Le 31 mai 2022, la CNIL a publié un communiqué de presse dans lequel elle explique qu'elle met en demeure 22 communes françaises. Celles-ci disposent désormais d'un délai de 4 mois pour désigner un délégué à la protection des données (ou DPO pour data protection officer), une obligation prévue par l'article 37 du règlement général sur la protection des données (RGPD).

Le rôle essentiel du DPO pour les communes

La nomination d'un DPO est obligatoire dans certains cas. En effet, la CNIL précise que le RGPD rend obligatoire la désignation d’un délégué à la protection des données dans certains cas, « notamment lorsqu’un traitement de données personnelles est effectué par une autorité publique ou un organisme public ». Par conséquent, cette obligation concerne toutes les collectivités territoriales françaises, quelle que soit leur taille. Initialement, la CNIL avait concentré son action de contrôle sur les communes de plus de 20 000 habitants. Aujourd'hui elle s'intéresse même à des communes de plus petite taille.

Le rôle central du délégué à la protection des données n'est pas anodin. Selon la CNIL, il est même essentiel pour assurer « la conformité des traitements de données mis en œuvre par les autorités publiques ». En réalité, il constitue l’interlocuteur privilégié des agents et des administrés sur l’ensemble des sujets relatifs à la protection des données. Les collectivités territoriales et les communes ne sont pas obligées de désigner un agent interne, elles peuvent choisir de travailler avec un acteur externe et même le mutualiser entre plusieurs communes susceptibles de partager les mêmes problématiques.

Un délai de 4 mois pour se mettre en conformité

Cette fois-ci, les 22 communes concernées par la mise en demeure de la CNIL sont les suivantes : Achères (78), Auch (32), Bastia (2B), Beaune (21), Bezons (95), Bruay-la-Buissière (62), Étampes (91), Gagny (93), Koungou (976), Kourou (973), Le Gosier (971), Le Robert (972), Montmorency (95), Montfermeil (93), Petit-bourg (971), Pierrefitte-sur-Seine (93), Saint-André (974), Saint-Benoît (974), Saint-Dizier (52), Sotteville-lès-Rouen (76), Villeneuve-Saint-Georges (94) et Vitry-sur-Seine (94). Des communes situées en France métropolitaine et en Outre-mer.

La CNIL précise qu'elles ont maintenant 4 mois pour se mettre en conformité en « procédant à la désignation d’un délégué à la protection des données, dans les conditions fixées par le RGPD ». Ces mises en demeure ont volontairement été rendues publiques, notamment à cause de la sensibilité des missions des communes et de la nécessité d’informer les administrés. La Commission nationale de l'informatique et des libertés remplit donc sa mission de transparence auprès des français. Si les communes ne se mettent pas en conformité dans le délai imparti, elles risquent une amende.