18 communes sur les 22 mises en demeure en avril dernier ont désigné un DPO dans les quatre mois La Cnil a donc clôturé les procédures lancées à leur encontre. Mais pour quatre autres, le couperet risque de tomber.
Les collectivités territoriales n’échappent pas aux obligations induites par le RGPD. La Cnil l’a durement rappelé à 22 communes en avril dernier, les mettant en demeure de désigner un DPO sous quatre mois. En 2021, le gendarme des données personnelles avait prévenu diverses communes de plus de 20 000 habitants qui manquaient à cette obligation.
« Près d'un an après cette mise en garde, elle a cependant constaté que certaines de ces communes n’avaient pas encore accompli cette démarche » désespérait le régulateur dans un communiqué en avril. D’où cette vague de mises en demeure, qui sonnait comme comme une piqure de rappel.
Quatre hors des clous
Laquelle s’est avérée efficace puisque, à l’échéance fixée, 18 des communes épinglées se sont mises en conformité. Ainsi, ont désigné un DPO dans le temps imparti Achères (78), Bastia (2B), Beaune (21), Bezons (95), Bruay-la-Buissière (62), Étampes (91), Gagny (93), Le Gosier (971), Le Robert (972), Montmorency (95), Montfermeil (93), Pierrefitte-sur-Seine (93), Saint-André (974), Saint-Benoît (974), Saint-Dizier (52), Sotteville-lès-Rouen (76), Villeneuve-Saint-Georges (94) et Vitry-sur-Seine (94).
Les mises en demeure sont donc clôturées, à l’exception de celles visant quatre communes. Que la Cnil ne nomme pas, mais la liste ci-dessus nous laisse donc Koungou (976), Kourou (973), Petit-bourg (971) et Auch (32). Cette dernière avait pourtant, en juin, transmis sa déclaration de désignation à la CNIL. On peut donc supposer que la préfecture du Gers fait partie des deux communes en cours de désignation d’un DPO. Les deux autres, cependant, « n’ont à ce jour ni répondu à la CNIL, ni désigné de DPO via le téléservice mis à leur disposition sur cnil.fr ». Gageons que la sanction, amende ou injonction sous astreinte, risque de leur tomber sur le coin du bec.