Les DPO, ou délégués à la protection des données, sont aujourd’hui près de 29 000 selon le dernier recensement de 2021. Si le nombre augmente d’année en année, il y a encore des communes en France sans DPO.
Pourtant, en vertu du Règlement général sur la protection des données (RGPD) qui a fêté ses quatre ans, les collectivités territoriales ont toutes l’obligation, quelle que soit leur taille, de désigner
un délégué à la protection des données. A défaut
d’avoir un DPO en interne, les communes ont toujours la possibilité de désigner un DPO mutualisé ou externe.
Dans un effort de contrôle – une tâche qui dans les faits est difficile à mettre en oeuvre auprès de la globalité des organismes publics concernés -, la Commission nationale de l’informatique et des libertés (CNIL) a annoncé publiquement ce mardi 31 mai la mise en demeure de vingt-deux communes de désigner un délégué à la protection des données.
Quatre mois pour se mettre en règle
En juin 2021, la CNIL avait alerté les communes de plus de 20 000 habitants qui n’avaient pas désigné de DPO. Cependant, la CNIL constate aujourd’hui que certaines d’entre elles n’ont toujours pas accompli cette démarche. Elle met donc en demande ces communes de procéder à une désignation.
Les 22 communes mises en demeure disposent d’un délai de 4 mois pour
se mettre en règle. Si les communes ne se conforment pas passé ce délai, alors la formation
restreinte de la CNIL pourrait décider d’une amende.
La CNIL précise que seule une commune concernée par une mise en demeure a désigné
un délégué à la protection des données. Il s’agit de
Villeneuve-Saint-Georges, dans le Val-de-Marne. Par ailleurs, les communes d’Auch (32) et
de Bruay-la-Buissière (62), également concernées par ces mises en
demeure, ont transmis leur déclaration de désignation à la CNIL,
celles-ci étant actuellement en cours d’instruction.
La CNIL profite de ces annonces pour insister sur « le rôle essentiel » d’un DPO dans « la conformité des traitements de données mis en oeuvre par les autorités publiques ». Cet expert du RGPD constitue « l’interlocuteur privilégié des agents et des administrés sur l’ensemble des sujets relatifs à la protection des données », à la fois « en interne » mais aussi « à l’égard des parties prenantes ». Le DPO s’assure notamment de l’organisation du traitement des demandes d’exercice de droits et des éventuelles demandes de précisions de la CNIL en cas de vérification.
Dans le cas des collectivités locales, ce délégué peut être « un agent interne ou acteur externe et mutualisé entre plusieurs communes) », ce qui est par exemple le cas au sein d’un établissement public de coopération intercommunale (EPCI) ou d’un opérateur public de services numériques (OPSN).
