Allez au contenu, Allez à la navigation

Possibilité de désigner un maire comme délégué à la protection des données

15e législature

Question écrite n° 05775 de M. Jean Louis Masson (Moselle - NI)

publiée dans le JO Sénat du 21/06/2018 - page 3056

M. Jean Louis Masson attire l'attention de M. le ministre d'État, ministre de l'intérieur sur le fait que le RGPD (règlement général sur la protection des données) entré en vigueur le 25 mai 2018 instaure le délégué à la protection des données. Il lui demande si le maire peut être désigné comme délégué à la protection des données ou s'il est nécessaire de procéder à des désignations extérieures à la collectivité.



Réponse du Ministère de l'intérieur

publiée dans le JO Sénat du 27/09/2018 - page 4914

En tant que responsable de traitement, le maire d'une commune ne peut pas être désigné comme délégué à la protection des données (DPD). Ces deux entités sont par définition distinctes, le responsable du traitement devant désigner le DPD, et les rôles qui leur sont attribués par le règlement général sur la protection des données (RGPD) étant différents. Il résulte notamment de l'article 38 du RGPD que le délégué doit bénéficier d'une certaine indépendance vis-à-vis du responsable de traitement, et ne pas se trouver en situation de conflit d'intérêts dans l'exercice de sa mission. Comme l'indiquent les autorités européennes de protection des données dans le document « Lignes directrices concernant les délégués à la protection des données » (WP243 rev. 01, 5 avril 2017, page 19) « l'absence de conflit d'intérêts est étroitement liée à l'obligation d'agir en toute indépendance. Bien que les DPD soient autorisés à exercer d'autres fonctions, un DPD ne peut se voir confier d'autres missions et tâches qu'à condition que celles-ci ne donnent pas lieu à un conflit d'intérêts. Cela signifie en particulier que le DPD ne peut exercer au sein de l'organisme une fonction qui l'amène à déterminer les finalités et les moyens du traitement de données à caractère personnel. En raison de la structure organisationnelle spécifique de chaque organisme, cet aspect doit être étudié au cas par cas. » Le DPD n'est pas nécessairement une personne extérieure à la collectivité. Le (6) de l'article 37 du RGPD dispose en effet que : « Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d'un contrat de service ». Le maire peut ainsi désigner l'un de ses agents dès lors qu'il présente les compétences requises et qu'il bénéficie d'une indépendance suffisante pour l'exercice de sa mission. Le maire peut toutefois également désigner une personne extérieure, sur la base d'un contrat de service, dès lors que cette dernière présente les garanties précédemment évoquées. Enfin, le (3) de l'article 37 du RGPD permet à plusieurs autorités publiques de désigner un seul délégué, compte tenu de leur structure organisationnelle et de leur taille. À cet égard, l'article 31 de la loi n°  2018-493 du 20 juin 2018 relative à la protection des données personnelles dispose que : « Sans préjudice du dernier alinéa de l'article L. 5111-1 du code général des collectivités territoriales, peuvent être conclues entre les collectivités territoriales et leurs groupements des conventions ayant pour objet la réalisation de prestations de service liées au traitement de données à caractère personnel. Les collectivités territoriales et leurs groupements peuvent se doter d'un service unifié ayant pour objet d'assumer en commun les charges et obligations liées au traitement de données à caractère personnel. »