Maire-info
Le quotidien d’information des élus locaux

Édition du mercredi 1er juin 2022
Numérique

22 communes mises en demeure de nommer un délégué à la protection des données

La Commission nationale de l'informatique et des libertés (Cnil) exige que 22 communes désignent un délégué à la protection des données (DPD), obligatoire pour toutes les collectivités locales.

Par Lucile Bonnin

Selon une étude réalisée par l’Agence nationale pour la formation professionnelle des adultes (Afpa), on recense en 2021 28 810 délégués à la protection des données (DPD) contre 21 000 en 2018. Si cet effectif connaît une augmentation indéniable, certaines communes en France n’ont pas encore désigné leur DPD. 

C’est pourtant une obligation qui a été créée par le règlement général sur la protection des données (RGPD) en vigueur depuis mai 2018. Pour rappel, cette obligation est valable dans le cas où « un traitement de données personnelles est effectué par une autorité publique ou un organisme public (article 37 du RGPD) » . Ainsi, toutes les collectivités territoriales sont concernées, et ce quelle que soit leur taille. 

À la fin du mois d’avril, la Commission nationale de l'informatique et des libertés (Cnil), chargée du contrôle de la bonne application du règlement, a identifié 22 communes qui n’ont pas désigné de DPD. Dans un communiqué de presse publié hier, la Cnil rappelle qu’en juin 2021 elle avait « concentré son action de contrôle sur les communes de plus de 20 000 habitants, et alerté celles qui n’avaient pas désigné de délégué à la protection des données. Près d'un an après cette mise en garde, elle a cependant constaté que certaines de ces communes n’avaient pas encore accompli cette démarche. En conséquence, la présidente de la Cnil les a mises en demeure de procéder à cette désignation. » 

Un avertissement public

 Malgré plusieurs rappels à l’ordre, ces communes n’ont pas désigné de DPD. Conséquence : la Cnil a procédé pour chacune d'entre elles à une mise en demeure rendue publique, qui donne aux communes un délai de 4 mois pour se mettre en conformité.

« Si les communes ne se conforment pas à la mise en demeure, la présidente pourra saisir la formation restreinte - organe de la Cnil chargé de prononcer des sanctions - qui pourra décider d’une amende et la rendre également publique » , est-il précisé dans le communiqué. 

Une démarche qui provoque d’ores et déjà la réaction de certaines communes concernées dont une qui a désigné un DPD à la suite de la mise en demeure et deux autres qui sont en cours de recrutement. 

Le rôle central du DPD 

Cette publicité des décisions est aussi l’occasion pour la Cnil de rappeler l’importance de ce délégué à la protection des données qui «  joue un rôle essentiel dans la conformité des traitements de données mis en œuvre par les autorités publiques. » 

C’est un expert de la donnée qui est « l'interlocuteur privilégié des agents et des administrés sur l'ensemble des sujets relatifs à la protection des données » , à la fois « en interne »  mais aussi « à l'égard des parties prenantes ».

La Cnil rappelle à cette occasion que, « dans le cas des collectivités locales, le délégué peut être un agent interne ou un acteur externe et mutualisé entre plusieurs communes (par exemple au sein d’un établissement public de coopération intercommunale (EPCI), d’un opérateur public de services numériques (OPSN), ou d’un centre de gestion (CDG), offrant notamment un pilotage transversal de la conformité entre organismes rencontrant les mêmes enjeux et susceptibles de bénéficier de solutions partagées. » 

Pour ce faire, un formulaire est accessible en ligne pour acter cette désignation sur le site de la Cnil qui ne manque pas de rappeler que cette étape est indispensable au parcours des collectivités vers la mise en conformité au RGPD. 

Des ressources dédiées aux collectivités locales sont aussi en consultation libre sur le site de la Cnil qui, par ce biais, « accompagne au mieux les délégués à la protection des données dans leurs missions au quotidien »  et sensibilise les élus et agents aux enjeux de la protection des données. 

Suivez Maire info sur Twitter : @Maireinfo2