Mutualisation DPO : État des lieux des besoins

Questionnaire destiné aux directions & responsables de services MJPM adhérents à la FNAT.

Avec le Règlement Européen Général sur la Protection des Données Personnelles (RGPD) de 2016 et qui est entré en vigueur le 25 mai 2018, de nombreuses formalités auprès de la CNIL disparaissent telles que le système des AU (Autorisations Uniques). En contrepartie, la responsabilité des services sera renforcée en passant d’une logique d’engagement de conformité à une logique de responsabilisation (anticipation) des acteurs qui devront assurer une protection optimale des données personnelles.

Dans la cadre de sa mission de soutien aux adhérents, la FNAT examine les possibilités pour se conformer à cette nouvelle réglementation, par exemple la désignation du délégué à la protection des données (« DPO » = Data Protection Officer ou « DPD » = Délégué à la Protection des Données), ou une personne, disposant de relais internes, chargée de piloter la gouvernance des données personnelles conformément au règlement européen.

En effet, le RGPD impose (article 37.1) la désignation d’un DPO dans trois situations : « – Pour les traitements réalisés par une autorité ou un organisme public ; – Pour les organismes ayant pour activité de base des opérations de traitement nécessitant le suivi régulier et systématique des personnes à grande échelle; – Pour les organismes ayant pour activité de base le traitement à grande échelle de données dites « sensibles » ou relatives aux condamnations pénales et infractions ».

Dans un premier temps, la commission formation de la FNAT s’est saisie de cette nouvelle obligation et a ainsi proposé 5 sessions d’une journée de formation « RGPD & DPO » avec le cabinet CILEX agrée CNIL, réparties sur 1 mois pour en faire bénéficier le maximum d’adhérents. Vous avez été nombreux à y participer (60 stagiaires répartis sur 38 Services).

Pour poursuivre son action de soutien, la FNAT examine l’opportunité de proposer un DPO externe mutualisé pour les adhérents qui le souhaitent. « Le délégué est chargé de mettre en œuvre  la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme. (…) Un délégué, interne ou externe, peut être désigné pour plusieurs organismes sous conditions. Pour garantir l’effectivité de ses missions, le délégué :

• doit disposer de qualités professionnelles et de connaissances spécifiques,
• doit bénéficier de moyens matériels et organisationnels, des ressources et du positionnement lui permettant d’exercer ses missions. » (site de la CNIL)

Afin de calibrer au mieux cette proposition d’externalisation et revenir vers vous au plus tôt d’ici la fin du mois de juin sur la faisabilité de cette prestation, nous avons au préalable besoin de collecter certaines informations auprès de vous.