Aucune collectivité territoriale ne peut se soustraire à l’obligation de désigner un Délégué à la Protection des Données (DPO). C’est ce que vient de décider la CNIL en mettant en demeure des communes n’ayant pas accompli cette démarche. A cette occasion, la CNIL rappelle le rôle capital du DPO dans le contexte actuel de risques accrus de cyber-attaques à l’encontre des communes.
Défaut de désignation du DPO : 22 communes mises en demeure par la CNIL
Le 5 mai 2022, la CNIL a décidé de rendre publique 22 mises en demeure prises à l’encontre de différentes communes de différentes tailles et différentes régions, n’ayant pas désigné de délégué à la protection des données (DPO). En juin 2021, la CNIL, qui avait concentré son action de contrôle sur les communes de plus de 20 000 habitants, a alerté celles qui n’avaient pas désigné de délégué à la protection des données. Près d'un an après cette mise en garde, elle a cependant constaté que certaines de ces communes n’avaient pas encore accompli cette démarche. En conséquence, la présidente de la CNIL les a mises en demeure de procéder à cette désignation.
Le rôle crucial du DPO au sein des collectivités
Ces mises en demeure donnent l’occasion de rappeler qu’en vertu de l’article 37 du RGPD, toutes les autorités publiques, quel que soit leur taille ou nombre d’administrés, doivent désigner un DPO.
La plupart des communes mises en demeure comptent pourtant plusieurs milliers d’habitants et ainsi autant de risques de mauvaise gestion des données. Les communes manipulent de très nombreuses données, au premier rang desquelles celles liées à l’état civil des personnes, mais aussi certaines pouvant être plus sensibles comme celles liées aux aides sociales. La CNIL rappelle de manière bienvenue l’importance centrale des DPO dans les collectivités territoriales compte tenu de l’exercice de l’autorité publique. Ce rôle est également essentiel dans le cadre du contexte actuel dans lequel les personnes publiques sont victimes de nombreuses cyberattaques. Le DPO, en tant que chef d’orchestre de la maîtrise des données au sein de son entité a aussi pour rôle d’inculquer une véritable culture de la donnée au sein de la collectivité, y compris les pans liés à la cybersécurité.
La CNIL rappelle également dans sa mise en demeure l’importance du rôle du DPO dans le traitement des demandes d’exercice des droits des personnes, fonction fondamentale au regard de l’objectif du RGPD visant à rendre aux personnes concernées la maîtrise de leurs données.
Enfin, la CNIL appuie sur le caractère fondamental du DPO dans les relations avec l’autorité de contrôle. Le DPO peut, à ce titre jouer le rôle de point de contact et a donc le pouvoir de limiter les conséquences d’un contrôle sur une collectivité.
La CNIL, dans sa délibération, impose aux communes visées de désigner un DPO dans les 4 mois suivant sa décision. Certaines communes ont d’ailleurs entamé les démarches à cet effet.
Comment désigner le DPO dans les collectivités ?
S’agissant des contraintes liées à la désignation du DPO, le délégué peut être un agent interne ou comme le permet le RGPD, et comme le rappelle la CNIL dans son communiqué de presse, être mutualisé, par ex. au sein d’un établissement public de coopération intercommunale (EPCI), d’un opérateur public de services numériques (OPSN), ou d’un centre de gestion (CDG), offrant notamment un pilotage transversal de la conformité entre organismes rencontrant les mêmes enjeux et susceptibles de bénéficier de solutions partagées. Cette solution permet ainsi de réduire les coûts liés aussi bien à la désignation qu’à la mise à disposition des ressources suffisantes.
La désignation du DPO se fait par le biais du formulaire en ligne sur le site de la CNIL.
Un article rédigé avec la contribution d’Ivan Juszezak