Par Jean-Philippe Souyris, Anne-Charlotte Andrieux et Théophile Tsimaratos
Le 31 mai 2022, la CNIL a rappelé à l’ordre 22 communes de métropole et d’outre-mer, en les sommant de se mettre en conformité avec la règlementation en désignant un Délégué à la Protection des Données (DPO) sous un délai de 4 mois.
Conformément à l’article 37 du RGPD[1] les personnes morales de droit public, qui opèrent un traitement de données à caractère personnel, sont dans l’obligation de désigner un délégué à la protection des données, quelle que soit leur taille.
Ces mises en demeure font suite à un contrôle rapproché de la CNIL au cours de l’année 2021 sur les communes de plus de 20.000 habitants qui n’avaient pas encore nommé de délégué à la protection des données.
La publicité de ces mises en demeure s’explique, pour partie, par la sensibilité des missions et des traitements opérés par les communes sur les données à caractère personnel des administrés, notamment dans le cadre des missions liées à l’état civil.
Ces mises en demeure poursuivent deux objectifs principaux :
Le DPO est considéré comme le chef d’orchestre de la mise en conformité RGPD des entreprises ou des collectivité territoriales. En effet, le délégué à la protection des données est chargé de :
Le Délégué à la protection des données constitue également le point de contact entre les tiers et le responsable de traitement. C’est par lui que transitent les demandes des personnes concernées qui souhaitent exercer les droits qu’ils détiennent sur leurs données
Dès lors, les organismes publics doivent, à l’instar des entreprises privées, être attentifs à la désignation d’un délégué à la protection des données pour assurer leurs obligations au titre du RGPD.
Si la CNIL a jusqu’ici fait preuve d’une relative clémence envers les collectivités territoriales de petite taille, telles que les communes, la Commission marque clairement la fin de la période de tolérance avant d’entrer en voie de sanction.
A cet égard, il importe de rappeler que la désignation d’un délégué à la protection des données implique de respecter un certain nombre de prérequis et de conditions tenant aux compétences, aux moyens et à l’indépendance du DPO.
Le délégué à la protection des données peut, dès lors, être un collaborateur de l’organisme, ou un prestataire externe à l’organisme [2].
Autre possibilité, rappelée par la Commission, le DPO peut être mutualisé entre plusieurs collectivités, ou au sein d’une communauté de communes permettant un pilotage transversal de la conformité et une mutualisation des coûts entre organismes susceptibles de bénéficier de solutions partagées.
***
Le cabinet HAAS Avocats assure des missions de DPO externalisé pour ses clients, afin de les accompagner dans leur mise en conformité au RGPD sur la base d’un abonnement annuel dimensionné pour chaque structure (publique, privée, PME, grands comptes).
Pour en savoir plus, cliquez ici.
[1] Article 37 – Règlement (UE) 2016/679 du parlement européen et du conseil
[2] Règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 – article 37 6°