Frédérique Lardet
Question N° 10062 au Ministère de la justice
Question soumise le 3 juillet 2018
Mme Frédérique Lardet attire l'attention de M. le secrétaire d'État, auprès du Premier ministre, chargé du numérique, sur la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données qui a été remplacée au mois de mai 2018 par le règlement UE/2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Ce règlement entré en vigueur dès le 25 mai 2018 impose, entre autres, à l'ensemble des collectivités locales de désigner un délégué à la protection des données (DPD). Il appartient ainsi aux responsables de traitement des données, c'est-à-dire aux maires et présidents d'exécutifs locaux, de faire connaître à la commission nationale de l'informatique et des libertés (CNIL) le nom du DPD qu'ils ont désigné. Si aucun diplôme particulier n'est exigé pour remplir la fonction de DPD, force est de constater qu'une telle mission requiert notamment des connaissances en technologies de l'information, en protection des données et en matière juridique. La question se pose de savoir comment les communes, dont plus d'une sur deux compte moins de 500 habitants, pourront respecter une telle obligation. Si le règlement prend en compte la spécificité des organismes publics en leur permettant de mutualiser un DPD, il apparaît généralement que seules les plus grandes collectivités territoriales se sont organisées pour répondre aux obligations de ce règlement. Ainsi, une très large majorité des communes ne s'est pas saisie de ce sujet alors même que ce dernier prévoit des sanctions pouvant atteindre 20 millions d'euros pour les infractions les plus graves. Elle lui demande comment le Gouvernement entend apporter un soutien particulier aux communes de faible strate de population afin de les aider à trouver, à proximité de leurs territoires, des acteurs susceptibles d'assumer la mission de DPD.
Réponse émise le 25 décembre 2018
L'article 37.1 du règlement (UE) 201/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, dit règlement général de protection des données (RGPD) impose au responsable du traitement de désigner un délégué à la protection des données lorsque le traitement est notamment effectué par une autorité publique. Cette obligation s'applique donc aux collectivités territoriales qui traitent chaque jour de nombreuses données à caractère personnel. Le délégué à la protection des données remplace ainsi le correspondant « informatique et libertés » que les collectivités territoriales, comme tout responsable de traitement, pouvaient auparavant désigner en contrepartie d'une dispense de formalités préalables auprès de la Commission nationale de l'informatique et des libertés (CNIL) lorsqu'elles souhaitaient mettre en œuvre un traitement. Si la désignation d'un délégué à la protection des données est désormais obligatoire, l'article 37.3 du RGPD prévoit la possibilité, pour plusieurs autorités publiques « compte tenu de leur structure organisationnelle et de leur taille », de nommer un seul délégué. Le RGPD offre par ailleurs une certaine souplesse puisqu'il prévoit que le délégué à la protection des données peut être soit un membre du personnel du responsable de traitement, soit un prestataire de service. Le délégué peut en outre exercer ses fonctions à temps complet ou non complet, selon les besoins du responsable du traitement. L'article 42 du décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié par le décret n° 2018-687 du 1er août 2018, rappelle la possibilité, pour les collectivités territoriales et leurs groupements notamment, de mutualiser la fonction de délégué à la protection des données. En pareil cas, une convention doit déterminer les conditions dans lesquelles s'exerce la mutualisation. Il peut s'agir par exemple d'une convention de prestation de services si les communes sont membres d'un même établissement public de coopération intercommunale (EPCI) à fiscalité propre uniquement et si le schéma de mutualisation le prévoit (article L. 5111-1 du code général des collectivités territoriales). L'une des communes se dote alors d'un délégué à la protection des données qui sera également celui des autres communes dans le cadre de la prestation. A cet égard, l'article 31 de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles a simplifié le recours à la prestation de services liée au traitement de données à caractère personnel entre les collectivités territoriales et leurs groupements. Ceux-ci peuvent ainsi se doter d'un service unifié ayant pour objet d'assumer en commun les charges et obligations liées au traitement de données à caractère personnel. De même, le centre de gestion dont dépendent les collectivités territoriales peut, en vertu de l'article 25 de la loi n° 84-53 du 26 janvier 1984 portant dispositions statutaires relatives à la fonction publique territoriale, mettre à disposition un agent public pour exercer les missions de délégué à la protection des données. La mutualisation du délégué à la protection des données permet de mettre en commun les ressources financières et humaines des différentes collectivités concernées, en particulier les plus petites communes, et de faire face aux difficultés éventuelles de recrutement d'un tel délégué, tout en réduisant le coût lié à sa désignation. Par ailleurs, l'article 37.4 du RGPD précise que le délégué à la protection des données doit être désigné « sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données ». La CNIL, dans le cadre de sa mission d'accompagnement prévue au 1° de l'article 11 de la loi du 6 janvier 1978, peut « apporter une information adaptée aux collectivités territoriales » quant à leurs droits et leurs obligations en tant que responsables de traitements. Elle a ainsi publié récemment un référentiel de certification qui fixe notamment les conditions de recevabilité des candidatures et la liste des 17 compétences et savoir-faire attendus pour être certifié en tant que délégué à la protection des données. Ce référentiel pourra ainsi aider les collectivités territoriales dans leur recrutement. La CNIL a également signé une convention de partenariat avec l'Assemblée des départements de France afin d'accompagner les collectivités territoriales dans leur mise en conformité au règlement général de protection des données. L'Association des maires de France (AMF) a également consacré plusieurs documents à ce sujet, notamment la désignation d'un délégué à la protection des données. Ces diverses mesures d'accompagnement sont de nature à aider les collectivités territoriales, notamment les plus petites d'entre elles, à respecter leurs nouvelles obligations prévues par le RGPD, en particulier la désignation d'un délégué à la protection des données.
Aucun commentaire n'a encore été formulé sur cette question.