Collectivités locales et RGPD : obligation de désigner un DPO

En l’espèce, la CNIL avait mise en demeure 22 communes françaises de bien vouloir désigner, dans un délai de 4 mois à compter de la mise en demeure, un Délégué à la Protection des Données (DPO) sur le fondement de l’article 37 du RGPD.

La Ville de Kourou n’ayant pas procédé à cette désignation, ni même répondu au courrier de la CNIL, celle-ci a été condamnée au versement d’une amende de 5.000 euros et une injonction sous astreinte de se mettre en conformité avec le RGPD.

Il sera noté dans cette procédure, qu’à l’origine, la CNIL avait engagé une procédure simplifiée en formation restreinte dont le prononcé aboutissait déjà à une amende et une injonction sous astreinte de se mettre en conformité.

Malgré cette première délibération, la Commune est demeurée silencieuse et n’avait toujours pas exécutée son obligation de désignation d’un Délégué à la Protection des Données (DPO).

C’est face à cette inertie que la CNIL a décidé d’initier une nouvelle procédure de sanction, mais cette fois dans le cadre de la procédure ordinaire, permettant notamment à la formation restreinte d’adopter une sanction publique et d’ordonner à la Commune d’afficher cette sanction pendant 4 jours sur son site internet.

C’est affaire est ainsi l’occasion de rappeler que les collectivités locales ne sont pas exonérées des règles prévues au RGPD et qu’en cas d’inexécution des sanctions sont prévues.

Rappel des obligations des collectivités territoriales en matière de protection des données

Peu de temps après l’entrée en vigueur du RGPD, la CNIL avait publié un Guide des bonnes pratiques de la règlementation RGPD à destination des collectivités territoriales.

C’est ains que dès 2019, ce guide rappelait que les collectivités territoriales sont tenues :

• • de désigner un délégué à la protection des données ;
    

  • de recenser les traitements de données et tenir à jour un registre de ceux-ci ;

  • d’encadrer la sous-traitance des traitements ; • garantir la sécurité des données ;

  • d’organiser la réponse aux demandes d’exercice des droits venant des administrés ;

  • de notifier à la CNIL, voire aux personnes concernées, les violations éventuelles de données personnelles (par exemple les failles de sécurité) ;

  • d’effectuer dans certains cas des analyses d’impact sur la vie privée et les libertés pour certains traitements à risques.

Qu’est-ce qu’un Délégué à la protection des données (DPO) ?

Il existe donc bien une obligation pour les collectivités territoriales de désigner un Délégué à la protection des données, au risque d’une sanction financière et « d’image » par la CNIL.

Les collectivités territoriales peuvent désigner un délégué en interne ou en externe (tiers) à leur structure (avocat par exemple).

Un délégué à la protection des données poursuit d’abord une vocation au sein de la structure désignée puis il exerce des missions spécifiques.

La vocation du délégué à la protection des données : « piloter la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné, s’agissant de l’ensemble des traitements mis en œuvre par cet organisme. »

Les missions du délégué à la protection des données :  « Informer et conseiller la collectivité ; Contrôler le respect du règlement et du droit national en matière de protection des données ; Être le point de contact pour les personnes dont les données sont traitées par la collectivité et l’interlocuteur privilégié de la CNIL ».