RGPD : « name and shame » pour les communes dépourvues de dpo

La CNIL a adopté cette délibération rendant publique (par une sorte de « name and shame » qui interroge ; même si la CEDH ne prohibe pas le procédé : voir La CEDH admet le principe du pilori en ligne (name & shame) ) le fait que 22 communes ont été mises en demeure de se doter d’un délégué à la protection des données (dpo ; pour « Data Protection Officer ») :

Délibération MEDP-2022-001 du 5 mai 2022

Commission Nationale de l’Informatique et des Libertés

Etat juridique : En vigueur
Date de publication sur Légifrance : Mardi 31 mai 2022
Délibération du bureau de la Commission nationale de l’informatique et des libertés n° MEDP-2022-001 du 5 mai 2022 décidant de rendre publique 22 mises en demeure prises à l’encontre de communes.

Le bureau de la Commission nationale de l’informatique et des libertés, réuni le 5 mai 2022 sous la présidence de Madame Marie-Laure DENIS ;
Siégeaient, outre la Présidente de la Commission, Madame Sophie LAMBREMON, Vice-présidente déléguée, et Monsieur François PELLEGRINI, Vice-président ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 20 ;
Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;
Vu la délibération n° 2013-175 du 4 juillet 2013 fixant le règlement intérieur de la Commission nationale de l’informatique et des libertés ;
Vu les décisions de la Présidente de la Commission du 25 avril 2022 mettant en demeure les communes d’Achères (n° MED-2022-057), Auch (n° MED-2022-044), Bastia (n° MED-2022-032), Beaune (n° MED-2022-033), Bezons (n° MED-2022-051), Bruay la Buissière (n° MED-2022-048), Etampes (n° MED-2022-059), Gagny (n° MED-2022-060), Koungou (n° MED-2022-034), Kourou (n° MED-2022-038), Le Gosier (n° MED-2022-042), Le Robert (n° MED-2022-041), Montmorency (n° MED-2022-050), Montfermeil (n° MED-2022-055), Petit-bourg (n° MED-2022-043), Pierrefitte-sur-Seine (n° MED-2022-056), Saint-André (n° MED-2022-037), Saint-Benoît (n° MED-2022-036), Saint-Dizier (n° MED-2022-046), Sotteville-lès-Rouen (n° MED-2022-049), Villeneuve-Saint-Georges (n° MED-2022-053) et Vitry-sur-Seine (n° MED-2022-054).
A adopté la délibération suivante :
Dans le cadre des missions définies à l’article 8 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, la Présidente de la Commission nationale de l’informatique et des libertés (ci-après  » CNIL « ) a adressé le 2 juin 2021 aux communes susvisées une lettre relevant l’absence de désignation d’un délégué à la protection des données ( » DPD  » ou  » DPO « ) auprès de la CNIL, alors que cette obligation concerne tout organisme public mettant en œuvre des traitements de données à caractère personnel.
Les communes concernées n’ont pas apporté de réponse à cette lettre et n’ont pas désigné de délégué à la protection des données auprès de la CNIL.
Par décision du 25 avril 2022, la Présidente de la Commission a, sur le fondement de l’article 20 de la loi du 6 janvier 1978 modifiée, mis en demeure lesdites communes de procéder à la désignation d’un délégué à la protection des données, conformément aux dispositions des articles 37 et suivants du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après RGPD), sous un délai de quatre mois.
En application du dernier alinéa du II de l’article 20 de la loi du 6 janvier 1978 modifiée, la Présidente de la CNIL a régulièrement convoqué le bureau de la Commission aux fins de statuer sur sa demande de rendre publique sa décision. Le bureau a été réuni à cette fin le 5 mai 2022.
Après en avoir délibéré, le bureau estime que la publicité des décisions de mise en demeure est justifiée en raison notamment du rôle central de la fonction de délégué à la protection des données, dont la désignation est obligatoire pour les autorités publiques depuis l’entrée en application du RGPD, soit depuis près de quatre ans.
A cet égard, il convient tout d’abord de rappeler que les collectivités territoriales, compte tenu de leurs missions parfois sensibles et de l’exercice de l’autorité publique, doivent particulièrement veiller à la protection des données à caractère personnel qui leur sont confiées. Cette protection s’avère d’autant plus essentielle s’agissant de l’obligation de sécurité, dès lors que les systèmes d’information des acteurs publics sont la cible d’attaques informatiques récurrentes.
Ensuite, le bureau relève qu’en application du 4° de l’article 38 du RGPD, une des fonctions du délégué à la protection des données est d’être l’interlocuteur des personnes pour toutes les questions relatives au traitement de leurs données à caractère personnel dont elles font l’objet et à l’exercice des droits que leur confère le RGPD.
Le bureau insiste également sur les multiples missions, définies à l’article 39 du RGPD, d’information et de conseil du délégué à la protection des données ainsi que de contrôle du respect des règles applicables, qui illustrent l’importance de cette fonction dans la mise en conformité des traitements de données réalisés par l’organisme auprès duquel il exerce ses fonctions.
En outre, le délégué est le point de contact de l’organisme avec l’autorité de contrôle sur les sujets relatifs à la protection des données. A cet égard, il coopère avec la CNIL et participe par exemple à la résolution de plaintes et à l’élaboration par l’autorité de contrôle des projets destinés à guider les professionnels dans la mise en œuvre des sujets relatifs à la protection des données.
A cet égard, le bureau rappelle qu’un seul délégué à la protection des données peut être désigné pour plusieurs autorités publiques, cette mutualisation permettant de bénéficier d’une expertise adéquate ainsi que d’outils et de procédures ayant fait leur preuve auprès d’autres acteurs publics.
Le bureau estime nécessaire d’informer les administrés des communes concernées sur le manque de prise en compte des problématiques de protection des données de la part de leur commune et sur le fait que l’absence d’un DPD/DPO les prive d’un interlocuteur dédié à ce sujet. En outre, le bureau considère qu’il est important d’alerter l’ensemble des acteurs publics sur l’obligation légale de désigner un délégué à la protection des données et l’importance de ses fonctions dans le déploiement de projets dès leur conception et la mise en œuvre des opérations de traitements.
En conséquence, le bureau de la Commission nationale de l’informatique et des libertés décide de rendre publique les décisions susvisées.
Le bureau rappelle que ces mises en demeure ne revêtent pas le caractère d’une sanction. Si les communes concernées se conforment en tout point aux exigences des mises en demeure dans le délai imparti, celles-ci feront l’objet de clôtures qui seront également rendues publiques.
Enfin, tant les décisions de mise en demeure précitées que la présente délibération ne permettront plus d’identifier nommément les communes concernées à l’expiration d’un délai d’un an à compter de leur publication.
La Présidente Marie-Laure DENIS