La CNIL met en demeure vingt-deux communes de désigner un délégué à la protection des données

Le RGPD rend obligatoire la désignation d’un délégué à la protection des données (ou « DPO » pour data protection officer en anglais) dans certains cas, notamment lorsqu’un traitement de données personnelles est effectué par une autorité publique ou un organisme public (article 37 du RGPD). Cette obligation concerne donc toutes les collectivités territoriales, quelle que soit leur taille.

En juin 2021, la CNIL, qui avait concentré son action de contrôle sur les communes de plus de 20 000 habitants, a alerté celles qui n’avaient pas désigné de délégué à la protection des données. Près d'un an après cette mise en garde, elle a cependant constaté que certaines de ces communes n’avaient pas encore accompli cette démarche. En conséquence, la présidente de la CNIL les a mises en demeure de procéder à cette désignation.

Le rôle central du délégué à la protection des données

Le délégué à la protection des données joue un rôle essentiel dans la conformité des traitements de données mis en œuvre par les autorités publiques. Il constitue l’interlocuteur privilégié des agents et des administrés sur l’ensemble des sujets relatifs à la protection des données :

• en interne, il répond à toute question en matière de protection des données et veille à la bonne connaissance des « premiers gestes » RGPD (en cas d’attaque informatique, de conception d’un nouveau projet numérique, etc.) ;
• à l’égard des parties prenantes, il s’assure de l’organisation du traitement des demandes d’exercice de droits et des éventuelles demandes de précisions de la CNIL en cas de vérification.

Ces multiples missions illustrent l’importance de cette fonction dans la mise en conformité des traitements de données réalisés au sein de l’organisme auprès duquel il exerce ses fonctions.

Dans le cas des collectivités locales, le délégué peut être un agent interne ou un acteur externe et mutualisé entre plusieurs communes (par ex. au sein d’un établissement public de coopération intercommunale (EPCI), d’un opérateur public de services numériques (OPSN), ou d’un centre de gestion (CDG), offrant notamment un pilotage transversal de la conformité entre organismes rencontrant les mêmes enjeux et susceptibles de bénéficier de solutions partagées.

Cette désignation, accessible via un formulaire en ligne dédié, représente une étape dans la mise en conformité des collectivités au RGPD. Afin d’accompagner au mieux les délégués à la protection des données dans leurs missions au quotidien, la CNIL met également à disposition des ressources dédiées aux collectivités locales.

22 communes mises publiquement en demeure

La présidente de la CNIL a décidé de mettre en demeure 22 communes, en France métropolitaine et en Outre-mer, de désigner un délégué à la protection des données. Elles disposent d'un délai de 4 mois pour se mettre en conformité en procédant à la désignation d’un délégué à la protection des données, dans les conditions fixées par le RGPD (expertise, indépendance, moyens suffisants, etc.).

Les communes concernées sont, par ordre alphabétique : Achères (78), Auch (32), Bastia (2B), Beaune (21), Bezons (95), Bruay-la-Buissière (62), Étampes (91), Gagny (93), Koungou (976), Kourou (973), Le Gosier (971), Le Robert (972), Montmorency (95), Montfermeil (93), Petit-bourg (971), Pierrefitte-sur-Seine (93), Saint-André (974), Saint-Benoît (974), Saint-Dizier (52), Sotteville-lès-Rouen (76), Villeneuve-Saint-Georges (94) et Vitry-sur-Seine (94).

Compte tenu de la sensibilité des missions des communes et des fichiers associés, de l’importance des fonctions du délégué à la protection des données dans la mise en œuvre des traitements par des acteurs publics et de la nécessité d’informer les administrés, la CNIL a décidé de rendre ces mises en demeure publiques.

Si les communes ne se conforment pas à la mise en demeure, la présidente pourra saisir la formation restreinte - organe de la CNIL chargé de prononcer des sanctions - qui pourra décider d’une amende et la rendre également publique.