RGPD : les délégués à la protection des données prennent leurs marques

La désignation d'un délégué à la protection des données, "DPO" en anglais, est l'une des obligations phares du RGPD. Un an après son entrée en application, selon le bilan révélé par la Cnil à l'occasion des "états généraux du RGPD" organisés par Ville internet, la marge de progression reste importante. Seulement 13.000 collectivités avaient en effet désigné leur DPO à la date d'anniversaire du règlement. Plus précisément,

• 12 sur 13 régions ont nommé un DPD,
• 88 départements sur 101,
• la totalité des 22 métropoles,
• 51 communautés d’agglomération sur 222,
• 216 communautés de communes sur 1.000 
• 10.562 communes.

Sans surprise, les communes sont les plus en retard sur ce sujet, le règlement s'imposant pourtant à toutes les organisations gérant des traitements, quelle que soit leur taille. "Pour une petite commune, la seule option possible est la désignation d'un DPO mutualisé. Dans les départements où un centre de gestion ou une structure de mutualisation ont décidé d'exercer cette mission – comme l'Alpi dans les Landes, Soluris en Charente-Maritime ou l'Adico en Hauts-de-France - c'est assez facile, mais pour les autres c'est un véritable casse-tête" avoue-t-on à l'AMF. Et si des offres privées de DPO externalisé existent, elles sont à prendre avec précaution : "Non seulement elles peuvent se révéler onéreuses mais, en plus, elles se limitent trop souvent à une intervention ponctuelle, limitée à la production du registre." 

Pas de sanction automatique, mais...

À quoi s'exposent les contrevenants ? A minima à un rappel à la loi, dans un premier temps, la commission ayant bien identifié les difficultés rencontrées par les petites collectivités. La Cnil a du reste promis un accompagnement spécifique - Mooc, fiches… (notre article) - avec un guide, annoncé depuis plusieurs mois, qui devrait paraître dans les prochaines semaines. En cas de plainte ou de fuite de données sensibles - la proximité des élections devant inciter les communes à la plus grande vigilance - la désignation d'un DPO sera un des premiers points examinés par la commission, car sa nomination à une valeur de signal sur la prise en compte effective du RGPD par la collectivité. Quant aux sanctions, toutes les interventions récentes (Ville internet, Forum Data la Gazette) de la Cnil convergent : il n'y aura pas de "sanctions automatiques". L'amende financière prévue par le RGPD n'est qu'un dernier recours d'un processus qui passe par la vérification des obligations RGPD, des mises en demeure et un dialogue entre la collectivité et les services de la commission.

Le DPO ne règle pas tout

La désignation du délégué est par ailleurs loin d'être une fin en soi comme le révèle une enquête que vient de publier le ministère du Travail . Réalisée par l’Afpa, en partenariat avec l’AFCDP et la Cnil, cette enquête en ligne a interrogé 1.598 professionnels de la conformité au RGPD. Si l'étude n'isole pas spécifiquement le secteur public, elle apporte un éclairage intéressant sur ce nouveau métier. Un gros tiers possède ainsi un profil d'informaticien, un petit tiers étant juriste de formation, le reste ayant des profils divers. Plus de la moitié ne possèdent que deux ans d'expérience dans le domaine de la protection des données personnelles et les deux tiers ont suivi une formation de (seulement) un à cinq jours. 70% sont à temps partiel pour exercer leur mission et ils ne sont que 40% à disposer d'un budget propre. Depuis leur entrée en fonction, leurs principales missions se concernent sur la cartographie des traitements et l’établissement du registre associé, la sensibilisation des services ainsi que la mise en conformité des traitements existants. Les DPO doivent cependant encore s'imposer dans les organisations : seulement 40% d'entre eux sont consultés systématiquement avant le lancement de projets de traitements. La cybersécurité arrive enfin en tête de leurs sujets de préoccupation, devant la pleine prise en compte du RGPD dans les services traitant des données personnelles.