Le 25 mai 2018 est entré en application le règlement général sur la protection des données personnelles. Celui-ci, d’applicabilité directe, s’applique non seulement uniformément dans tous les pays européens mais concerne aussi bien le secteur privé que public et donc les collectivités territoriales qui doivent se mettre en conformité.
L’une des principales dispositions du règlement relative aux collectivités territoriales concerne la nomination du délégué à la protection des données (DPD ou DPO) de l’article 37 qui dispose :
« Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque: le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle […] » .
Il est donc obligatoire de nommer un délégué à la protection des données pour les collectivités, contrairement aux organismes privés qui en fonction de leur activité peuvent s’en passer même s’il est fortement conseillé par la CNIL.
Pour se conformer à cette obligation qui peut être coûteuse, les communes peuvent mutualiser leur délégué. En effet, il est recommandé de faire appel à un DPO externe où d’utiliser les ressources d’une autre personne publique. Cela va permettre à cette personne d’exercer son rôle pour plusieurs collectivités et permettre ainsi des économies en se partageant les coûts. Cette possibilité est aussi prévue par l’article 37 :
«  Lorsque le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille ».
Cette mutualisation peut être envisagée au niveau des EPCI qui regroupent des communes proches et habitués à collaborer.
De plus, la mutualisation peut être plus poussée, avec la création d’un service gérant les problématiques liés aux données à caractère personnel pour plusieurs collectivités territoriales, cette possibilité a été prévue par la loi transposant le règlement dans le droit interne à l’article 31 :
« Sans préjudice du dernier alinéa de l’article L. 5111-1 du code général des collectivités territoriales, peuvent être conclues entre les collectivités territoriales et leurs groupements des conventions ayant pour objet la réalisation de prestations de service liées au traitement de données à caractère personnel. Les collectivités territoriales et leurs groupements peuvent se doter d’un service unifié ayant pour objet d’assumer en commun les charges et obligations liées au traitement de données à caractère personnel. ».
Cet article montre la volonté des législateurs de faciliter la mutualisation entre les collectivités et surtout alléger la mise en conformité qui peut être contraignante et coûteuse.

A propos de Pierre HUMANN