accordion-iconalert-iconarrow-leftarrowarticleShowedbacktotopCreated with Sketch. bookmarkcall-iconcheckchecked-iconclockclose-grcloseconnexion-iconfb-col fb-footer-iconfb-iconfb feedMark__icon--radiofeedMark__icon--starPage 1Created with Avocode.filterAccordion-arrowgoo-col headerBtn__icon--connecthomeinfo-blueinfo insta-1 instalank2IconCreated with Avocode.lglasslink-2linklink_biglinkedin-footer-iconlinkedin-iconlinkedin Svg Vector Icons : http://www.onlinewebfonts.com/icon lock-bluelockmail-bluemail-iconmailnot_validoffpagenavi-next-iconpdf-download-iconplus print-iconreadLaterFlagrelatedshare-icontagsLink-icontop-pagetw-col tw-footer-icontw-icontwitter unk-col user-blueuseruserName__icon--usernamevalidyoutube-footer-iconyoutube Svg Vector Icons : http://www.onlinewebfonts.com/icon
Offert

Des communes mises en demeure par la CNIL de désigner un délégué à la protection des données

AAI
CNIL, communiqué, 31 mai 2022
[01.06.2022]

Le RGPD rend obligatoire la désignation d'un délégué à la protection des données (ou « DPO » pour data protection officer) dans certains cas, notamment lorsqu'un traitement de données personnelles est effectué par une autorité publique ou un organisme public (RGPD, art. 37). Cette obligation concerne donc toutes les collectivités territoriales, quelle que soit leur taille. Par délibération du 5 mai 2022, la CNIL a décidé de rendre publiques les mises en demeure prises le 25 avril dernier à l'encontre de 22 communes récalcitrantes.

En juin 2021, la CNIL, qui avait concentré son action de contrôle sur les communes de plus de 20 000 habitants, a alerté celles qui n'avaient pas désigné de délégué à la protection des données. Près d'un an après cette mise en garde, elle a cependant constaté que certaines de ces communes n'avaient pas encore accompli cette démarche. En conséquence, la présidente de la CNIL les a mises en demeure de procéder à cette désignation. Elles disposent désormais d'un délai de 4 mois pour se mettre en conformité en procédant à la désignation d'un délégué à la protection des données, dans les conditions fixées par le RGPD (expertise, indépendance, moyens suffisants, etc.).

Si les communes ne se conforment pas à la mise en demeure, la présidente pourra saisir la formation restreinte - organe de la CNIL chargé de prononcer des sanctions - qui pourra décider d'une amende et la rendre également publique.

Dans son communiqué, la CNIL précise que, depuis l'envoi de ces 22 mises en demeure, une commune a désigné un DPO,clôturant ainsi la procédure la concernant, et deux autres sont en passe de le faire.

La CNIL rappelle le rôle du DPO ainsi que l'importance de ses missions. Le délégué peut être un agent interne ou un acteur externe et mutualisé entre plusieurs communes (par ex. au sein EPCI, d'un opérateur public de services numériques (OPSN), ou d'un centre de gestion (CDG), offrant notamment un pilotage transversal de la conformité entre organismes rencontrant les mêmes enjeux et susceptibles de bénéficier de solutions partagées.
 

Pour aller plus loin, v. par ex., F. Mattatia, La mise en conformité RGPD des traitements de ressources humaines : JCP A 2020, 2210 ; RGPD : un guide CNIL pour les collectivités territoriales : JCP A 2019, act. 598 ; L'ordonnance du 12 décembre 2018 et la nouvelle loi Informatique et libertés : JCP A 2019, 2047.