Blog Données personnelles
La CNIL met en demeure 22 communes de désigner un délégué à la protection des données
Estimant que de nombreuses communes n’avaient pas satisfait à l’obligation de désigner un délégué à la protection des données, la CNIL, par une décision du 25 avril dernier, met en demeure vingt-deux communes de plus de 20 000 habitants de procéder à ladite désignation sous quatre mois.
Par une délibération du 5 mai 2022, la Commission a pris la décision de rendre ces mises en demeure publiques. Ce faisant, la CNIL rappelle à toutes les collectivités territoriales, « quelle que soit leur taille », l’obligation qui leur incombe en vertu des articles 37 et suivants du règlement général sur la protection des données (« RGPD »). Elle entend également informer les personnes concernées, résidents des communes mises en demeures, sur le manque de prise en compte des thématiques relatives à la protection des données par leurs élus locaux.
Au soutien de cette mesure de publicité, la Commission note qu’elle a depuis de nombreuses années, entrepris des démarches de sensibilisation auprès des collectivités territoriales. Elle rappelle également qu’une mise en garde avait eu lieu à l’égard des communes réfractaires en juin 2021. Par ailleurs, la CNIL insiste sur l’importance que revêt la désignation du délégué à la protection des données pour ces communes, étant donné l’exercice par ces dernières de l’autorité publique mais aussi au regard du caractère sensible des missions qu’elles sont susceptibles d’accomplir au bénéfice des administrés ainsi que des fichiers détenus en conséquence.
La CNIL rappelle enfin qu’un seul délégué à la protection des données peut être désigné par plusieurs communes, ces dernières pouvant ainsi bénéficier conjointement de l’expertise d’un DPO désigné, par exemple, au sein d’un établissement public de coopération intercommunal (métropoles, communautés urbaines, communautés d’agglomération ou communautés de communes), d’un centre de gestion ou d’un opérateur public de services numériques.
Plusieurs communes auraient réagi aux mises en demeure transmises le 25 avril dernier, certaines désignations de délégués à la protection des données étant d’ores et déjà validées par la CNIL. Pour les communes restantes, en cas d’absence de mise en conformité sous quatre mois, elles s’exposent à une saisine de la formation restreinte de la CNIL pouvant mener à une sanction financière.