Non, en tant que responsable de traitement, le maire d’une commune ne peut être à la fois juge et partie, par conséquent, il ne peut pas être désigné comme délégué à la protection des données (DPD). Il en va de même pour tout membre exécutif d’une collectivité. Selon l’article 38 du règlement général sur la protection des données (RGPD), le délégué doit bénéficier d’une certaine indépendance vis-à-vis du responsable de traitement, et ne pas se trouver en situation de conflit d’intérêts dans l’exercice de sa mission. Si le DPD est autorisé à exercer d’autres fonctions au sein de l’organisme, il ne peut en revanche exercer une fonction qui l’amènerait à déterminer les finalités et moyens du traitement de données. Le DPD peut être désigné au sein de la collectivité parmi les membres du personnel du responsable de traitement. Il peut également être une personne extérieure désignée sur la base d’un contrat de service. Enfin, le RGPD et la loi du 20 juin 2018 relative à la protection des données personnelles permettent à plusieurs autorités publiques de mutualiser la désignation d’un seul délégué sur la base d’une convention ou d’un service unifié.
Le délégué à la protection des données (DPD) doit bénéficier d’une certaine indépendance et ne pas se trouver en situation de conflit d’intérêts dans l’exercice de sa mission
En tant que responsable de traitement, le maire d’une commune ne peut pas être désigné comme délégué à la protection des données (DPD). Ces deux entités sont par définition distinctes, le responsable du traitement devant désigner le DPD, et les rôles qui leur sont attribués par le règlement général sur la protection des données (RGPD) étant différents. Il résulte notamment de l’article 38 du RGPD que le délégué doit bénéficier d’une certaine indépendance vis-à-vis du responsable de traitement, et ne pas se trouver en situation de conflit d’intérêts dans l’exercice de sa mission. Comme l’indiquent les autorités européennes de protection des données dans le document « Lignes directrices concernant les délégués à la protection des données » (WP243 rev. 01, 5 avril 2017, page 19) « l’absence de conflit d’intérêts est étroitement liée à l’obligation d’agir en toute indépendance. Bien que les DPD soient autorisés à exercer d’autres fonctions, un DPD ne peut se voir confier d’autres missions et tâches qu’à condition que celles-ci ne donnent pas lieu à un conflit d’intérêts. Cela signifie en particulier que le DPD ne peut exercer au sein de l’organisme une fonction qui l’amène à déterminer les finalités et les moyens du traitement de données à caractère personnel.
Le DPD peut être désigné au sein de la collectivité ou être une personne extérieure exerçant ses missions sur la base d’un contrat de service
En raison de la structure organisationnelle spécifique de chaque organisme, cet aspect doit être étudié au cas par cas. » Le DPD n’est pas nécessairement une personne extérieure à la collectivité. Le (6) de l’article 37 du RGPD dispose en effet que : « Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service ». Le maire peut ainsi désigner l’un de ses agents dès lors qu’il présente les compétences requises et qu’il bénéficie d’une indépendance suffisante pour l’exercice de sa mission. Le maire peut toutefois également désigner une personne extérieure, sur la base d’un contrat de service, dès lors que cette dernière présente les garanties précédemment évoquées.
La désignation du DPD peut être mutualisée entre plusieurs collectivités
Enfin, le (3) de l’article 37 du RGPD permet à plusieurs autorités publiques de désigner un seul délégué, compte tenu de leur structure organisationnelle et de leur taille. À cet égard, l’article 31 de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles dispose que : « Sans préjudice du dernier alinéa de l’article L. 5111-1 du code général des collectivités territoriales, peuvent être conclues entre les collectivités territoriales et leurs groupements des conventions ayant pour objet la réalisation de prestations de service liées au traitement de données à caractère personnel. Les collectivités territoriales et leurs groupements peuvent se doter d’un service unifié ayant pour objet d’assumer en commun les charges et obligations liées au traitement de données à caractère personnel. »
– Le DPD ne peut être à la fois juge et partie. Il ne peut donc être amené à déterminer les finalités et les moyens d’un traitement. Ce qui empêche un maire d’une commune ou un président d’EPCI d’être désigné comme délégué à la protection des données.
– Le DPD doit bénéficier d’une certaine indépendance dans l’exercice de ses missions et ne pas se trouver en situation de conflit d’intérêts.
– Il peut être désigné en interne ou en externe sur la base d’un contrat de service (consultant ou centre de gestion).
– Il peut enfin être mutualisé entre plusieurs collectivités sur la base d’une convention de prestation de service liée à la protection des données personnelles ou via la création d’un service unifié.
