Secteur public

La mise en place du RGPD dans le secteur public et après ?

22 mai 2018
Le RGPD dans le secteur public

Responsabilisation et sanction : un changement à ne pas négliger

Le DPO[1] : un recrutement obligatoire, à la base d’une refonte organisationnelle

Compte tenu de cette nouvelle charge et de son importance, un responsable devra être nommé pour mettre en œuvre ce travail et son suivi dans le temps : le DPO (ou DPD), c’est-à-dire un délégué chargé de la protection des données personnelles. Peu importe sa taille, chaque organisme public a l’obligation d’en recruter un. Ce dernier pourra être rattaché à une seule structure ou être mutualisé entre plusieurs structures, pour réduire les coûts dans une volonté de rationalisation des deniers publics. Le DPO sera chargé de veiller au respect des nouvelles règles établies par le RGPD, d’informer et de conseiller le responsable de traitement dans sa structure mais aussi, le cas échéant, un sous-traitant et ses employés. De plus, il sera le lien entre sa ou ses structures de rattachement et la CNIL[2]. Le DPO récupère en réalité une grande partie des missions du Correspondant en Informatique et Libertés (CIL), un profil peu répandu et dont il n’existe pas encore de cursus de formation spécifique, ajoutant ainsi une certaine complexité à la fonction. Toutefois la création de cette fonction n’est que la partie émergée de l’iceberg de la refonte des organisationset des processusque nécessite le RGPD.

Le principe de « privacy by design » : une nouvelle organisation des processus à adopter

La mise en conformité avec le RGPD des outils et processus existants n’est en réalité que la première obligation que ce dernier implique. Les personnes publiques, une fois le traitement des données personnelles sécurisé, devront s’interroger à chaque nouveau processus qu’elles souhaitent mettre en œuvre. Ces activités « post mise en conformité » ne pourront sûrement pas toutes être assumées par le DPO qui devra se faire assister en interne ou en externe par des experts. La première étape – si cela n’a pas été engagé lors de la phase de mise en conformité – sera de sensibiliser les agents des structures publiques. La finalité sera ensuite, pour la création de toutes nouvelles procédures ou tout nouvel outil, de s’assurer en amont de sa conformité avec les principes du RGPD : c’est le principe de « privacy by design ». Ce travail devra notamment s’opérer dans la conception ou l’optimisation des outils SIRH particulièrement concerné par la gestion des données personnelles des agents rattachés aux structures publiques. Dans ce domaine, de nombreux principes ont été définis et devront être pris en compte comme le droit à la portabilité des données ou le droit à l’oubli. L’échéance de mise en conformité du 25 mai 2018 n’est donc qu’une étape du RGPD et de la révolution des données pour le secteur public. Les regards sont désormais tournés vers une autre échéance imminente pour la fonction publique : l’obligation légale d’open data pour octobre 2018. 

Voir aussi
Secteur public

Réforme de la PSC : quels défis pour les acteurs publics ?

 25 novembre 2024

La mise en place de la protection sociale complémentaire (PSC), longtemps réservé au secteur privé,  constitue un […]

> Lire la suite
Secteur public

Episode 4 – L’innovation publique au cœur des JO

 26 juillet 2024

Que nous soyons familiers ou non avec le concept d’innovation, celui-ci peut nous apparaître abstrait. Ainsi, pouvons-nous […]

> Lire la suite
Secteur public

Episode 3- Les JO de Paris seront-ils les plus verts de l’histoire ?

 16 juillet 2024

Constructions durables, énergies renouvelables, mobilités douces… Les Jeux Olympiques et Paralympiques de Paris se veulent exemplaires en […]

> Lire la suite