La CNIL demande à 22 communes françaises de désigner un délégué à la protection des données (DPO), obligatoire pour toutes les collectivités locales.
De la plus petite à la plus grande, chaque collectivité territoriale française se voit imposer l'obligation de désigner un DPO. Elle s'explique par l'article 37 du Règlement général sur la protection des données, qui l'impose dès lors qu'un traitement d'informations personnelles est effectué par une autorité ou un organisme public. La CNIL vient de publiquement mettre en demeure 22 communes qui ne la respectent pas.
Les communes mises en demeure ont 4 mois pour désigner un DPO
Comment en est-on arrivé là ? En juin 2021, la CNIL avait mené des contrôles dans les communes de plus de 20 000 habitants, alertant alors celles qui n'avaient pas encore désigné de délégué à la protection des données. Un simple rappel à l'ordre, à l'époque.
Sauf que le gendarme des données s'est aperçu, un peu moins d'un an après cette première mise en garde, que certaines des communes contactées n'avaient pas encore accompli cette démarche. La présidente de la CNIL a ainsi décidé de passer à l'étape suivante. Pour cela, elle a procédé pour chacune d'entre elles à une mise en demeure rendue publique, qui donne aux villes un délai de 4 mois pour se mettre en conformité.
Les communes concernées sont aussi bien issues de France métropolitaine que de nos territoires d'Outre-mer. On retrouve ainsi les villes d'Achères (78), Auch (32), Bastia (2B), Beaune (21), Bezons (95), Bruay-la-Buissière (62), Étampes (91), Gagny (93), Koungou (976), Kourou (973), Le Gosier (971), Le Robert (972), Montmorency (95), Montfermeil (93), Petit-bourg (971), Pierrefitte-sur-Seine (93), Saint-André (974), Saint-Benoît (974), Saint-Dizier (52), Sotteville-lès-Rouen (76), Villeneuve-Saint-Georges (94) et Vitry-sur-Seine (94). Notons que la commune de Villeneuve-Saint-Georges, mise en demeure, s'est depuis mise en conformité.
Un risque d'amende pour les villes épinglées
Si la CNIL insiste tant avec la désignation d'un DPO, c'est que celui-ci a son importance. Il joue en effet un rôle essentiel dans la conformité des traitements de données mises en œuvre par les collectivités et reste l'interlocuteur privilégié des agents ainsi que des citoyens.
En interne, le DPO adopte les bons réflexes vis-à-vis du RGPD, texte de référence en la matière, que ce soit en cas de cyberattaque ou de création d'un projet numérique. Concernant les demandes éventuelles des citoyens (suppression des données, etc.), il a en charge leur traitement et peut/doit solliciter la CNIL en cas de doute. Dans le cadre d'une collectivité territoriale, le DPO peut aussi bien être un agent interne à celle-ci qu'un acteur externe. Il peut, par exemple, travailler pour plusieurs communes géographiquement proches.
La CNIL, qui accorde donc un certain délai aux communes devant se mettre en conformité, prévient que celles qui ne désigneront pas leur délégué à la protection des données à temps pourront être sanctionnées par l'autorité, qui pourra aller jusqu'à leur infliger une amende.
Vol de données : il n’y en a jamais eu autant qu’aujourd’hui, selon la CNIL
Source : CNIL
