sans délégation, ils pourraient éventuellement assurer cette fonction mais à titre bénévole car ils ne peuvent être salariés de la commune.

En revanche, il n’y a pas d’obstacle à ce que les élus assurent les fonctions de DPD au sein d’autres communes.

Les missions du DPD

Le RGPD prévoit les missions qui doivent être exercées par le DPD ; il/elle doit :

• informer et conseiller le responsable de traitement et les autres personnes chargées de la mise en oeuvre des traitements (application des grands principes de la protection des données et des nouveautés du RGPD) ;
• contrôler le respect du RGPD et du droit national de protection des données ;
• jouer le rôle de « point de contact » entre la collectivité et la CNIL ;
• s’assurer, notamment de la bonne tenue du registre des traitements (automatisés et non automatisés).

Il est à noter que le DPD est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de ses missions.

Les conditions d’exercice des missions du DPD

Le DPD doit avoir un niveau d’expertise suffisant lui permettant d’exercer les missions qui lui sont confiées via le RGPD. Il doit disposer de suffisamment de temps et de moyens pour exercer ses missions.

Par ailleurs, il ne doit pas être susceptible de se trouver à la fois « juge et partie » au regard de ses autres activités, cette absence de conflit d’intérêt constituant une garantie d’indépendance.

Enfin, il doit être suffisamment autonome pour alerter le responsable du traitement. L’article 38 du RGPD précise que le responsable du traitement veille à ce qu’il ne reçoive aucune instruction pour l’exercice de ses missions qu’il devra assumer en toute indépendance. 

La responsabilité juridique du DPD

La responsabilité finale de la conformité des traitements au RGPD relève du responsable de traitement (maire ou président d’EPCI) et/ou du sous-traitant. Le DPD n’endosse pas la responsabilité juridique qui pèse sur eux. Toutefois, le DPD pourra être responsable pénalement s’il enfreint intentionnellement la loi.

II – La désignation du délégué à la protection des données

Le SIDEC a mis en place une solution mutualisée, pour les autres solutions se référer à la note de l'AMF du 18 juillet 2018 réservée aux adhérents

Source AMF : Administration et Gestion communales : Véronique PICARD, Stéphanie COLAS - Département Intercommunalité et Territoires : Marie-Cécile GEORGES, Alice COURANJOU - Département Conseil juridique et Documentation : Annick PILLEVESSE