Le 21 juin 2018, le sénateur Jean Louis Masson souhaiterait savoir si un maire peut être désigné comme délégué à la protection des données ou s’il est nécessaire de procéder à des désignations extérieures à la collectivité.

Le ministre de l’Intérieur lui répond, le 27 septembre 2018, qu’en tant que responsable de traitement, le maire d’une commune ne peut pas être désigné comme délégué à la protection des données (DPD). Ces deux entités sont par définition distinctes, le responsable du traitement devant désigner le DPD, et les rôles qui leur sont attribués par le règlement général sur la protection des données (RGPD) étant différents.

Il est également énoncé que le DPD doit bénéficier d’une certaine indépendance vis-à-vis du responsable de traitement et ne pas se trouver en situation de conflit d’intérêts dans l’exercice de sa mission. Ceci implique que, sans qu’il ne soit nécessairement une personne extérieure à la collectivité, le DPD ne peut exercer au sein de l’organisme concerné une fonction qui l’amène à déterminer les finalités et les moyens du traitement de données à caractère personnel.

Enfin, il est précisé que le RGPD permet à plusieurs autorités publiques, compte tenu de leur structure organisationnelle et de leur taille, de désigner un seul DPD afin d’assumer en commun les charges et obligations liées au traitement de données à caractère personnel.