CNIL, Décision du 25 avril 2022, n° MED-2022-057

CNIL 25 avril 2022

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.

Accepté
Manquement à l'obligation de désignation d'un DPO
La cour a constaté que l'absence de désignation d'un DPO constitue un manquement aux obligations prévues par le RGPD, et a ordonné à la commune de procéder à cette désignation dans un délai imparti.
Accepté
Obligation de fournir des documents de mise en conformité
La cour a jugé que la fourniture de documents est nécessaire pour vérifier la conformité de la commune avec les obligations légales en matière de protection des données.

Résumé de la juridiction

Décision n°MED-2022-057 du 25 avril 2022 mettant en demeure la commune X

Commentaire • 0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

Sur la décision

Référence :	CNIL, déc. n° MED-2022-057, 25 avr. 2022
Numéro :	MED-2022-057
Nature de la délibération :	Mise en demeure
État :	VIGUEUR
Identifiant Légifrance :	CNILTEXT000045834739

Texte intégral

La Présidente

COMMUNE X

MAIRIE

MONSIEUR LE MAIRE

[…]

Paris, le 25 avril 2022

Références à rappeler dans toute correspondance :

N/Réf. : xxx- CTX -2022-037

Décision de mise en demeure n°MED-2022-057 du 25 avril 2022

Monsieur le Maire,

Par lettre du 2 juin 2021, je vous alertais sur l’absence de désignation d’un délégué à la protection des données (ou « DPO ») au sein de votre commune.

A ce jour, cette lettre est restée sans suite de votre part.

S’agissant des règles applicables, je vous rappelle que l’article 37.1 a) du règlement (UE) 2016/679 du Parlement européen et du Conseil relatif à la protection des données à caractère personnel (ci-après, le « RGPD » ou le « Règlement ») impose la désignation d’un délégué à la protection des données lorsque le traitement est effectué par une autorité publique ou un organisme public. Cette obligation concerne ainsi les collectivités territoriales traitant de données à caractère personnel dans le cadre de leurs différentes activités (données d’agents publics, d’administrés, d’élus etc.).

Il vous appartiendra de veiller à ce que la désignation du délégué ne donne pas lieu à un conflit d’intérêt (ce qui empêche notamment qu’un élu soit désigné pour sa propre collectivité), que le délégué puisse réaliser ses missions de manière indépendante et enfin à ce qu’il dispose du soutien actif et pérenne de la commune dans ses missions. Il doit à cet effet bénéficier de ressources suffisantes pour mener à bien ses missions et doit être associé, de façon appropriée et en temps utile, à toutes les questions relatives à la protection des données.

Je vous rappelle que le délégué à la protection des données joue un rôle essentiel dans la conformité des traitements de données à caractère personnel mis en œuvre.

En effet, au titre des missions définies à l’article 39 du RGPD, il a vocation à accompagner votre commune, notamment en communiquant et conseillant sur les règles relatives à la protection des données à caractère personnel ainsi que sur les moyens de s’y conformer, à la fois auprès de son représentant légal (vous-même) et de chacun des acteurs pertinents (services supports et opérationnels). Son rôle, en collaboration avec les équipes informatiques, est également essentiel en matière de sécurité des systèmes d’information.

J’attire votre attention sur le fait que le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39.

A cet égard, je vous précise que votre commune peut choisir de désigner un délégué à la protection des données externe (personne physique ou morale), celui-ci pouvant être mutualisé avec d’autres collectivités afin de bénéficier d’une expertise adéquate ainsi que d’outils et de procédures ayant fait leur preuve auprès d’autres acteurs publics.

Dès lors, le fait de ne pas avoir procédé à la désignation d’un délégué à la protection des données constitue un manquement à l’article 37 du RGPD.

En conséquence, conformément à l’article 20 de la loi n° 78-17 du 6 janvier 1978 modifiée, la commune X, établie à l’adresse indiquée ci-dessus, est mise en demeure sous un délai de quatre (4) mois à compter de la notification de la présente décision et sous réserve des mesures qu’elle aurait déjà pu adopter, de procéder à la désignation d’un délégué à la protection des données, conformément aux dispositions des articles 37 et suivants du RGPD.

Il est demandé à la commune de fournir dans le délai imparti tout document utile pour attester des actions prises dans le cadre de sa mise en conformité.

A cette fin, vous pourrez utilement vous reporter au guide pratique de la CNIL intitulé « Délégués à la protection des données » en ce qu’il détaille notamment les règles et modalités de désignation d’un DPO (https://www.cnil.fr/sites/default/files/atoms/files/guide_pratique_rgpd_-_delegues_a_la_protection_des_donnees.pdf).

Si la commune ne s’est pas conformée à la présente mise en demeure à l’issue du délai imparti, je pourrai désigner au sein de la CNIL un rapporteur et saisir la formation restreinte de la CNIL afin que soit prononcée l’une des mesures prévues par les articles 20 et suivants de la loi du 6 janvier 1978 modifiée, dans les conditions fixées par le décret n° 2019-536 du 29 mai 2019 modifié.

À l’inverse, si la commune s’est conformée à la mise en demeure à l’issue du délai imparti, il sera considéré que la présente procédure est close et un courrier lui sera adressé en ce sens.

Je vous prie d’agréer, Monsieur le Maire, mes salutations distinguées.

Marie-Laure DENIS