Archives

La Cnil somme 22 communes de nommer un délégué à la protection des données

Quatre ans après l’adoption du RGPD, de nombreuses collectivités ne respectent toujours pas leurs obligations. La Cnil a décidé de hausser le ton en sommant 22 communes de nommer leur délégué à la protection des données. Et si elles ne s’exécutent pas elles s’exposent à une amende.

Alors que le règlement européen sur la protection des données (RGPD) vient de fêter son quatrième anniversaire le 25 mai 2022, le gendarme de la protection des données commence à s’agacer de l’inertie de certaines collectivités à mettre en œuvre leurs nouvelles obligations. Parmi celles-ci, la désignation d’un délégué à la protection des données, colonne vertébrale de la politique de protection des données de toute organisation traitant des données personnelles.

La moitié des communes ont un DPO

La Cnil a en effet donné quatre mois à 22 communes, qui n’avaient pas répondu à un premier courrier de la commission, pour se mettre en conformité. Des communes de 20.000 habitants et plus en France métropolitaine comme en Outre-mer sur lesquelles la Cnil avait concentré son action de contrôle et qui n’avaient toujours pas désigné de DPO un an après la mise en garde de 2021, comme le montre la liste publiée par la Cnil : Achères (78), Auch (32), Bastia (2B), Beaune (21), Bezons (95), Bruay-la-Buissière (62), Étampes (91), Gagny (93), Koungou (976), Kourou (973), Le Gosier (971), Le Robert (972), Montmorency (95), Montfermeil (93), Petit-Bourg (971), Pierrefitte-sur-Seine (93), Saint-André (974), Saint-Benoît (974), Saint-Dizier (52), Sotteville-lès-Rouen (76), Villeneuve-Saint-Georges (94) et Vitry-sur-Seine (94). En décidant de rendre publique cette liste – ce qui n’était pas une obligation - la Cnil souhaite adresser un message à l’ensemble des collectivités territoriales, les communes petites et moyennes figurant parmi les mauvais élèves du RGPD. Sur la base du fichier des DPO publié en open data par la Cnil et mis à jour début mai, un peu plus 17.900 communes* ont mis en place un DPO, soit à peine plus de la moitié des communes (51%).

Des communes qui doivent être exemplaires

La commission justifie cette décision par les spécificités des collectivités territoriales. Dans sa délibération du 5 mai, elle souligne que "compte tenu de leurs missions parfois sensibles et de l’exercice de l’autorité publique, elles doivent particulièrement veiller à la protection des données à caractère personnel qui leur sont confiées". Et d’ajouter que "cette protection s’avère d’autant plus essentielle s’agissant de l’obligation de sécurité, dès lors que les systèmes d’information des acteurs publics sont la cible d’attaques informatiques récurrentes". Elle estime par ailleurs que l’absence de DPO nuit aux usagers qui ne disposent pas d’interlocuteurs pour exercer les droits que leur confère le RGPD. La Cnil précise enfin que le DPO est un "point de contact" pour les agents mettant en œuvre des traitements et pour la Cnil dans ses missions de contrôle et de conseil. La commission rappelle enfin que le DPO peut être mutualisé, à une échelle intercommunale ou départementale.

Les communes qui ne se mettraient pas en conformité dans le délai imparti de 4 mois se voient menacées de sanctions, la Cnil pouvant "décider d’une amende et la rendre également publique". Dès la mise en demeure, trois communes (Villeneuve-Saint-Georges, Auch, Bruay-la-Buissière) ont du reste annoncé leur mise en conformité.

*sur la base d’un tri sur "commune"