Droit des données
le 16/06/2022

La CNIL met en demeure 22 communes de désigner un délégué à la protection des données

Délibération du bureau de la CNIL n° MEDP-2022-001 du 5 mai 2022 décidant de rendre publique 22 mises en demeure prises à l’encontre de communes

La Commission nationale de l’informatique et des libertés (CNIL) a rendu une décision dans laquelle elle met en demeure 22 communes de désigner un délégué à la protection des données (DPD).

Pour rappel, l’obligation de désigner un DPD résulte de l’article 37 du Règlement général sur la protection des données (RGPD) et s’impose à toutes les communes quelle que soit leur taille.

Pour rappel, le DPD assume, dans les organismes le rôle de conseil sur tout sujet intéressant la conformité à la réglementation informatique et liberté et constitue l’interlocuteur privilégié de la CNIL.

Le DPD peut être choisi en interne ou en externe de l’organisme et être mutualisé (ce qui est généralement le cas pour les communes avec les structures intercommunales auxquelles elles appartiennent).

La CNIL rappelle, par ailleurs, dans cette mise en demeure, la nécessité pour les communes de se donner les moyens de remplir leurs obligations de sécurité vis-à-vis des données des administrés et de mettre en œuvre une politique de protection efficace. Il s’agit d’un enjeu d’autant plus important que les actualités témoignent de l’augmentation des cyberattaques à l’encontre des organismes publics et partant à l’encontre de nombreuses communes.

Cette décision démontre immanquablement l’augmentation des contrôles de conformité réalisés par la CNIL y compris dans le secteur public.

L’augmentation de ses effectifs, permise par une évolution sensible de son budget, via la dernière loi de finances, n’est probablement pas sans lien avec l’intervention de cette décision (25 ETP complémentaires en 2022).

Il est, encore, notable que la CNIL ait décidé de la publication de cette mise en demeure car elle estime l’inaction des communes défavorable aux administrés, qui doivent donc être informés du manque, voire de l’absence de mesures prises en faveur de la protection de leurs données.

Les communes ont donc 4 mois pour s’exécuter, sinon elles risquent l’intervention d’une sanction, principalement d’une amende.

En tout état de cause, cette décision incite, plus généralement, l’ensemble des communes à vérifier avoir engagé les efforts nécessaires pour leur mise en conformité au RGPD.

 

Elise Humbert et Jeanne Thouverez