Par le biais d’une délibération datée du 5 mai 2022 (MEDP-2022-001), le bureau de la CNIL (Commission Nationale de l’Informatique et des Libertés) a rendu publiques les mises en demeure de 22 communes françaises pour ne pas avoir procédé à la désignation d’un Délégué à la Protection des Données (ou “Data Protection Officer” en anglais).
En procédant à cette publication, la bureau de la CNIL souhaite informer les administrés des communes mises en cause de l’absence de prise en compte réelle et sérieuse des enjeux de protection des données personnelles par leur commune. Le bureau souhaite également envoyer un signal aux autres entités publiques, afin de leur rappeler leurs obligations – notamment de désignation d’un DPO interne ou d’un DPO externe – et le rôle que joue la CNIL dans le contrôle desdites obligations.
les entités publiques doivent obligatoirement désigner un DPO
L’article 37 du RGPD (Règlement Général sur la Protection des Données) détermine les situations dans lesquelles des entités ont l’obligation de procéder à la désignation d’un Délégué à la Protection des Données. Au titre de cet article, il est notamment disposé :
Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque : a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle (…)
La nomination d’un DPO est donc obligatoire pour les communes, du fait de leur qualité d’organisme public. Cette obligation s’applique aux quelques 35 000 communes françaises, indépendamment de leurs moyens, de leur taille ou encore de la nature des traitements de données personnelles qu’elles sont amenées à mettre en œuvre.
Toute commune qui ne procéderait pas à la désignation d’un DPO auprès de la CNIL se trouve donc automatiquement en situation de non respect des exigences lui incombant au titre de l’article 37 du RGPD.
📚 Lire notre article “Comment désigner un DPO en France ?”
Pourtant, et comme nous le détaillons ci-après, les mises en demeure rendues publiques par le bureau de la CNIL concernent -dans le cas présent- uniquement les communes de plus de 20 000 habitants, étant celles disposant des plus gros moyens humains et financiers et ayant un impact sur un nombre important de citoyens.
Les villes concernées par les mises en demeure de la CNIL
Au titre des villes concernées par les mises en demeure de la CNIL, nous retrouvons 22 communes comptant toutes plus de 20 000 habitants (i.e. faisant partie des 500 communes les plus peuplées de France). On y trouve même un mastodonte : la ville de Vitry-sur-Seine avec ses 95 000 habitants (top 50 des communes les plus peuplées de France), ou encore Bastia et ses 48 000 habitants (top 150 des communes les plus peuplées de France).
Notons également la présence de nombreuses communes situées en dehors de la France métropolitaine : Mayotte,
Guyane, Guadeloupe, Martinique et La Réunion étant représentées dans ce classement.
| Commune mise en demeure | Nombre d’habitants de la commune |
|---|---|
| Achères | ≃ 21 000 |
| Auch | ≃ 22 000 |
| Bastia | ≃ 48 000 |
| Beaune | ≃ 22 000 |
| Bezons | ≃ 29 000 |
| Bruay la Buissière | ≃ 22 000 |
| Etampes | ≃ 24 000 |
| Gagny | ≃ 40 000 |
| Koungou | ≃ 32 000 |
| Kourou | ≃ 26 000 |
| Le Gosier | ≃ 28 000 |
| Le Robert | ≃ 23 000 |
| Montmorency | ≃ 21 000 |
| Montfermeil | ≃ 26 000 |
| Petit-bourg | ≃ 24 000 |
| Pierrefitte-sur-Seine | ≃ 30 000 |
| Saint-André | ≃ 56 000 |
| Saint-Benoît | ≃ 37 000 |
| Saint-Dizier | ≃ 25 000 |
| Sotteville-lès-Rouen | ≃ 29 000 |
| Villeneuve-Saint-Georges | ≃ 34 000 |
| Vitry-sur-Seine | ≃ 95 000 |
En tout, ce sont plus de 710 000 habitants qui sont impactés par ces absences de désignation et qui doivent certainement faire face à une faible prise en compte des enjeux de protection des données personnelles par leur commune. Rappelons en effet que la désignation d’un DPO n’est qu’une première étape dans une démarche de conformité, puisqu’elle permet de venir désigner un “chef d’orchestre” qui pourra animer une démarche de conformité et remplir ses obligations réglementaires d’information, de conseil, mais aussi de contrôle (article 39 du RGPD).
Le choix du DPO mutualisé : la meilleure option pour les petites collectivités ?
A la différence des collectivités dont la mise en demeure pour absence de désignation d’un DPO a été rendue publique par la CNIL, de très nombreuses collectivités locales ne disposent pas des moyens humains et financiers suffisants pour nommer un DPO interne, disposant des compétences requises pour assurer son rôle de DPO, et ne présentant pas de conflit d’intérêt avec ses éventuelles autres fonctions.
La désignation d’un Délégué à la Protection des Données par de petites collectivités peut donc s’avérer complexe. Bien souvent, le recours à un DPO mutualisé s’avère être la meilleure des options. Cette mutualisation peut être mise en œuvre de différentes manières, comme par exemple :
- la mise en place d’un DPO mutualisé intervenant pour le compte de plusieurs communes via une prestation signée avec un établissement public de coopération intercommunale à fiscalité propre (une communauté de commune par exemple) ; ou
- le recours à un DPO externe privé, exerçant ses prestations en toute indépendance auprès de collectivités publiques.
Quelle que soit la solution retenue, la collectivité publique devra impérativement procéder à la désignation de son DPO auprès de la CNIL, si elle ne souhaite pas se trouver dans une situation identique à celle des 22 communes faisant l’objet du présent article.
📚 Lire notre article “Comment désigner un DPO auprès de la CNIL ?”
💡 Vous êtes à la recherche d’un DPO externe mutualisé pour votre collectivité publique ? Contactez-nous ✉️. Chez Mon DPO externe, nous assurons déjà le rôle de Délégué à la Protection des Données externe pour plusieurs collectivités publiques françaises.
