La Commission Nationale Informatique et Libertés (CNIL) continue sur sa lancée d’actions répressives en 20221 et se concentre cette fois sur le secteur public en mettant en demeure 22 communes françaises pour non-respect de l’obligation de désigner un Délégué à la Protection des Données (DPO).
En effet, le Règlement Général relatif à la Protection des Données (RGPD) impose la désignation d’un DPO lorsque des traitements sont effectués par une « autorité publique ou un organisme public »2 .
Autrement dit, quelle que soit leur taille ou leur mission, toute collectivité territoriale et par conséquent, les communes (et autres communautés de communes) sont tenues de désigner un DPO.
Pourtant, après avoir mis en garde en 2021, les communes de plus de 20 000 habitants de cette obligation, certaines communes n’avaient pas encore accompli cette désignation.
Pourquoi est-ce nécessaire ?
Parce que toute collectivité est concernée notamment par le traitement de données personnelles de ses fonctionnaires et contractuels, mais également et surtout de celles de ses administrés.
En effet, des millions de données personnelles concernant les citoyens sont traitées, dont certaines particulièrement sensibles, telles que celles relatives aux situations économiques et sociales des administrés, ou encore les images de vidéoprotection sur la voie publique, et les données liées aux usages innovants qui se développent au sein des villes telles que la reconnaissance faciale, et les villes intelligentes (ou « smart city »).
Afin de s’assurer que la vie privée des administrés est garantie, et que les principes légaux en matière de protection des données sont respectés, le DPO joue un rôle essentiel et sert d’interlocuteur privilégié des citoyens mais également des différents agents pour les accompagner dans le cadre de leurs différents projets.
Comment réaliser cette désignation ?
La désignation d’un DPO se fait dans un premier temps en interne : la collectivité peut nommer une personne en charge des sujets liés à la protection des données au sein de ses équipes, ou nommer un DPO externe.
Une fois cette nomination réalisée, une désignation formelle doit être réalisée auprès de la CNIL via un téléservice dédié, et accessible ici.
Comment se mettre en conformité avec le RGPD lorsque l’on est une collectivité ?
La désignation d’un DPO comme chef d’orchestre de la conformité au RGPD est la première étape d’une démarche de mise en conformité.
Ce dernier sera ensuite en charge, avec l’accompagnement des agents concernés, notamment de :
- De réaliser une cartographie complète des différents traitements réalisés par la collectivité, et de les renseigner dans un registre de traitement.
- D’informer les administrés et autres personnes concernées de la manière dont la collectivité traite leurs données (par exemple, en avertissant via un panneau d’information lorsque les passants entre dans un lieu ou une zone sous vidéosurveillance).
- De mettre en œuvre un système permettant aux administrés d’exercer leurs droits.
- De mettre en œuvre des mesures de sécurité techniques et organisationnelles des données.
- D’encadrer sa relation contractuelle avec les prestataires accédant aux données des administrés.
Les obligations étant nombreuses, et la charge de travail étant importante, il est vivement conseillé de se munir d’un logiciel de gestion de la conformité au RGPD.
1Après la sanction contre DEDALUS BIOLOGIE et les mises en demeure à l’encontre de gestionnaires de sites web concernés par l’utilisation de Googla Analytics.
