Dossier – Les délégué·es à la protection des données, histoire, missions et réalité 

La loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi du 6 août 2004, a créé le correspondant à la protection des données (CIL). Il était chargé de veiller, avant l’entrée en application du règlement général sur la protection des données (RGPD) le 25 mai 2018, au respect de la loi Informatique et Libertés au sein de l’entreprise, du groupe, de l’association ou de l’administration qui l’avait désigné. Cette désignation était facultative, à la grande différence de son petit frère, le délégué à la protection des données (DPD). Le petit frère a pris de l’envergure et occupe beaucoup plus d’espace que n’en a jamais eu son aîné. 

Dans ce dossier, Villes Internet reviendra sur la protection des données dans les collectivités territoriales et les missions des DPD. L’association donnera la parole à plusieurs déléguées à la protection des données et reviendra sur le rôle des DPD au cœur de la crise sanitaire du Covid-19.

Chapitre 1

RGPD et DPD, la protections des données dans les collectivités territoriales

Le RGPD est un règlement européen, ce qui signifie qu’il a été directement applicable dans l’ensemble de l’Union sans nécessiter de transposition dans les différents États membres. Le même texte s’applique donc depuis le 25 mai 2018 dans toute l’Union.

Le RGPD confère au DPD un rôle central

Le RGPD concerne les organismes – et donc les collectivités territoriales – dans toutes leurs activités : gestion des ressources humaines, relations avec les usagers, etc. La création de données personnelles étant un processus transversal à l’ensemble de ces sujets, il est naturel que le RGDP consacre 3 articles qui définissent “les contours de la profession chargée de conseiller les responsables de traitement sur la protection de ces données. Dès lors, le DPD prend une importance qualitative et quantitative nouvelle par rapport à son prédécesseur en France, le correspondant Informatique et Libertés (CIL).

Les missions transversales du DPD

Comme le rappelle la CNIL dans son guide, le RGPD place le DPD en acteur clef du système de gouvernance des données personnelles. En effet, les missions qui lui sont attribuées consacrent son rôle de pilote de la démarche de mise en conformité permanente et dynamique dans laquelle les organismes doivent s’inscrire.

Le DPD a donc avant tout une mission d’information, de conseil et de contrôle. Il n’est pas responsable de la conformité de l’organisme, de la tenue du registre, de la réalisation des analyses d’impacts ou des notifications de violations de données. Il est cependant en position d’en être un acteur clef dont les compétences seront très utiles au responsable de l’organisme pour l’aider à se conformer à ses obligations.

La documentation est rendue obligatoire par le RGPD, elle prend donc un rôle central dans les missions du DPD. Elle permet d’avoir une connaissance exhaustive des opérations de traitement mises en œuvre et de prévoir leur pilotage. Le DPD doit donc garantir la pertinence de cette documentation et d’en piloter l’actualisation.

Le DPD est amené à coopérer avec l’autorité de contrôle et doit à ce titre jouer un rôle de « facilitateur » à l’occasion des échanges avec la CNIL (réponse aux demandes lors d’un contrôle sur place, instruction d’une réclamation, consultation dans le cadre d’une AIPD, notification d’une violation de données, etc.). Par ailleurs, le DPD peut consulter la CNIL sur toutes questions ayant rapport avec la protection des données personnelles ou sa fonction. Il est interdit au responsable de traitement ou au sous-traitant de soumettre ces questions à sa validation ou de les prohiber.

De son côté, la CNIL ne répond pas aux sollicitations des structures qui n’ont pas nommé de DPD, afin de les encourager – voire les contraindre – à respecter cette obligation. À ce jour, selon les chiffres de data.gouv.fr, plus de 47,21 % des communes françaises ont un DPO. La moitié des communes doivent donc encore se mettre en conformité avec le RGPD. Mais elles rencontrent souvent des difficultés à trouver les compétences.

L’externalisation des DPD est possible, mais est-elle souhaitable dans les collectivités ?

La question des compétences numériques dans les collectivités reste un enjeu majeur des années à venir. Les élu·es en conviennent volontiers, il est souvent difficile de convaincre les spécialistes de venir travailler dans les services municipaux, communautaires, départementaux ou régionaux. Pourtant, comme l’indique le sociologue Pascal Plantard, les expert·es numériques sont nombreux à vouloir donner un sens citoyen à leur activité professionnelle. Il s’agit souvent d’un problème financier, le public ayant du mal à s’aligner sur les salaires proposés par le privé. 

En l’absence de ressources internes, les collectivités locales sont parfois tentées d’externaliser les missions, dont les DPD, avec les risques que cela génère en termes de contrôle des missions et de disponibilité de l’entreprise mandatée. 

La solution – comme souvent pour les sujets numériques – est peut-être dans la mutualisation. Les collectivités publiques ont tout intérêt à utiliser les formats de mutualisation qui sont déjà à leur disposition et qu’elles utilisent déjà, tels que prévu au sein du Code général des collectivités territoriales. Les collectivités publiques faisant le choix de mutualiser leur DPD doivent tout de même veiller à ce que le DPD mutualisé dispose bien des ressources adéquates pour assurer les missions qui lui incombent pour l’ensemble des entités mutualisées. Son temps de travail doit par ailleurs être adapté au nombre de collectivités dont il a la charge afin de garantir sa réactivité.