RGPD : qui doit être le délégué à la protection des données ?

Constat

Depuis l’entrée en vigueur du règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données RGPD), le 25 mai dernier, il est obligatoire de désigner un délégué à la protection des données (DPD) dans le secteur public. Qui est cette personne ?

Réponse

Le DPD veille au respect de la bonne application du RGPD et il est le contact principal des autorités compétentes en cas de contrôle, c'est-à-dire de la Commission nationale de l’informatique et des libertés (Cnil).
Il est le successeur naturel du correspondant Informatique et Libertés. Il dispose de connaissances spécialisées en droit et connaît les pratiques en matière de protection des données. Il doit être déclaré auprès de la Cnil et son identité et ses coordonnées doivent être communiqués au grand public. La Cnil propose un formulaire de désignation en ligne sur son site internet.
Conformément à l’article 37-6 du RGPD, le délégué à la protection des données peut être un membre du personnel du responsable du traitement, c'est-à-dire qu’il peut être un agent public pour une collectivité, ou exercer ses missions sur la base d'un contrat de service, c'est-à-dire que la mission de délégué peut également être externalisée conformément aux règles de la commande publique.
Conformément à l’article 38-3 du RGPD, le délégué ne doit recevoir aucune instruction dans le cadre de l’exercice de ses missions. Il fait directement rapport au niveau le plus élevé de la direction du responsable du traitement.
Quand le DPD est un agent public, il doit être rattaché directement à la direction générale. Il peut cumuler une activité de délégué avec une autre, à condition que cette dernière ne soit pas incompatible avec l’activité de délégué. Le plus couramment, la personne en charge des données à caractère personnel est le responsable qualité au sein de l’organisme. Bien entendu, le délégué ne peut pas être le responsable de traitements lui-même.
Enfin, lorsque le responsable de traitement est une autorité ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille. Une communauté de communes par exemple peut donc désigner un DPD commun qui veillera au respect de la réglementation au sein de chaque commune.
 

Références : règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD) ; article 37-1-a du RGPD ; article 37-3 du RGPD

Rural Consult : le service de renseignements juridiques et financiers

Un service gratuit destiné aux communes de moins de 5 000 habitants et aux intercommunalités de moins de 50 000 habitants.

  • 0970 808 809
  • Du lundi au vendredi de 9h à 19h (prix d'un appel local)