RGPD : le DPO obligatoire pour
les collectivités et les établissements publics
Le RGPD entre en vigueur pour les entreprises et pour les organisations publiques en ce 25 mai 2018. Pour rappel, ce nouveau règlement, édicté par l’Union européenne, renforce les obligations des organisations et des entreprises de toute tailles concernant la gestion des données personnelles des citoyens européens.
De par leur nécessité d’exemplarité, mais aussi, de par la nature critique et sensible des informations qu’elles exploitent, les organisations publiques sont soumises à des dispositions particulières en matière de RGPD.
Dans cet article, nous allons étudier quelques unes de ces spécificités, avec en particulier la nomination obligatoire du DPO.
Structures publiques : un devoir d’exemplarité en matière de gestion des données personnelles
Les données personnelles des citoyens occupent une place centrale dans le fonctionnement de toute organisation publique, qu’il s’agisse de gérer des listes électorales, des inscriptions scolaires, des états civils…
En tant que détenteur de ces informations critiques et hautement convoitées, les structures publiques ont le devoir de veiller au respect de la législation en matière de traitement des données. Avec l’augmentation du nombre de menaces informatiques et de cas de pertes, de vols ou de compromission des données, les structures publiques ont également le devoir de veiller à la protection de ces données personnelles sur le plan de la sécurité du système d’information et du respect de la vie privée.
D’autant qu’avec cette législation, l’enjeu en matière de sécurité des données est aussi un enjeu en matière de réputation, d’image et de crédibilité pour les établissements qui ne souhaitent pas faire l’objet de futures scandales.
Structures publics et RGPD : quelles obligations ?
Des dispositions particulières concernant le RGPD s’appliquent donc aux entreprises publiques.
Structures publiques : la nomination du DPO est-elle obligatoire ?
La nomination d’un DPO est conseillée pour les entreprises privées, elle est obligatoire pour les structures publiques.
Une disposition que toutes les structures n’ont pas toujours bien anticipé, et qui s’avère difficile, dans la mesure ou le profil du DPO requiert des compétences pointues.
Si toutes les structures ne vont pas réussir à recruter un DPO facilement, il existe pour elles des alternatives. En effet, le DPO peut être nommé au sein même de la structure, il peut donc s’agir d’un employé, mais il peut être également être désigné en externe. Dans ce sens, il peut donc s’agir d’un organisme tierce, d’un prestataire, ou d’un cabinet d’avocat par exemple.
RGPD et structures publiques : quelles missions pour le DPO ?
Une fois désigné, le DPO a pour mission la mise en application du RGPD au sein de la structure, en vue de sa conformité. Il est donc chargé de l’interprétation des droits et des devoirs de la structures en vue de respecter le règlement, mais également, de la mise en œuvre des différents éléments de conformité, jusqu’à la mise en place de la documentation.
A l’ordre de cette mise en conformité de l’établissement public, le DPO doit prévoir, entre autres dispositions :
- la mise en place d’un registre des traitements des données personnelles
Ce registre des traitements des données va cartographier les différents types de données exploitées par l’organisme public et va définir, entre autre, les finalités de ces données, les personnes pouvant y accéder, les types de données exploitées ou encore la durée de conservation de ces données.
- la réalisation d’une étude d’impact sur la vie privée
Contrairement aux organismes privés, les organismes publics sont tenus d’effectuer une étude afin de déterminer les impacts de ces traitements des données sur la vie privée des personnes concernées et d’identifier les mesures techniques et organisationnelles nécessaires pour assurer la pleine protection de cette vie privée.
- la mise en conformité en matière de récolte de données
Pour les entreprises privées, cette mise en conformité en matière de récolte de données passe par un consentement préalable des personnes concernées. A savoir que les établissements publics disposent de conditions particulières, et que ce consentement n’est pas toujours obligatoire. En effet, l’organisation publique peut se passer de ce consentement lorsque le traitement des données est nécessaire à l’exécution d’une mission d’intérêt public et relève de l’autorité légale de la structure. Cette liste n’étant pas exhaustive, il importe aux organismes de vérifier les procédures nécessaires à la bonne application de l’ensemble du RGPD, en fonction des particularité de la structure, et en fonction du caractère sensible des données ou du caractère systématique du traitement effectué.