RGPD : la CNIL a mis en demeure 22 communes pour qu’elles désignent un délégué à la protection des données

Afin d’être en conformité avec le RGPD, un délégué à la protection des données (DPO) est nécessaire, même dans les collectivités locales. Face à ce manquement, la CNIL a mis en demeure 22 communes pour qu’elles en désignent un sous quatre mois.

Tout le monde doit être en conformité avec le règlement général sur la protection des données (RGPD), même les collectivités locales. Et parmi les règles, celle concernant la désignation d’un DPO « notamment lorsqu’un traitement de données personnelles est effectué par une autorité publique ou un organisme public », rappelle la CNIL, la Commission nationale de l’informatique et des libertés.

Cela concerne donc toutes les collectivités locales, même les plus petites. Cependant la CNIL avait concentré son action sur les communes de plus de 20 000 habitants, dans une action menée en juin 2021. Le gendarme des libertés avait alors mis en garde les communes qui n’avaient pas de DPO. Près d’un an après, certaines communes n’ont pas accompli cette démarche et la CNIL les met en demeure de procéder à cette désignation dans un délai de quatre mois.

Des mises en demeure publiques

Les communes concernées sont Achères (78), Auch (32), Bastia (2B), Beaune (21), Bezons (95), Bruay-la-Buissière (62), Étampes (91), Gagny (93), Koungou (976), Kourou (973), Le Gosier (971), Le Robert (972), Montmorency (95), Montfermeil (93), Petit-bourg (971), Pierrefitte-sur-Seine (93), Saint-André (974), Saint-Benoît (974), Saint-Dizier (52), Sotteville-lès-Rouen (76), Villeneuve-Saint-Georges (94) et Vitry-sur-Seine (94).

Les mises en demeure ont été envoyées le 25 avril 2022 aux communes concernées mais la CNIL a rendu publics les documents ce 31 mai. Entre temps, Villeneuve-Saint-Georges s’est mis en conformité et la CNIL a abandonné la procédure. Auch et Bruay-la-Buissière ont également entamé la procédure.

Le rôle du délégué à la protection des données

Pour se mettre en conformité, ces communes devront mettre les moyens suffisants pour le poste et veiller à l’expertise et à l’indépendance du DPO. Pour rappel, ce dernier est l’interlocuteur des agents mais aussi des administrés concernant l’ensemble des sujets relatifs à la protection des données dans la collectivité territoriale.

Son rôle est donc double : avec la formation des agents pour qu’ils connaissent les bons gestes RGPD comme lors d’une attaque informatique, lors de la conception d’un nouveau projet numérique, la mise en pratique du règlement… mais aussi en veillant à ce que les administrés puissent savoir comment leurs données sont utilisées et également répondre à la CNIL.

A savoir qu’un DPO peut être un agent interne qui sera formé sur ce point, ou un employé externe et qui pourrait être mutualisé entre plusieurs communes, pour les plus petites d’entre elles.