Logo UME

Agenda
 
Accueil > FLASH INFOS  > FLASH JURIDIQUES
RGPD : une délibération précise « les compétences et les savoir-faire » du DPD

Informations personnelles, données médico-sociales, régime alimentaire des enfants inscrits à la cantine…
- Chaque année, les communes traitent et disposent de toute une série de données sensibles sur leurs usagers, dont la protection était jusque-là très peu contrôlée.
- La donne a quelque peu changé depuis le 25 mai 2018 et l’entrée en vigueur du règlement général sur la protection des données (RGPD) partout en Europe.
- Depuis le printemps, toute autorité publique et tout organisme public, parmi lesquels les collectivités locales, les syndicats mixtes et les groupements d’intérêt public (GIP), ont pour obligation de désigner un délégué à la protection des données (DPD ou DPO).

- « C’est le chef d’orchestre, celui qui est à la manœuvre pour cartographier les traitements, conseiller le responsable de traitement ou encore mener les études d’impacts…
- Il est chargé de faire en sorte que la protection des données soit désormais dans l’ADN des collectivités locales », résume Virginie Langlet.
- Jusque-là, les collectivités locales et les EPCI avaient la possibilité de créer, selon leur bon vouloir, un poste de correspondant informatique et libertés (Cil) conformément à un décret d’application de 2005.

« La certification n’a pas de caractère obligatoire »

- Aujourd’hui, toute la question est de savoir qui peut exercer cette mission de DPD. Le 20 septembre dernier (Journal officiel du 11 octobre), la Commission nationale de l’informatique et des libertés (Cnil) a pris une délibération portant adoption des critères du référentiel de certification des compétences du délégué à la protection des données.

- Pour prétendre à cette certification, le DPD doit « justifier d’une expérience professionnelle d’au moins 2 ans dans des projets, activités ou tâches en lien avec les missions du DPO s’agissant de la protection des données personnelles » ou « justifier d’une expérience professionnelle d’au moins 2 ans ainsi que d’une formation d’au moins 35 heures en matière de protection des données personnelles reçue par un organisme de formation ».
- Un niveau d’exigence très élevé, notamment pour les plus petites communes, « qui peut créer une discrimination », s’émeut Virginie Langlet. La certification n’a toutefois pas de caractère obligatoire. « C’est seulement un affichage qui permet de donner confiance aux usagers », relativise la spécialiste.

- Parmi la longue liste de compétences qu’il doit maîtriser (délibération en téléchargement ci-dessous), le DPD doit « connaître et comprendre les principes de licéité du traitement, de limitation des finalités, de minimisation des données, d’exactitude des données, de conservation limitée des données, d’intégrité, de confidentialité et de responsabilité » ou encore savoir « élaborer, mettre en œuvre et (être) en capacité de dispenser des programmes de formation et de sensibilisation du personnel et des instances dirigeantes en matière de protection des données. »

- 73 départements ont procédé à la désignation de leur DPD à la fin du mois de septembre contre 46 à la fin du mois de mai (+60% environ).

- Télécharger la délibération

Union des Maires de L’Essonne : 9 boulevard des Coquibus - 91030 Evry Cedex - tel : 01 69 91 18 93 - fax : 01 69 91 45 87
Contact - Plan du site - Mentions légales - Crédits