Le délégué à la protection des données (DPD) doit être associé à toutes les questions relatives à la protection des données à caractère personnel. A cette fin, et dans un cadre où un agent du service public est associé au traitement de données personnelles, il doit apporter son concours aux missions du DPD et fournir sans réserve ni restriction les éléments nécessaires à l’accomplissement de sa mission. 

Le DPD ne reçoit aucune instruction en ce qui concerne l'exercice de ses missions. Aucun rapport hiérarchique, aucune fonction élective dans une instance ou aucune sujétion liée au corps/grade d’appartenance de l’intéresser ne peut interférer avec sa mission.

Il doit en outre disposer des ressources nécessaires pour exercer ses missions. Il doit pouvoir accéder aux données à caractère personnel et aux opérations de traitement afférents.

Le DPD est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l'exercice de ses missions. Tout agent associé au traitement de données personnelles doit pouvoir prendre contact avec le délégué à la protection des données au sujet des questions relatives au traitement qui est mené.

Le délégué à la protection des données a pour missions :

• d’informer et conseiller tout agent associé au traitement de données personnelles, et de manière générale tout membre de la communauté universitaire, sur les obligations qui lui incombent en vertu du règlement de protection des données personnelles (RGPD) et d’autres dispositions en matière de protection de données à caractère personnel.
  • Bien que la confidentialité des données personnelles se confond très largement avec leur sécurité, le RGPD invite à sensibiliser la communauté au caractère intrusif de certains processus manipulant les données personnelles et à la nécessité de les cadrer et de les contrôler. Le RGPD appelle une acculturation à la donnée ; s’inscrit dans les missions du DPD de contribuer à cette acculturation, par tout moyen utile, en lien avec les acteurs et activités de l’établissement.
• de contrôler le respect du règlement, d'autres dispositions du droit de l'Union ou du droit des États membres en matière de protection des données et des règles internes à notre établissement ou du sous-traitant en matière de protection des données à caractère personnel. A cette fin :
  • Il doit s’assurer que des mesures sont prises pour démontrer que les traitements effectués par les agents associés au traitement de données personnelles sont conformes au RGPD, et si besoin, réexaminer et actualiser ces mesures. L’élaboration d’une cartographie des traitements participe de ce volet de la mission de contrôle.
  • Il est systématiquement associé à tous les projets afin de détecter, avant toute mise en œuvre, les incidences sur la protection des données personnelles.
  • Il pourra apporter son conseil en ce qui concerne l'analyse d'impact relative à la protection des données et vérifier l'exécution de celle-ci en vertu de l'article 35 du RGPD.
  • Il pourra auditer de manière indépendante toute instance ou tout membre de notre communauté agissant en qualité d’agent associé au traitement de données personnelles.
  • Si besoin, il rapportera des manquements constatés, et apportera son conseil sur les mesures à prendre pour y remédier. Il pourra solliciter ou alerter la présidence sur la nécessité d’arbitrer certaines situations.
• d’agir comme point de contact auprès de l’autorité de contrôle, la CNIL, sur les questions relatives au traitement de données à caractère personnel.
• de piloter la production et la mise en œuvre de politiques, de lignes directrices, de procédures et de règles de contrôle pour une protection efficace des données personnelles et de la vie privée des personnes concernées. Cette mission s’appuiera sur une gouvernance rassemblant un comité stratégique et un groupe de travail opérationnel examinant les questions relatives au règlement de protection des données personnelles.