22 communes mises en demeure pour défaut de désignation d’un délégué à la protection des données

22 communes mises en demeure pour défaut de désignation d’un délégué à la protection des données
Actualité Article RGPD

C’est une première : la CNIL a mis en demeure publiquement vingt-deux communes pour un défaut de désignation d’un délégué à la protection des données.

La désignation du délégué à la protection des données, une obligation pour les communes :

Pour rappel : la désignation d’un délégué à la protection des données est obligatoire « lorsque le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle » (article 37 RGPD, alinéa 1, point a)

A ce titre, toutes collectivités, peu important leurs tailles, ont bel et bien l’obligation de désigner cet acteur.

Comme la CNIL le rappelle à juste titre dans sa Délibération n° MEDP-2022-001 du 5 mai 2022 : la désignation d’un délégué est cruciale dans la mesure où les collectivités territoriales doivent particulièrement veiller à la protection des données personnelles qui leurs ont été confiées !

Pourquoi ?

En tant qu’usager on a tendance à l’oublier mais les collectivités peuvent détenir un très grand nombre de données voire des données sensibles ou hautement personnelles : cela implique bien de mettre en place les fameuses « mesures techniques et organisationnelles » prévues par le RGPD. De plus, comme beaucoup d’organismes publics, font l’objet de cyberattaques récurrentes et doivent donc respecter leurs obligations de sécurité prévues par le RGPD et la loi Informatique et Libertés.

Pourquoi rendre ces mises en demeure public ?

On a déjà pu constater par le passé que la CNIL a rendu publiques des sanctions assez diverses. Par exemple contre des OPH, contre des GAFA, mais également dans le secteur de la santé, des télécoms, etc.

L’objectif de la CNIL lorsqu’elle rend une sanction publique est souvent d’alerter un secteur d’activités sur des défauts de conformité qui pourraient concerner différents acteurs. C’est exactement pour cette raison que la CNIL rend publiques ces mises en demeure. L’objectif est « [d’alerter] l’ensemble des acteurs publics sur l’obligation légale de désigner un délégué à la protection des données et l’importance de ses fonctions dans le déploiement de projets dès leur conception et la mise en œuvre des opérations de traitements. »

Quels enjeux liés à la désignation d’un délégué à la protection des données dans une collectivité ?

On ne va pas vous refaire un essai pour vous rappeler que le délégué est un acteur clé de la conformité (une sorte de super héros !). A ce titre, le DPD doit avoir les compétences et connaissances adaptées pour accompagner un organisme dans sa conformité. Mais il doit aussi disposer des garanties qui lui permettront de mener à bien ses missions (on vous en parlait ici).

Il nous semble pourtant important de faire un point sur les problématiques liées à la désignation d’un délégué à la protection des données.

  • Le délégué peut être interne, externe ou mutualisé. Ce dernier choix est généralement celui opéré au sein de collectivités. Ce n’est pas sans risque ! La désignation d’un DPD mutualisé doit répondre à une condition essentielle : cet acteur doit être disponible pour les différents responsables du traitement qu’il accompagne. Il sera donc essentiel de repenser l’organisation, notamment en mettant en place des relais du délégué à la protection des données qui pourront l’accompagner dans ses missions et assurer la communication entre le DPD et les différents acteurs.
  • Hormis le choix de désignation, il est aussi important de choisir « la bonne personne ». Comment ça ? Au-delà des questions de conflits d’intérêt qui peuvent se présenter lors de la désignation du délégué, il est important de s’assurer que la personne choisie :
  • Connaît le secteur d’activité ;
  • Connaît les particularités du secteur d’activité ;
  • A l’occasion de se former et de garder des connaissances à jour !

En effet, le droit évolue ! Bientôt le RGPD sera accompagné par l’Acte européen sur la gouvernance des données , mais aussi un jour (on l’espère) par le tant attendu Règlement ePrivacy. Cela veut bien dire que le métier du délégué et les attentes que l’on peut avoir pour cet acteur vont très clairement évoluer. Comme nous avons pu le lire dans l’article de Paul Moussier ici, un « délégué à la protection des données » pourrait bientôt être requalifié de « délégué à la gouvernance des données » (et d’ailleurs, ça ne nous surprendrait pas non plus !)

Partager l'article

Articles similaires

La 18ème université des DPO organisé par l’AFCDP
Actualité Article RGPD

La 18ème université des DPO organisé par l’AFCDP

Trois de nos consultants ont participé les 8 et 9 février derniers à la 18ème Université des DPO organisée par l'AFCDP. Cet événement incontournable a rassemblé des professionnels de la conformité et de la protection des données personnelles pour deux journées de conférences et d'échanges.
Lire la suite
Rappel à l’ordre de deux ministères par la CNIL
Actualité Article RGPD

Rappel à l’ordre de deux ministères par la CNIL

La CNIL (Commission Nationale de l’Informatique et Libertés) a récemment émis un rappel à l'ordre visant deux ministères, le ministère de l’Economie, des Finances et de la Souveraineté industrielle et numérique, ainsi que le Ministère de la Transformation et de la Fonction Publiques.
Lire la suite