Le 31 mai dernier, ce ne sont pas moins de 22 mises en demeure de la CNIL qui ont été publiées, enjoignant autant de communes à désigner un DPO dans le délai de 4 mois.
Pour mémoire, la désignation d’un DPO est obligatoire dans certains cas, en particulier pour les autorités et organismes publics.
A la suite du contrôle de plusieurs communes de plus de 20.000 habitants au mois de juin 2021, la CNIL avait constaté que nombreuses d’entre elles n’avaient pas désigné de DPO. La CNIL leur avait alors adressées une lettre les invitant à procéder à cette démarche.
Plusieurs communes étant restées passives, la CNIL les a mis en demeure, de se mettre en conformité dans le délai de 4 mois.
La CNIL a décidé de rendre publiques ces mises en demeure compte tenu de différents facteurs, notamment :
- Le « rôle central » du DPO, la CNIL considérant notamment que l’absence d’un DPO prive les administrés d’un interlocuteur dédié à la protection des données ;
- L’ancienneté de l’obligation pour les organismes publics de désigner un DPO (depuis l’entrée en vigueur du RGPD c’est-à-dire il y a plus de 4 ans) ;
- Du caractère sensible de certaines missions des collectivités territoriales, outre le fait que ces dernières exercent l’autorité publique leur imposant de « particulièrement veiller à la protection des données à caractère personnel qui leur sont confiées. » ; la CNIL précisant que « cette protection s’avère d’autant plus essentielle s’agissant de l’obligation de sécurité, dès lors que les systèmes d’information des acteurs publics sont la cible d’attaques informatiques récurrentes. ».
La CNIL a également rappelé la possibilité de désigner un DPO commun pour plusieurs autorités publiques.
Si les 22 communes concernées ne se mettent pas en conformité dans le délai imparti, la CNIL pourra prononcer une sanction à leur encontre.
Il convient donc d’être particulièrement vigilant quant à la désignation d’un DPO pour tout organisme public ou toute autorité publique, mais également pour tout organisme privé soumis, dans certains cas, à cette même obligation.
Lien vers la délibération de la CNIL : ici
