Foire aux questions

Suis-je dans l’obligation de nommer un Délégué à la Protection des Données ?

OUI, la désignation d’un Délégué à la Protection des Données est obligatoire pour :

  • Les autorités et organismes publics (ministères, collectivités territoriales, établissements publics…) ;
  • Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle (compagnies d’assurances, banques…)

 

Ai-je le droit de ne pas m’engager dans une démarche de mise en conformité au RGPD ?

NON, l’obligation de se mettre en conformité concerné tous les organismes publics comme privés, quelle que soit leur taille, dès lors qu’ils traitent des données personnelles.

 

Qu’est-ce qu’une donnée personnelle ?

Toute information contenant des données se rapportant à une personne identifiée ou identifiable (nom, adresse, numéro de sécu, âge, nationalité, données de santé…) est une donnée personnelle.

 

Le Maire peut-il être désigné comme Délégué à la Protection des Données ?

NON, il est déjà responsable de Traitement et à ce titre il ne peut pas être nommé DPD. Ces 2 rôles sont par définition distincts. Le responsable de Traitement doit Désigner le DPD.

 

Qui peut être nommé Délégué à la Protection des Données ?

Le délégué doit être désigné « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [ses] missions » (article 37.5 du règlement européen).

La personne qui a vocation à devenir délégué à la protection doit pouvoir réunir les qualités et compétences suivantes :

  • l’aptitude à communiquer efficacement et à exercer ses fonctions et missions en toute indépendance. Le délégué ne doit pas avoir de conflit d’intérêts avec ses autres missions. Cela signifie qu’il ne peut occuper des fonctions, au sein de l’organisme, qui le conduise à déterminer les finalités et les moyens d’un traitement (éviter d’être « juge et partie »). 
  • une expertise en matière de législations et pratiques en matière de protection des données, acquise notamment grâce à une formation continue. Le niveau d’expertise doit être adapté à l’activité de l’organisme et à la sensibilité des traitements mis en œuvre.
  • une bonne connaissance du secteur d’activité et de l’organisation de l’organisme et en particulier des opérations de traitement, des systèmes d’information et des besoins de l’organisme en matière de protection et de sécurité des données.
  • un positionnement efficace en interne pour être en capacité de faire directement rapport au niveau le plus élevé de l’organisme.

 

A quelles sanctions  je m’engage en ne mettant pas en place la démarche RGPD ?

Lorsque des manquements au RGPD ou à la loi sont portés à sa connaissance, la formation restreinte de la CNIL peut :

  • Prononcer un rappel à l’ordre ;
  • Enjoindre de mettre le traitement en conformité, y compris sous astreinte ;
  • Limiter temporairement ou définitivement un traitement ;
  • Suspendre les flux de données ;
  • Ordonner de satisfaire aux demandes d'exercice des droits des personnes, y compris sous astreinte ;
  • Prononcer une amende administrative. 

 

Comment nommer mon Délégué à la Protection des Données ?

La nomination du DPD se fait en deux temps :

  • auprès de la CNIL qui valide ensuite via un mail la désignation du DPD. Elle peut néanmoins refuser celle-ci si elle estime que la personne nommée ne possède pas les compétences requises, les moyens suffisants ou encore la capacité d'agir en toute indépendance.

 

Puis-je faire appel à un prestataire externe pour exercer les missions de Délégué à la Protection des Données ?

OUI, le DPD peut être externalisé ou mutualisé entre plusieurs structures. Il n’y a pas de règles. Le facteur déterminant sera la complexité de l’organisation de la collectivité et son budget.