En dépit de l’article 37 du règlement général sur la protection des données (RGPD) en vigueur depuis 2018, plusieurs collectivités territoriales en France n’ont toujours pas de délégué·e·s à la protection des données (DPO). La Commission nationale de l’informatique et des libertés (Cnil) vient de mettre en demeure 22 communes de plus de 20.000 habitants de procéder à une désignation de DPO dans les quatre mois, sous peine d’amende.

Dans une publication datée d’hier, la Cnil souligne le rôle essentiel d’un·e DPO dans la conformité des traitements de données mis en œuvre par les autorités publiques en tant qu’interlocuteur·rice privilégié·e des agent·e·s et des administré·e·s sur l’ensemble des sujets relatifs à la protection des données, en interne (en cas d’attaque informatique notamment) et à l’égard des parties prenantes. Il ou elle s’assure de l’organisation du traitement des demandes d’exercice de droits et des éventuelles demandes de précisions de la Cnil en cas de vérification.

La Cnil ajoute que « dans le cas des collectivités locales, le délégué peut être un agent interne ou acteur externe et mutualisé entre plusieurs communes ».

En fin de publication, la commission précise que, parmi les 22 communes mises en demeure, la commune de Villeneuve-Saint-Georges (94) a réagi rapidement et n’est plus concernée tandis que les communes d’Auch (32) et de Bruay-la-Buissière (62) ont également transmis leur déclaration de désignation de DPO, en cours d’instruction.