Délégué ou déléguée à la protection des données
Délégué ou déléguée à la protection des données
Le délégué ou déléguée à la protection des données (aussi connu sous l’acronyme anglo-saxon DPO pour Data Protection Officer) est une fonction essentielle introduite notamment par le RGPD (Règlement (UE) 2016/679 du Parlement européen et du Conseil). Ce rôle, désigné en France par la CNIL, est central pour garantir la conformité des traitements de données à caractère personnel, tant dans le secteur public que dans le secteur privé.
Historique et cadre juridique
La fonction de délégué à la protection des données trouve ses origines dans les évolutions législatives européennes visant à renforcer les droits des personnes quant à leurs données personnelles.
L'entrée en application du RGPD le 25 mai 2018 a rendu obligatoire la désignation d’un DPO :
- au sein des administrations publiques
- chez les collectivités territoriales
- dans certains organismes du secteur privé traitant des données à grande échelle
En France, l’autorité de contrôle compétente en matière de données personnelles est la CNIL, qui encadre la désignation et l’exercice des missions du délégué.
La Loi informatique et libertés (loi n° 78-17 du 6 janvier 1978 modifiée) inscrit également ce rôle dans le droit national.
Missions et attributions
Le délégué à la protection des données exerce des fonctions variées et stratégiques :
- Informer et conseiller le responsable de traitement ou le sous-traitant ainsi que les employés sur leurs obligations
- Contrôler la conformité aux dispositions du RGPD et de la loi nationale
- Conseiller l’organisme lors de l’AIPD
- Coopérer avec la CNIL
- Faire le lien entre l’organisme et les personnes concernées (usagers, agents, administrés)
- Tenir à jour le registre des activités de traitement
Désignation et statut
La désignation du délégué à la protection des données est obligatoire dans certaines situations ; elle reste fortement recommandée dans de nombreuses autres. Les modalités sont encadrées par les textes européens et nationaux :
- Quelles structures doivent désigner un DPO ?
- Les autorités publiques ou organismes publics (hors juridictions)
- Les organismes qui effectuent un suivi régulier et systématique de personnes à grande échelle
- Les organismes qui traitent à grande échelle des catégories particulières de données (ex : santé)
- Statut du DPD
Le DPO peut être membre du personnel ou intervenant externe (via un prestataire). Il peut mutualiser sa fonction entre plusieurs organismes, notamment pour les petites collectivités territoriales ou les établissements scolaires.
Le DPD bénéficie de garanties d’indépendance et de moyens. Il ne reçoit aucune instruction pour l’exercice de ses missions, ne peut être sanctionné ou relevé de ses fonctions pour l’exercice de son rôle, et doit avoir accès aux ressources nécessaires (humaine, matérielle, formation…).
Compétences et profil
Le RGPD n’impose pas de diplôme spécifique mais requiert des compétences professionnelles en matière de droit, de réglementation et de pratiques relatives à la protection des données personnelles. Les qualités attendues sont :
- Bonne connaissance du droit applicable à la protection des données (RGPD, Loi informatique et libertés, etc.)
- Capacités de communication, de pédagogie et de gestion de projet
- Maîtrise des risques liés à la sécurité de l’information
- Sens de la confidentialité et de l’éthique
- Esprit d’analyse et autonomie
Diverses formations certifiantes, notamment celles reconnues par la CNIL, sont disponibles pour les agents de la fonction publique, de la Fonction publique territoriale, de la Fonction publique hospitalière ou du secteur privé.
Fonction dans la fonction publique
Dans la fonction publique, le rôle de délégué à la protection des données s’applique à de nombreuses structures :
| Structure concernée | DPO obligatoire | Modalités fréquemment observées |
|---|---|---|
| Ministères | Oui | DPD interne ou mutualisé du Secrétariat général |
| Préfectures | Oui | DPD interne ou coordonné au niveau régional |
| Collectivités territoriales | Oui (selon taille et traitement) | DPD mutualisé via CDG ou intermédiaire |
| Établissements publics | Oui | DPD propre ou rattaché à l'organisme de tutelle |
| Établissements scolaires | Oui | DPD académique ou mutualisé |
| Établissements de santé | Oui | DPD affecté à l'établissement ou au GHT |
Relations institutionnelles
Le DPD collabore avec diverses entités :
- CNIL
- EDPB
- Autorité de contrôle
- DPD internes de différents organismes
- DSSI
- Services juridiques
- Services informatiques
- Bureau du secrétariat général
- Autorités de certification
Responsabilités et limites
Le délégué conseille et alerte mais n’exerce pas de responsabilités décisionnelles en matière de traitement. La responsabilité finale incombe au responsable de traitement. Toutefois, le DPD doit être informé, consulté et associé à tous les projets et incidents relatifs aux données personnelles.
Le DPD bénéficie d’une protection particulière prévue par la législation, notamment au sein du Code du travail, du statut général de la fonction publique et du Code pénal (sur les atteintes aux fichiers nominatifs).
Outils et documentation
Pour remplir ses missions, le DPD dispose de ressources dont :
- Registre des traitements
- Modèles d’AIPD
- Guides pratiques de la CNIL
- Outils d’audit de conformité
- Supports de formation et de sensibilisation
- Logiciels de gestion des droits et consentements
Exemples de traitements encadrés
Quelques exemples de traitements nécessitant la désignation ou l’intervention du DPD :
- Gestion de la paie et des dossiers agents (RH)
- Vidéoprotection de bâtiments publics
- Plateformes dématérialisées de services et démarches administratives
- Dossiers médicaux partagés dans les établissements de santé
- Fichiers de suivi scolaire, inscription scolaire, gestion des absences