La désignation d’un délégué à la protection des données (DPO) est obligatoire dans certains cas, notamment pour les collectivités locales, rappelle la gardienne de la vie privée des Français qui a ainsi mis 22 communes en demeure de désigner un DPO sous quatre mois.
“Le RGPD rend obligatoire la désignation d’un délégué à la protection des données (data protection officer) notamment lorsqu’un traitement de données personnelles est effectué par une autorité publique ou un organisme public. Cette obligation concerne donc toutes les collectivités territoriales, quelle que soit leur taille », indique la CNIL en introduction d’un communiqué mis en ligne ce 31 mai sur son site.
Des communes en Métropole et en Outre-mer
La CNIL rappelle avoir mis en garde en juin 2021 les communes de plus de 20 000 habitants qui n’avaient pas désigné de délégué à la protection des données. Certaines d’entre elles, en France métropolitaine et en Outre-mer, n’ayant pas accompli les démarches pour se mettre en conformité, la présidente de l’autorité les a donc mises en demeure et a rendu public leurs noms. Elles disposent d’un délai de 4 mois pour procéder à cette désignation. Depuis l’envoi de ces mises en demeure, l’une d’entre elles a désigné un DPO, deux autres ont transmis leur déclaration de désignation à la CNIL. Celles-ci sont en cours d’instruction.
Si les communes ne se conforment pas à la mise en demeure, la présidente Marie-Laure Denis pourra saisir l’organe de la CNIL chargé de prononcer des sanctions, qui pourra décider d’une amende et “la rendre également publique », prévient l’autorité.
