Les DPO, ou délégués à la protection des données, sont aujourd’hui près de 29 000 selon le dernier recensement de 2021. Si leur nombre augmente d’année en année, il y a encore des communes en France sans DPO.
Pourtant, en vertu du Règlement général sur la protection des données (RGPD) qui a fêté ses quatre ans, les collectivités territoriales ont toutes l’obligation, quelle que soit leur taille, de désigner un délégué à la protection des données. A défaut d’avoir un DPO en interne, les communes ont toujours la possibilité de désigner un DPO mutualisé ou externe.
Dans un effort de contrôle – une tâche qui dans les faits est difficile à mettre en œuvre auprès de la globalité des organismes publics concernés – la Commission nationale de l’informatique et des libertés (CNIL) a annoncé publiquement ce mardi 31 mai la mise en demeure de 22 communes de désigner un délégué à la protection des données.
Quatre mois pour se mettre en règle
En juin 2021, la CNIL avait alerté les communes de plus de 20 000 habitants qui n’avaient pas désigné de DPO. Cependant, la commission constate aujourd’hui que certaines d’entre elles n’ont toujours pas accompli cette démarche. Elle met donc en demeure ces communes de procéder à une désignation.
Les 22 communes disposent d’un délai de quatre mois pour se mettre en règle. Si elles ne se conforment pas passé ce délai, alors la formation restreinte de la CNIL pourrait décider d’une amende.
La CNIL précise que seule une commune concernée par une mise en demeure a désigné un délégué à la protection des données. Il s’agit de Villeneuve-Saint-Georges, dans le Val-de-Marne. Par ailleurs, les communes d’Auch (32) et de Bruay-la-Buissière (62), également concernées par ces mises en demeure, ont transmis leur déclaration de désignation à la CNIL, celles-ci étant actuellement en cours d’instruction.
Le « rôle essentiel » du DPO
La CNIL a profité de ces annonces pour insister sur « le rôle essentiel » d’un DPO dans « la conformité des traitements de données mis en œuvre par les autorités publiques ». Cet expert du RGPD constitue « l’interlocuteur privilégié des agents et des administrés sur l’ensemble des sujets relatifs à la protection des données », à la fois « en interne » mais aussi « à l’égard des parties prenantes ».
Le DPO s’assure notamment de l’organisation du traitement des demandes d’exercice de droits et des éventuelles demandes de précisions de la CNIL en cas de vérification.
Dans le cas des collectivités locales, ce délégué peut être « un agent interne ou acteur externe et mutualisé entre plusieurs communes) », ce qui est par exemple le cas au sein d’un établissement public de coopération intercommunale (EPCI) ou d’un opérateur public de services numériques (OPSN).