Mise en demeure de 22 communes n’ayant pas désigné de DPO

La Cnil vient de mettre en demeure publiquement 22 communes pour ne pas avoir désigné un délégué à la protection des données (DPO pour « data protection officer » en anglais).

Les communes concernées ont l’obligation d’en désigner dans un délai de quatre mois sous peine de sanctions. (RGPD Article 37, Désignation du délégué à la protection des données).

Certaines de ces 22 communes se sont déjà mises en conformité mettant ainsi fin à l’action de la Cnil.

L’obligation selon le RGPD de désigner un DPO

L’article 37 du Règlement général sur la protection des données rend obligatoire la désignation d’un DPO dans certains cas. C’est notamment le cas des autorités publiques et des organismes publics effectuant des traitements de données à caractère personnel.

Par conséquent, chaque collectivité territoriale (régions, départements et communes) est tenue de procéder à la désignation d’un DPO.

Déjà en juin 2021, la Cnil avait averti les communes de plus de 20000 habitants qui ne l’avaient pas encore fait.

La mise en demeure publique de 22 communes par la Cnil

Malgré son avertissement, presque un an plus tard, certaines communes n’avaient toujours pas désigné leur DPO. C’est pourquoi, la Cnil les a ainsi mis en demeure de désigner un DPO sous 4 mois (1).

Le caractère public de cette mise en demeure est lié à l’importance des fonctions du DPO et à la particulière sensibilité des données. En effet, Le DPO constitue un véritable chef d’orchestre de la conformité des communes.

Il est important de préciser que, dans le cas où les 22 communes concernées ne procédaient pas à cette désignation, la présidente de la Cnil pourrait saisir la formation restreinte pour les sanctionner.

L’importance du DPO

Le DPO remplit des fonctions importantes au sein des collectivités territoriales et a un rôle essentiel dans la mise en conformité de ces dernières au RGPD et dans le maintien de cette conformité continue.

Le règlement européen (Article 39, Missions du délégué à la protection des données) prévoit que le DPO est tenu de :

• informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés traitant des données à caractère personnel sur les obligations qui leur incombent en vertu du règlement et des autres dispositions de l’Union ou de l’État membre concerné en matière de protection des données ;
• contrôler la conformité du règlement aux règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel (répartition des responsabilités, formation du personnel participant aux traitements, audits) ;
• dispenser des conseils, lorsque cela est demandé, en ce qui concerne l’analyse d’impact et vérifier l’exécution des tâches;
• coopérer avec l’autorité de contrôle;
• faire office de point de contact pour l’autorité de contrôle sur les questions liées au traitement de données personnelles.

Interlocuteur privilégié en matière de protection des données personnelle; il joue un rôle central entre la collectivité territoriale, les agents, les administrés et la Cnil.

La fonction du DPO

Pour bien remplir cette fonction exigeante, le DPO doit disposer de bonnes compétences juridiques, techniques et également organisationnelles. Cette fonction exige une expertise particulière et une expérience antérieure en matière de protection des données personnelles (2).

La fonction du DPO peut être attribuée en interne mais également être externalisée pour le cas où la collectivité territoriale ne dispose pas de ressources suffisantes ou des compétences nécessaires en son sein (RGPD Article 38, Fonction du délégué à la protection des données).

Le RGPD permet également une mutualisation des fonctions entre plusieurs collectivités territoriales.

Une attention particulière doit être portée au fait que le DPO dispose bien des moyens et des ressources suffisantes pour mener à bien sa mission (article 38.3 du RGPD).

La désignation d’un délégué peut se faire via un formulaire en ligne.

Anne Renard,
Amélie Reilhac, étudiante en droit, double licence en droit à l’Université Panthéon-Assas et en informatique à Sorbonne Université
Lexing Informatique et libertés Secteur public

Notes :

(1) Décision de publicité des mises en demeure, Délibération MEDP-2022-001 du 5 mai 2022,
(2) Anne Renard, « Les enseignements de la décision de la CNPD sur la fonction de DPO », 26-11-2021.