En mai 2022, la CNIL avait annoncé avoir adressé des mises en demeure à des communes de plus de 20.000 habitants n’ayant pas encore désigné de DPO, afin qu’elles remédient à cette situation. Dans une publication d’octobre 2022, la CNIL dresse un premier bilan de ces mises en demeure.
Pour rappel, l’article 37 du Règlement général sur la protection des données (RGPD) impose la désignation d’un délégué à la protection des données (DPO) aux autorités publiques et aux organismes publics procédant à des traitements de données à caractère personnel en qualité de responsable du traitement ou de sous-traitant.
Dans une publication du 31 mai 2022, la CNIL avait annoncé :
- avoir mis en garde, en juin 2021, des communes de plus de 20.000 habitants qui ne s’étaient pas pliées à leur obligation de désigner un DPO ;
- puis, le 5 mai 2022, avoir mis en demeure 22 de ces communes n’ayant pas tenu compte de cette mise garde.
Le 4 octobre 2022, la CNIL a publié un bilan de ces mises en demeure, dont il ressort que :
- 18 communes ont procédé à la désignation d’un DPO, ce qui a entrainé la clôture de leur mise en demeure ;
- 2 communes sont « en cours de désignation » d’un DPO ;
- 2 communes n’ont pas répondu à la CNIL, ni désigné de DPO.
La CNIL a annoncé que, s’agissant des communes qui ne se sont pas conformées à la mise en demeure, celles-ci pourront faire l’objet d’une procédure afin que soient prononcées, le cas échéant, « d’autres mesures correctrices telles qu’une amende ou une injonction sous astreinte ».
Lien vers la publication : ici