Les nouvelles obligations de désignation des délégués à la protection des données

La protection des données à caractère personnel des citoyens est un droit fondamental reconnu par l’article 8 de la Charte des droits fondamentaux de l’Union Européenne ainsi que par l’article 16 du traité sur le fonctionnement de l’Union européenne. C’est dans cette perspective qu’un règlement européen en date du 27 avril 2016 a été adopté pour obliger les communes et les EPCI à désigner une personne spécialement affectée à la protection des données.

A compter du 25 mai 2018, les communes et les EPCI devront donc choisir leur « délégué à la protection des données », successeur du correspondant Informatique et Libertés.

Ce délégué aura pour principales missions :

• D’informer et de conseiller le responsable de traitement ainsi que les agents ;
• De contrôler le respect du règlement et du droit national en matière de protection des données ;
• De coopérer avec la CNIL ;
• De conseiller la collectivité sur la réalisation d’une analyse d’impact relative à la protection des données et d’en vérifier l’exécution ;
• D’être le contact de la CNIL au sein de la commune ou de l’EPCI.

Ce délégué devra être désigné sur la base de ses qualités professionnelles, spécifiquement en vertu de ses connaissances spécialisées du droit et de la pratique de protection des données. Il peut être un agent de la commune ou de l’EPCI. Cette fonction peut aussi faire l’objet d’une mutualisation entre plusieurs collectivités ayant des préoccupations similaires.

Cette fonction pouvant conduire à l’existence d’un conflit d’intérêts, il ne faudra pas désigner un agent étant amené à déterminer les finalités et les moyens d’un fichier. En effet, le délégué ne peut occuper un poste qui le conduirait à déterminer les finalités et les moyens d’un fichier. La CNIL précise que l’agent ne peut être « juge et partie ».