Optimex Data revient sur les 22 communes mises en demeure de désigner un DPO par la CNIL dans le cadre de leur conformité RGPD.
22 communes mises en demeure par la CNIL
Le 31 mai 2022, la CNIL annonce la mise en demeure de 22 communes concernant la désignation d’un Délégué à la Protection des Données – DPO. En effet, en tant qu’organisme public, les mairies sont dans l’obligation de désigner un DPO officiellement auprès de la CNIL – selon l’article 37 du RGPD, et cela quelque soit leur taille. En juin 2021, la CNIL avait déjà alerté les communes sur leur obligation de désigner un DPO. Pourtant, un grand nombre d’entres elles n’a toujours pas procédé à la désignation officielle de leur DPO. Près d’un an après cette mise en garde, la CNIL a constaté ce manquement et a décidé de mettre en demeure 22 communes. Elles disposent d’un délai de 4 mois pour se mettre en conformité sur ce point-là.
Qui sont ces 22 communes ?
Vous pouvez retrouver la liste des communes concernées sur le site de la CNIL. Ce sont des communes de plus de 20 000 habitants, réparties sur l’ensemble du territoire français, même certaines présentes dans les territoires d’outre-mer. La CNIL a décidé de rendre publique cette mise en demeure pour que toutes les communes se sentent concernées, et donc procèdent à la désignation d’un DPO, sans attendre un potentiel contrôle de la CNIL.
Pourquoi désigner un DPO dans une mairie ?
Compte tenu de la nature des missions d’intérêt public, de la catégorie des données personnelles traitées – parfois des données sensibles, et la nature du public concerné – parfois des personnes vulnérables comme les mineurs ou les personnes âgées, il est primordial de désigner un DPO pour encadrer la protection des données des administrés et des agents. Le secteur public se doit également d’être exemplaire concernant leur conformité au RGPD, et les communes ne se conformant pas à cette mise en demeure, risquent des sanctions prononcées par la formation restreinte de la CNIL.
Qu’en est-il depuis la mise en demeure ?
Depuis la mise en demeure de la CNIL, plusieurs communes ont déjà régularisé leur situation en procédant à la désignation officielle d’un DPO auprès de la CNIL. La procédure les concernant a donc pu être clôturée.
Ainsi, nous invitions toutes les mairies à procéder à la désignation de leur DPO, peu importe la taille de la commune. Cela consiste en une première étape dans leur mise en conformité au RGPD. Ensuite, le rôle du DPO sera d’orchestrer la conformité au RGPD :
- En interne è il répond à toute question en matière de protection des données et veille à la bonne connaissance des ‘ premiers gestes ‘ RGPD – en cas d’attaque informatique, de conception d’un nouveau projet, la mise en place de nouveau process, l’information aux personnes concernées, etc ;
- En externe è il s’assure de l’organisation du traitement des demandes d’exercice de droits, de la vérification des relations avec les sous-traitants et les tiers, et sert de point de contact pour les éventuelles demandes de précisions de la CNIL en cas de vérification.