Les collectivités publiques ont l’obligation de désigner un délégué à la protection des données. Un an après avoir rappelé cette obligation, la Cnil sévit en mettant en demeure 22 villes.
Le RGPD a introduit l’obligation pour les organismes publics de désigner un délégué à la protection des données dès lors qu’ils opèrent un traitement de données personnelles. Sont ainsi concernées les collectivités locales, indépendamment de leur taille. L’année dernière, la CNIL avait averti un certain nombre de communes de plus de 20 000 habitants qui manquaient à cette obligation.
« Près d'un an après cette mise en garde, elle a cependant constaté que certaines de ces communes n’avaient pas encore accompli cette démarche » écrit le régulateur hier dans un communiqué. 22 communes ont donc été mises en demeure de procédé fissa (sous quatre mois) à la désignation d’un DPO « dans les conditions fixées par le RGPD (expertise, indépendance, moyens suffisants, etc.) ».
En outre, le gendarme des données personnelles a décidé de rendre publiques ces mises en demeure, compte tenu de la « sensibilité des missions des commmunes » et de la « nécessité d’informer les administrés ». Sont ainsi concernés les villes d’Achères (78), Bastia (2B), Beaune (21), Bezons (95), Étampes (91), Gagny (93), Koungou (976), Kourou (973), Le Gosier (971), Le Robert (972), Montmorency (95), Montfermeil (93), Petit-bourg (971), Pierrefitte-sur-Seine (93), Saint-André (974), Saint-Benoît (974), Saint-Dizier (52), Sotteville-lès-Rouen (76) et Vitry-sur-Seine (94).
Trois des mis en demeure se sont exécutés sans tarder. Ainsi, Villeneuve-Saint-Georges (94) a désigné un délégué à la protection des données dans les règles, mettant fin à la procédure. Auch (32) et Bruay-la-Buissière (62) ont également transmis leur déclaration de désignation à la CNIL. Les collectivités qui ne rentreraient pas dans les clous sous quatre mois s’exposent à des sanctions.