Le règlement 2016/679 du 27 avril 2016 rend obligatoire la désignation d’un DPO au sein des organismes publics.
Organismes publics concernés
En effet, le règlement (1) à l’article 37 prévoit que « le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque : (a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ». C’est donc une nouvelle contrainte imposée à tous les organismes publics.
Cependant, le règlement ne définit pas les notions d’ « autorité publique » ou d’ « organisme public ». Le Groupe de travail Article 29 estime que ces notions doivent être interprétées par le droit national ; il reconnaît que ces organismes peuvent exister à plusieurs niveaux :
- au niveau national ;
- au niveau régional ;
- au niveau local.
La seule dérogation prévue par le texte est celle accordée aux juridictions, lorsqu’elles agissent dans l’exercice de leur fonction juridictionnelle (1).
Le G29 rappelle qu’une mission de service public peut être exercée, en plus des autorités ou organismes publics, par des personnes physiques ou morales gouvernées par le droit public ou privé. Le G29 fait notamment référence aux secteurs tels que les transports publics, la fourniture d’eau et d’électricité, les infrastructures routières, etc. (2).
Le G29 recommande aux personnes privées en charge de missions de service public de désigner un délégué à la protection des données (abrégé en « DPO », acronyme anglais pour « Data Protection Officer »).
Nécessité d’un DPO public
Le DPO public a, entre autres fonctions, celle d’intermédiaire avec les autorités de contrôle et les personnes concernées. Or, lorsqu’un traitement est mis en œuvre par un organisme public, les personnes concernées par le traitement risquent d’avoir peu ou pas de maîtrise sur la façon dont leurs données sont traitées. Le DPO public offre alors à ces personnes un degré supplémentaire de protection.
Possibilité de mutualiser un DPO public
Le règlement prend en compte la spécificité des organismes publics et leur permet de mutualiser un DPO public :
« Lorsque le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille» (2).
Cette disposition permet à des organismes publics de se regrouper pour désigner leur DPO public. Un exemple parlant est celui des collectivités territoriales, particulièrement celui des communes. Les communes doivent désigner un DPO pour gérer les traitements de données à caractère personnel qu’elles mettent en place. Des communes dans des situations similaires (géographique, économique etc.) mais également compte tenu de leur structure organisationnelle et de leur taille, pourront avoir intérêt à désigner le même DPO, qui sera plus à même de traiter les problématiques spécifiques aux services publics gérés par ces collectivités territoriales.
Mise en conformité
Les organismes publics doivent se mettre en conformité avec le règlement avant le 25 mai 2018 ; pour ces derniers, la désignation d’un DPO sera une étape essentielle de la mise en conformité au RGPD
Lexing Alain Bensoussan Selas
Lexing Publicité et marketing électronique
(1) Règl. (UE) 2016/679 du 27-4-2016, art. 37
(2) Règl. (UE) 2016/679 du 27-4-2016, art. 37