Plus que quatre mois pour désigner son délégué à la protection des données personnelles

Plus que 4 mois pour désigner votre DPD

Dans le cadre du règlement général sur la protection des données (RGPD), chaque collectivité a l'obligation de nommer un délégué à la protection des données (DPD en Français ou DPO en anglais) d'ici au 25 mai 2018. La Mission Ecoter a fait le point sur le sujet lors d'un après midi de débats, le 18 janvier.

 

Qu’il soit en interne ou mutualisé entre plusieurs organismes, le DPD n’est pas forcément sur cette mission à temps plein. Cependant, « il doit être indépendant et ne pas recevoir d’instructions de la collectivité qui l’a désigné. Si il est lié au service responsable de traitements, si lui-même réalise des traitements ou si il est très proche de la DSI, il peut y avoir conflit d’intérêt », prévient Arnaud Tessalonikos.

De plus le DPD doit avoir les ressources nécessaires pour mener à bien une veille et maintenir à jour ses compétences, se former. Cela milite donc pour aller plutôt vers des DPD mutualisés pour les petites et moyennes collectivités.

 

Arnaud Tessalonikos conseille de profiter de cette désignation du DPD pour envoyer un courrier à tous les agents pour les en informer, leur expliquer sa mission… Il est nécessaire de mettre très vite en relation le DPD avec le service communication et de lui créer des coordonnées spécifiques avec par exemple un mail du type dpd @ ville.fr. « Cela permet d’alerter le personnel que la collectivité engage cette démarche de conformité au RGPD. Et ainsi, le DPD commence à documenter son action et à faire de l’accountability », explique l’avocat.

Il préconise aussi de joindre un glossaire qui permettra de diffuser un premier niveau de culture informatique et libertés dans la collectivité. Il faudra aussi nommer des relais dans les différents services pour aider le DPD, qu’il soit interne ou externe, dans la mise à jour de la conformité au fil des jours.

 

« Il faut mettre en place le pilotage du chantier de conformité, mais aussi une gestion du risque », souligne Arnaud Tessalonikos. Cela signifie qu’une collectivité confrontée à un contrôle inopiné de la CNIL doit avoir prévu les outils qui documentent le travail de mise en conformité qui est effectué. « Il faut d’emblée former les gens sur ce qu’ils peuvent faire et dire quand les agents de la CNIL arrivent, et anticiper ce qu’on leur remettra », précise Arnaud Tessalonikos.

 

En savoir plus