Le 5 mai 2022, la Présidente de la Commission nationale de l’informatique et des libertés (ci-après la « Cnil »), Marie-Laure Denis, a mis publiquement en demeure 22 communes, en France métropolitaine et en Outre-mer, de désigner un délégué à la protection des données (ci-après « DPO » pour « data protection officer » en anglais) dans un délai de quatre mois.

Ces mises en demeure sont le résultat d’une action de contrôle effectué par la Cnil au cours de l’année 2021 sur les communes de plus de 20 000 habitants qui n’avaient pas encore désigné de DPO.

Dans un bilan publié le 4 octobre 2022, la Cnil précise que certaines d’entre elles se sont mises en conformité, mettant fin à la procédure initiée.

La désignation obligatoire d’un délégué à la protection des données de toutes les collectivités locales.

Pour rappel, l’article 37 du Règlement général sur la protection des données (ci-après « RGPD ») [1], impose la désignation d’un DPO, notamment lorsqu’un traitement de données personnelles est effectué par une autorité publique ou un organisme public.

C’est particulièrement le cas pour toutes les collectivités territoriales [2] (régions, départements et communes) qui, quelle que soit leur taille, doivent désigner un DPO afin d’assurer la protection des données à caractère personnel traitées.

Cette démarche de désignation doit se faire via le téléservice en ligne, sur le site de la Cnil [3].

Le rôle essentiel du délégué à la protection des données dans une collectivité.

Le DPO joue un rôle central dans la mise en conformité des traitements de données réalisés par les organismes qu’il accompagne [4].

L’importance de cette fonction se traduit notamment par l’attribution de nombreuses missions, prévues par l’article 39 du RGPD [5].

Le DPO est donc tenu :
 d’informer et conseiller les collectivités territoriales sur les règles applicables en matière de protection des données et sur la manière de s’y conformer ;
 de contrôler le respect du règlement et du droit interne, des collectivités, en matière de protection des données (formation du personnels, vérifications et plans d’actions correctives à mener, etc.) ;
 d’avoir un rôle d’interlocuteur pour toutes les personnes concernées par les traitements de la collectivité (usagers et agents notamment) et pouvoir répondre à toutes les questions liées au traitement de leurs données à caractère personnel dont elles font l’objet et à l’exercice des droits que leur confère le RGPD ;
 de faciliter les relations entre les collectivités et la Cnil en leur permettant d’avoir accès aux documents et informations afin de mener à bien leurs missions.

Le bilan des mises en demeure prononcées à l’encontre des 22 communes.

Aux termes de l’échéance donnée, 18 des 22 communes mise en demeure se sont mises en conformité [6], permettant de clore les actions menées à leur encontre.

Concernant les quatre autres communes restantes, Koungou (976), Kourou (973), Le Gosier (971) et Auch (32), 2 sont en cours de désignation d’un DPO, tandis que les 2 dernières communes demeurent silencieuses. Elles n’ont, en effet, à ce jour, ni répondu à la Cnil, ni désigné de DPO via le téléservice de la Cnil.

Les sanctions possibles.

Si les deux communes restantes ne se conforment pas à la mises en demeure [7], la présidente de la Cnil pourra alors saisir la formation restreinte [8], organe de la Cnil chargé de prononcer des sanctions.

Une amende pourra alors être prononcée, dont le montant peut s’élever jusqu’à 10 millions d’euros, ou jusqu’à 2% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu, conformément à l’article 83.4-a) du RGPD.

Ces sanctions peuvent être elles aussi rendues publiques.

Debora Cohen, avocat au barreau de Paris, en protection des données personnelles et DPO externalisé Mail : [->debora.cohen@dcavocat.com] Site : https://www.dcavocat.com/