Désignation d’un délégué à la protection des données : bilan des mises en demeure prononcées à l’encontre de 22 communes

Le RGPD rend obligatoire la désignation d'un délégué à la protection des données dans certains cas, notamment lorsqu'un traitement de données personnelles est effectué par une autorité publique ou un organisme public (article 37 du RGPD). Cette obligation concerne donc toutes les collectivités territoriales, quelle que soit leur taille.

Le 25 avril 2022, la présidente de la CNIL a rendu publique des mises en demeure visant 22 communes qui n'avaient pas procédé à la désignation d'un délégué à la protection des données (DPO). Les communes disposaient d'un délai de 4 mois pour y remédier.

A l'échéance fixée, 18 communes se sont mises en conformité, à savoir par ordre alphabétique : Achères (78), Bastia (2B), Beaune (21), Bezons (95), Bruay-la-Buissière (62), Étampes (91), Gagny (93), Le Gosier (971), Le Robert (972), Montmorency (95), Montfermeil (93), Pierrefitte-sur-Seine (93), Saint-André (974), Saint-Benoît (974), Saint-Dizier (52), Sotteville-lès-Rouen (76), Villeneuve-Saint-Georges (94) et Vitry-sur-Seine (94). Deux communes sont en cours de désignation d'un DPO. En revanche, deux communes n'ont à ce jour ni répondu à la CNIL, ni désigné de DPO via le téléservice mis à leur disposition sur cnil.fr.

Au vu de ces éléments, la présidente a décidé de clore les mises en demeure prononcées à l'encontre des 18 communes mentionnées ci-dessus. Pour les communes ne s'étant pas conformées à la mise en demeure, la présidente de la CNIL pourra initier une procédure afin que soient prononcées, le cas échéant, d'autres mesures correctrices telles qu'une amende ou une injonction sous astreinte.