Le 25 avril 2022, la présidente de la Cnil a mis en demeure vingt-deux communes de plus de 20 000 habitants de désigner, dans un délai de quatre mois, un délégué à la protection des données (DPD ou DPO), comme l’article 37 du RGPD le leur impose, et alors qu’elle les avait déjà alertées en juin 2021. Une obligation qui concerne toutes les collectivités territoriales, quelle que soit leur taille, et qui représente une étape dans la mise en conformité des collectivités au RGPD. À l’appui de sa décision, la Cnil rappelle que les collectivités, compte tenu de leurs missions parfois sensibles, de l’importance des fichiers qui y sont associés et de l’exercice de l’autorité publique, doivent veiller particulièrement à protéger les données personnelles qui leur sont confiées. Notamment en ce qui concerne la sécurité, les systèmes d’information publics étant la cible d’attaques informatiques récurrentes. En outre, le DPD est l’interlocuteur des personnes pour ce qui touche au traitement de leurs données et à l’exercice des droits que leur confère le RGPD. Il a également un rôle de conseil et de contrôle du respect des règles applicables, et il est le point de contact avec l’autorité de contrôle sur les sujets relatifs à la protection des données : il coopère avec la Cnil et participe, en particulier, à la résolution de plaintes.

La Cnil a également choisi de rendre publiques ses décisions de mise en demeure, afin de prévenir les administrés que leur commune ne prend pas en compte de la protection des données et que l’absence d’un délégué les prive d’un interlocuteur dédié. C’est aussi un moyen d’alerter l’ensemble des organismes publics sur l’obligation légale de désigner un DPD, et de rappeler l’importance de ses fonctions dans le déploiement de projets, dès leur conception et la mise en œuvre des opérations de traitement.

Ces mises en demeure ne revêtent pas le caractère de sanction ; la Cnil rendra publique la clôture de la procédure si les communes se conforment en tout point aux exigences du RGPD dans le délai imparti : expertise du DPD, indépendance, moyens suffisants… C’est le cas pour Villeneuve-Saint-Georges (Val-de-Marne) qui a depuis la mise en demeure désigné un délégué à la protection des données. En revanche, si les communes ne se conforment pas à cette mise en demeure, la présidente de la Cnil pourra saisir la formation restreinte ; cet organe, chargé de prononcer des sanctions, pourra décider d’une amende et la rendre également publique.

Selon l’observatoire Data Publica, en janvier dernier, un peu moins d’une commune sur deux seulement (47 %) avait procédé à la désignation d’un DPD. Logiquement, le nombre de délégués croît avec la taille de la collectivité. Alors que les villes de plus de 100 000 habitants se sont pliées à cette obligation, les communes de moins de 3 500 habitants ne sont que 44 % à l’avoir fait, 58 % pour celles de la strate 3 500 – 10 000 habitants ; neuf sur dix des villes de 50 000 à 100 000 habitants ont désigné leur DPD.

Il est à noter que la mutualisation de délégués concerne plutôt les petites communes et les plus grandes ; 7 % seulement des villes de moins de 3 500 habitants ont désigné leur propre DPD et 37 % les ont mutualisés. Pour le reste, dans les villes de 3 500 à 10 000 habitants, 41 % des DPD sont mutualisés ; 36 % dans les villes de 10 000 à 50 000 habitants ; 30 % dans les villes de 50 000 à 100 000 habitants (dont 59 % ont désigné leur propre DPD). Quant aux villes de plus de 100 000 habitants, elles sont 47 % à avoir mutualisé leur délégué au niveau intercommunal ou métropolitain.

Marie Gasnier