Désignation d’un délégué à la protection des données : bilan des mises en demeure prononcées à l’encontre de 22 communes

Le RGPD rend obligatoire la désignation d’un délégué à la protection des données dans certains cas, notamment lorsqu’un traitement de données personnelles est effectué par une autorité publique ou un organisme public (article 37 du RGPD). Cette obligation concerne donc toutes les collectivités territoriales, quelle que soit leur taille.

Le 25 avril 2022, la présidente de la CNIL a rendu publique des mises en demeure visant 22 communes qui n’avaient pas procédé à la désignation d’un délégué à la protection des données (DPO). Les communes disposaient d’un délai de 4 mois pour y remédier.

20 communes se sont mises en conformité, à savoir par ordre alphabétique : Achères (78), Auch (32), (Bastia (2B), Beaune (21), Bezons (95), Bruay-la-Buissière (62), Étampes (91), Gagny (93), Le Gosier (971), Le Robert (972), Montmorency (95), Montfermeil (93), Petit Bourg (971), Pierrefitte-sur-Seine (93), Saint-André (974), Saint-Benoît (974), Saint-Dizier (52), Sotteville-lès-Rouen (76), Villeneuve-Saint-Georges (94) et Vitry-sur-Seine (94). Une commune est en cours de désignation d’un DPO et a demandé un délai supplémentaire afin de se mettre en conformité. En revanche, une commune n’a à ce jour ni répondu à la CNIL, ni désigné de DPO via le téléservice mis à disposition sur cnil.fr.

Au vu de ces éléments, la présidente a décidé de clore les mises en demeure prononcées à l’encontre des 20 communes mentionnées ci-dessus. Pour la commune ne s’étant pas conformée à la mise en demeure, la présidente de la CNIL pourra initier une procédure afin que soient prononcées, le cas échéant, d’autres mesures correctrices telles qu’une amende ou une injonction sous astreinte.