Délégué à la protection des données, le nouveau poste au sein des CPAS

– Notre rubrique "fiche métier" dédiée aux professions de la santé et du social

Le 28 février, la Fédération des CPAS a organisé le premier événement de la « Plateforme DPD ». Une initiative qui a pour objectif central de faciliter le partage d’expériences et de pratiques entre les acteurs de terrain concernés par la mise en œuvre du RGPD en CPAS.

Dans ce cadre, la Fédération a voulu faire un point sur une nouveauté liée à cette entrée en vigueur du RGPD : l’arrivée des délégués à la protection des données au sein des CPAS. Les principaux enjeux de ce nouveau poste et les modalités concrètes de désignation seront au cœur d’un article qui sera publié dans le prochain numéro du CPAS+. En voici les grandes lignes :

Le conseiller en sécurité, c’est fini

Les CPAS sont tenus de remplacer la fonction de conseiller en sécurité de l’information par celle de délégué à la protection des données (DPD). Ce passage de flambeau peut se dérouler de deux manières différentes. Tout d’abord, l’ancien conseiller en sécurité arrête d’exercer cette fonction et poursuit ses autres missions au sein du CPAS. Là, le Conseil de l’action sociale désigne une nouvelle personne pour assumer le nouveau poste de DPD. Autre cas de figure : l’ancien conseiller en sécurité, moyennant la réussite d’un examen, endosse la nouvelle casquette de DPD.

– [A lire] : Fusion CPAS/commune : "Tous les partis se sont positionnés contre !"

Connaître le droit et le RGPD sur le bout des doigts

La personne qui endosse la nouvelle fonction de DPD a plusieurs missions à effectuer. Il lui est ainsi demandé d’informer et de conseiller le CPAS ainsi que les employés sur la façon de respecter la protection des données. Le délégué doit également contrôler le respect du RGPD mais aussi des autres réglementations en vigueur concernant la protection des données. Il est aussi tenu de coopérer avec l’autorité de contrôle. Face à ces missions, le DPD doit avoir des connaissances approfondies en droit et évidemment en RPGD.

Indépendance obligatoire !

Le délégué à la protection des données doit absolument jouir d’une liberté d’action et d’une autonomie. En effet, il ne peut recevoir aucune instruction du responsable de traitement, soit le CPAS. Véritable électron libre, il a le droit de fouiner, d’étudier en profondeur les traitements des données à caractère personnel. Il est là pour analyser ces pratiques et livrer des constats qui ne vont peut-être pas rejouir les responsables du CPAS.

– [A lire] : Le RGPD nuit à l’échange de données entre CPAS et Forem

Non-respect du RGPD : quelles conséquences ?

En cas d’infraction, le principe général veut que la responsabilité soit imputée par le CPAS en tant que personne morale de droit public. Le travailleur qui a pour mission de veiller au respect de la protection des données ou pour traiter ces dernières ne sera pas tenu responsable de la situation litigieuse. Pourquoi ? Car il agit pour le compte du CPAS. Mais attention, il existe deux exceptions !

Premièrement, un agent du CPAS peut être requalifié en tant que responsable du traitement. Cela peut, par exemple, arriver quand le travailleur a utilisé son accès aux données du Registre national non pas dans le cadre de son travail mais à des fins personnelles. Dans ce cas, on peut dire qu’il a détourné les accès du CPAS. Deuxièmement, des sanctions pénales peuvent aussi être prises à l’encontre d’un présupposé ou d’un mandataire du CPAS. Par contre, ce dernier restera, dans ce cas de figure, civilement responsable du payement de l’amende pénale.

Retrouvez l’article complet sur le site de la Fédération des CPAS wallons.