Pourquoi les collectivites territoriales doivent designer un DPO
Le reglement general sur la protection des donnees impose a toutes les autorites publiques de designer un delegue a la protection des donnees. Les communes, intercommunalites, departements et regions sont donc concernees sans exception. Cette obligation figure a l’article 37 du RGPD et ne souffre d’aucun seuil de population ou de budget.
Pour de nombreuses petites et moyennes communes, recruter un DPO interne a temps plein represente un defi budgetaire et humain. Les competences requises couvrent a la fois la reglementation en matiere de protection des donnees, la securite des systemes d’information et la connaissance des missions de service public. Trouver un profil reunissant ces trois dimensions reste difficile sur le marche de l’emploi territorial.
Le principe de la mutualisation du DPO
L’article 37.3 du RGPD prevoit explicitement qu’un groupe d’autorites publiques peut designer un DPO unique, a condition que celui-ci soit facilement joignable par chaque entite. La mutualisation permet de repartir les couts entre plusieurs collectivites tout en beneficiant d’un professionnel qualifie et certifie.
Plusieurs modeles de mutualisation coexistent. Le premier consiste a confier la mission a un centre de gestion departemental qui propose le service a l’ensemble des communes adherentes. Le deuxieme modele repose sur une intercommunalite qui met le DPO a disposition de ses communes membres via une convention. Le troisieme modele fait appel a un prestataire externe specialise, un DPO externalise, qui accompagne simultanement plusieurs collectivites du meme territoire.
Les avantages concrets de la mutualisation
La mutualisation offre d’abord un avantage financier evident. Le cout annuel d’un DPO mutualise se repartit entre toutes les collectivites participantes, ce qui le rend accessible meme aux plus petites communes. A titre d’exemple, une commune de 2 000 habitants peut beneficier d’un accompagnement professionnel pour quelques milliers d’euros par an.
Au-dela du cout, la mutualisation garantit une coherence territoriale dans les pratiques de conformite. Le DPO mutualise connait les problematiques communes a l’ensemble des collectivites du territoire : videoprotection, inscriptions scolaires, gestion des cimetieres, urbanisme, aide sociale. Il peut elaborer des modeles de registre, des mentions d’information et des procedures types reutilisables par chaque entite.
La mutualisation facilite egalement le partage d’experiences et la veille reglementaire. Lorsqu’une collectivite du groupement rencontre une difficulte nouvelle, la solution beneficie a l’ensemble du reseau.
Les obligations du DPO mutualise
Le DPO mutualise conserve les memes missions que tout delegue a la protection des donnees. Il informe et conseille chaque collectivite, controle le respect de la reglementation, coopere avec la CNIL et fait office de point de contact pour les personnes concernees.
Il doit etre en mesure de consacrer un temps suffisant a chaque collectivite. La CNIL recommande de formaliser le nombre de jours d’intervention par an et par collectivite dans une convention ou un contrat. Ce document precise les modalites de saisine, les delais de reponse, les livrables attendus et les conditions de renouvellement.
Le DPO mutualise doit eviter tout conflit d’interets. Il ne peut pas etre simultanement directeur general des services ou responsable informatique de l’une des collectivites qu’il accompagne. Son independance fonctionnelle est garantie par le RGPD et doit etre respectee par chaque entite signataire.
Organiser la gouvernance de la mutualisation
La reussite d’une mutualisation repose sur une gouvernance claire. Chaque collectivite designe un referent interne charge de relayer les demandes aupres du DPO et de coordonner les actions de mise en conformite en interne. Ce referent est generalement le directeur general des services ou le responsable informatique.
Un comite de pilotage reunissant les referents et le DPO mutualise peut se reunir une ou deux fois par an pour dresser le bilan des actions menees, identifier les priorites de l’annee suivante et partager les retours d’experience. Ce comite renforce la dynamique collective et maintient la mobilisation des equipes.
La convention de mutualisation doit egalement prevoir les modalites de gestion des violations de donnees. Le DPO mutualise doit pouvoir intervenir rapidement aupres de la collectivite concernee pour evaluer la gravite de l’incident, accompagner la notification a la CNIL dans le delai de 72 heures et aider a la communication aupres des personnes touchees.
Les outils au service du DPO mutualise
Pour gerer efficacement plusieurs collectivites, le DPO mutualise s’appuie sur des outils dedies. Un logiciel de registre des traitements multi-entites permet de centraliser les fiches de traitement de chaque collectivite tout en conservant une vision consolidee. Des modeles de documents types, mentions d’information, formulaires d’exercice des droits et procedures de violation, permettent d’harmoniser les pratiques.
Un espace collaboratif securise facilite les echanges entre le DPO et les referents. Les demandes sont tracees, les reponses archivees et les delais de traitement mesures. Cette tracabilite constitue un element de preuve en cas de controle de la CNIL.
Les etapes pour mettre en place une mutualisation
La premiere etape consiste a identifier les collectivites interessees sur le territoire. Le centre de gestion departemental, l’association des maires ou la prefecture peuvent jouer un role de facilitateur. Une reunion d’information permet de presenter les enjeux, les modalites et les couts.
La deuxieme etape porte sur le choix du modele de mutualisation et la redaction de la convention. Celle-ci doit preciser l’objet, la duree, le nombre de jours d’intervention, la repartition des couts, les livrables, les modalites de resiliation et les clauses de confidentialite.
La troisieme etape est la designation formelle du DPO aupres de la CNIL. Chaque collectivite doit effectuer sa propre declaration sur le site de la CNIL en indiquant les coordonnees du DPO mutualise. Cette formalite est obligatoire et constitue une preuve de conformite.
Les pieges a eviter dans la mutualisation
Le premier piege consiste a considerer la mutualisation comme un simple transfert de responsabilite. Le DPO mutualise conseille et accompagne, mais chaque collectivite reste responsable de traitement pour ses propres traitements. Le maire ou le president de l’intercommunalite conserve la responsabilite de la conformite de sa collectivite.
Le deuxieme piege est de sous-dimensionner le temps d’intervention du DPO. Une commune qui ne prevoit que deux jours par an ne pourra pas mener a bien les actions essentielles : tenue du registre, reponse aux demandes de droits, sensibilisation des agents, accompagnement des projets. Un minimum de cinq a dix jours par an est recommande selon la taille de la collectivite.
Le troisieme piege concerne l’absence de suivi. La designation du DPO ne constitue que le point de depart de la demarche. Sans plan d’action annuel, sans indicateurs de suivi et sans implication de la direction, la conformite reste un voeu pieux.
Focus RGPD : la formation des agents territoriaux
La mutualisation du DPO s’accompagne necessairement d’un volet formation. Les agents territoriaux manipulent quotidiennement des donnees personnelles dans l’exercice de leurs missions. Chaque collectivite doit organiser des sessions de sensibilisation adaptees aux metiers concernes : accueil, etat civil, urbanisme, affaires scolaires, police municipale, action sociale.
Le DPO mutualise peut proposer des formations mutualisees, regroupant les agents de plusieurs collectivites, pour optimiser les couts et favoriser les echanges de bonnes pratiques entre pairs.
Article redige par Laurent de Cavel, DPO certifie.
