Des communes mises en demeure par la CNIL de désigner un délégué à la protection des données
Le
En juin 2021, la CNIL, qui avait concentré son action de contrôle sur les communes de plus de 20 000 habitants, a alerté celles qui n'avaient pas désigné de délégué à la protection des données. Près d'un an après cette mise en garde, elle a cependant constaté que certaines de ces communes n'avaient pas encore accompli cette démarche. En conséquence, la présidente de la CNIL les a mises en demeure de procéder à cette désignation. Elles disposent désormais d'un délai de 4 mois pour se mettre en conformité en procédant à la désignation d'un délégué à la protection des données, dans les conditions fixées par le
Si les communes ne se conforment pas à la mise en demeure, la présidente pourra saisir la formation restreinte - organe de la CNIL chargé de prononcer des sanctions - qui pourra décider d'une amende et la rendre également publique.
Dans son communiqué, la CNIL précise que, depuis l'envoi de ces 22 mises en demeure, une commune a désigné un DPO,clôturant ainsi la procédure la concernant, et deux autres sont en passe de le faire.
La CNIL rappelle le rôle du DPO ainsi que l'importance de ses missions. Le délégué peut être un agent interne ou un acteur externe et mutualisé entre plusieurs communes (par ex. au sein EPCI, d'un opérateur public de services numériques (OPSN), ou d'un centre de gestion (CDG), offrant notamment un pilotage transversal de la conformité entre organismes rencontrant les mêmes enjeux et susceptibles de bénéficier de solutions partagées.
Pour aller plus loin, v. par ex., F. Mattatia, La mise en conformité