Mises en demeure de la CNIL : 22 communes n’ont toujours pas désigné de DPO

L’obligation de désigner un DPO pour les communes 

L’article 37 du RGPD énonce clairement cette obligation :

“Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque:

1. a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle”I

 Il s’agit donc d’un cas de désignation obligatoire d’un DPO.

 Le DPO d’une collectivité locale permet : 

• de sensibiliser, informer en interne au sein de la collectivité des enjeux du RGPD 
• contrôler le respect du RGPD 
• d’être un correspondant, un interlocuteur privilégié pour la CNIL

C’est un rôle essentiel au sein d’une collectivité. 

En juin 2021, la présidente de la CNIL avait mis en garde les communes qui n’avaient pas encore désigné de DPO. Un après, devant  l’inaction de la part des plupart des communes déjà averties, la CNIL doit intervenir à nouveau. 

Les villes concernées 

le 31 mai jour de la décision, ce sont 22 villes dont la liste est rendue publique, qui n’ont toujours pas, malgré les sommations de la CNIL, désigné de DPO:

• Achères (78), 
• Auch (32), 
• Bastia (2B), 
• Beaune (21), 
• Bezons (95), 
• Bruay-la-Buissière (62), 
• Étampes (91), 
• Gagny (93), 
• Koungou (976), 
• Kourou (973), 
• Le Gosier (971), 
• Le Robert (972), 
• Montmorency (95), 
• Montfermeil (93), 
• Petit-bourg (971), 
• Pierrefitte-sur-Seine (93), 
• Saint-André (974), 
• Saint-Benoît (974), 
• Saint-Dizier (52), 
• Sotteville-lès-Rouen (76), 
• Villeneuve-Saint-Georges (94) 
• Vitry-sur-Seine (94).

Ces 22 communes ont reçu une mise en demeure de la part de la présidente de la CNIL de désigner un DPO dans un délai de 4 mois. Au-delà de ce délai, la CNIL pourra  prononcer une sanction (astreinte, rappel à l’ordre ou amende). 

Par ailleurs, la mise en demeure n’est pas automatiquement publique, ceci relève de la décision de la Présidente de la CNIL Concernant la sanction choisie, elle est déterminée en fonction de la gravité du manquement relevé.

Pour preuve, en quelques jours, deux communes ont déjà désigné un DPO! 

Pour en savoir plus sur le pouvoir de sanction de la CNIL, n’hésitez pas à consulter notre article. 

Comment choisir un DPO ?

 DPO interne ou externe

Si la désignation d’un DPO est obligatoire pour une commune, pour autant il peut s’agir d’un DPO interne ou externe. 

En effet, l’article 37 du RGPD précise que

« Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service”.

Mais vigilance cependant :  ainsi qu’il a été dit le DPO a une fonction essentielle pour les communes et celui qui sera désigné en interne devra y consacrer une grande partie de ses activités au détriment de celles qu’il occupe en même temps. Et ce, sans même compter la formation nécessaire à l’exercice de ces fonctions. De plus, rares seront les communes qui pourront recruter un DPO interne à temps plein non seulement en raison du coût mais également car un temps plein ou même un mi-temps serait surdimensionné. 

Dès lors, le DPO externe paraît une solution adaptée.

Si l’on opte pour un DPO externe, encore faut-il le choisir et ce n’est pas évident puisqu’en l’état il n’y a pas de contraintes légales à l’exercice de ces fonctions . Nous vous donnons quelques pistes pour savoir à qui vous adresser au mieux de la compétence recherchée.

La formation et la certification du DPO

En réalité, il n’existe pas de formation obligatoire pour exercer le rôle de DPO ! Plusieurs formations permettent d’acquérir des connaissances en la matière mais aucune formation n’est certifiée par la CNIL ni par le RGPD comme nécessaire afin d’exercer le rôle de DPO. 

Plusieurs formations permettent d’acquérir une compétence de DPO : MOOC, webinaires, formations en présentiel, formations par des organismes agréés… 

Devant la multiplicité des dispositifs, nous vous invitons à lire notre article : Devenir DPO pour en savoir plus.

Mais il est vrai que tout organisme peut former et certifier des DPO selon ses propres référentiels.

Pour autant la certification par l’un des organismes agréés est quand même un gage de sécurité pour l’entreprise ou la commune concernées. 

Pour en savoir plus sur ces certifications, consultez notre article. 

La localisation 

Dans une optique de proximité et de facilitation des échanges, le DPO doit idéalement être un résident de l’UE.

Se faire accompagner dans son choix 

Chez Mon Expert du Droit, nous disposons d’un annuaire de DPO vérifiés unique en France. Nous vous accompagnons dans le choix de votre DPO. N’hésitez pas à remplir notre formulaire : nous vous aiderons à trouver l’expert le plus adapté à vos besoins. 

Pour aller plus loin, découvrez nos autres guides spécial DPO :

• DPO Externe – Que dit la CNIL ? Quel coût ? Différence avec le DPO interne ?
• Le DPO : Est-il obligatoire ? Comment trouver le vôtre ? Externe ou interne ?
• DPO interne – Avantages et inconvénients de choisir un Data Protection Officer interne
• DPO – Quelles sont les compétences d’un Data Protection Officer ?