22 communes mises en demeure pour défaut de désignation d’un délégué à la protection des données
C’est une première : la CNIL a mis en demeure publiquement vingt-deux communes pour un défaut de désignation d’un délégué à la protection des données.
La désignation du délégué à la protection des données, une obligation pour les communes :
Pour rappel : la désignation d’un délégué à la protection des données est obligatoire « lorsque le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle » (article 37 RGPD, alinéa 1, point a)
A ce titre, toutes collectivités, peu important leurs tailles, ont bel et bien l’obligation de désigner cet acteur.
Comme la CNIL le rappelle à juste titre dans sa Délibération n° MEDP-2022-001 du 5 mai 2022 : la désignation d’un délégué est cruciale dans la mesure où les collectivités territoriales doivent particulièrement veiller à la protection des données personnelles qui leurs ont été confiées !
Pourquoi ?
En tant qu’usager on a tendance à l’oublier mais les collectivités peuvent détenir un très grand nombre de données voire des données sensibles ou hautement personnelles : cela implique bien de mettre en place les fameuses « mesures techniques et organisationnelles » prévues par le RGPD. De plus, comme beaucoup d’organismes publics, font l’objet de cyberattaques récurrentes et doivent donc respecter leurs obligations de sécurité prévues par le RGPD et la loi Informatique et Libertés.
Pourquoi rendre ces mises en demeure public ?
On a déjà pu constater par le passé que la CNIL a rendu publiques des sanctions assez diverses. Par exemple contre des OPH, contre des GAFA, mais également dans le secteur de la santé, des télécoms, etc.
L’objectif de la CNIL lorsqu’elle rend une sanction publique est souvent d’alerter un secteur d’activités sur des défauts de conformité qui pourraient concerner différents acteurs. C’est exactement pour cette raison que la CNIL rend publiques ces mises en demeure. L’objectif est « [d’alerter] l’ensemble des acteurs publics sur l’obligation légale de désigner un délégué à la protection des données et l’importance de ses fonctions dans le déploiement de projets dès leur conception et la mise en œuvre des opérations de traitements. »
Quels enjeux liés à la désignation d’un délégué à la protection des données dans une collectivité ?
On ne va pas vous refaire un essai pour vous rappeler que le délégué est un acteur clé de la conformité (une sorte de super héros !). A ce titre, le DPD doit avoir les compétences et connaissances adaptées pour accompagner un organisme dans sa conformité. Mais il doit aussi disposer des garanties qui lui permettront de mener à bien ses missions (on vous en parlait ici).
Il nous semble pourtant important de faire un point sur les problématiques liées à la désignation d’un délégué à la protection des données.
- Le délégué peut être interne, externe ou mutualisé. Ce dernier choix est généralement celui opéré au sein de collectivités. Ce n’est pas sans risque ! La désignation d’un DPD mutualisé doit répondre à une condition essentielle : cet acteur doit être disponible pour les différents responsables du traitement qu’il accompagne. Il sera donc essentiel de repenser l’organisation, notamment en mettant en place des relais du délégué à la protection des données qui pourront l’accompagner dans ses missions et assurer la communication entre le DPD et les différents acteurs.
- Hormis le choix de désignation, il est aussi important de choisir « la bonne personne ». Comment ça ? Au-delà des questions de conflits d’intérêt qui peuvent se présenter lors de la désignation du délégué, il est important de s’assurer que la personne choisie :
- Connaît le secteur d’activité ;
- Connaît les particularités du secteur d’activité ;
- A l’occasion de se former et de garder des connaissances à jour !
En effet, le droit évolue ! Bientôt le RGPD sera accompagné par l’Acte européen sur la gouvernance des données , mais aussi un jour (on l’espère) par le tant attendu Règlement ePrivacy. Cela veut bien dire que le métier du délégué et les attentes que l’on peut avoir pour cet acteur vont très clairement évoluer. Comme nous avons pu le lire dans l’article de Paul Moussier ici, un « délégué à la protection des données » pourrait bientôt être requalifié de « délégué à la gouvernance des données » (et d’ailleurs, ça ne nous surprendrait pas non plus !)