Depuis le 25 mai 2018, le Règlement général sur la protection des données (RGPD) est entré en vigueur. A suivi, le 20 juin 2018, la publication au JO de la loi relative à la protection des données personnelles qui adapte le RGPD à la loi française.

Une des grandes nouveautés du RGPD par rapport à la loi Informatique et libertés : la responsabilisation des acteurs qui traitent les données à caractère personnel. Ces derniers doivent en effet prendre toutes les mesures en matière de protection des données personnelles et démontrer leur conformité.

En conséquence, le RGPD impose « à toute collectivité territoriale, quelle que soit sa taille, de désigner un délégué à la protection des données qui sera le pilote de sa mise en conformité »  (lire Maire info du 1er décembre 2021). 

Dans le cadre d’une action coordonnée par le Comité européen de la protection des données (CEPD), la Cnil a mené en 2023 des contrôles auprès de 14 organismes publics (hôpital, université, rectorat, commune ou intercommunalité, centre de gestion) et privés (travaillant dans le secteur du luxe ou des transports) « pour vérifier le rôle et les moyens confiés »  au délégué à la protection des données. Les conclusions ont été dévoilées la semaine dernière sur le site de la Cnil et dans un rapport sur le site European data protection board. 

Plusieurs axes d’amélioration

La Cnil précise avant tout que le bilan de ces contrôles est « globalement positif »  notamment car les obligations des délégués ont été prises en compte par les organismes. Les DPD disposent « généralement de moyens suffisants à l’accomplissement de [leurs] missions »  et sont « le plus souvent, associés aux décisions en lien avec les données personnelles ».

Cependant, plusieurs problèmes ont été repérés dans les différents organismes par la Cnil. D’abord, plusieurs DPD n’ont pas de temps suffisant pour remplir toutes leurs tâches. Dans la plupart des cas, les organisations n’engagent pas de spécialistes des données pour venir en aide au DPD qui peut être rapidement débordé notamment dans un organisme de taille importante. Un DPD travaillant à temps plein et qui reçoit de l’aide d’une équipe peut aussi bien manquer de temps pour remplir toutes les missions. La Cnil remarque que ce manque de temps pose surtout problème lorsque le DPD est partagé entre plusieurs organismes. 

Pour rappel, les principales missions du DPD sont : informer et conseiller le responsable de traitement, contrôler le respect du RGPD et du droit national de la protection des données, jouer un rôle de « point de contact »  entre la collectivité et la Cnil et s’assurer de la bonne tenue du registre des traitements (lire Maire info 13 septembre 2018). 

La Cnil regrette également le fait que certaines organisations ne semblent pas désigner systématiquement leur DPD sur la base de compétences professionnelles, notamment sur la connaissance de loi sur la protection des données. Par ailleurs, il a été constaté l'insuffisance, voire l'absence de formation de certains DPD. D’autres problèmes plus techniques ont été remarqués par le Cnil comme le manque de de coopération entre les différents services de l’organisme et le DPD. 

Difficultés dans les petites collectivités 

Ces résultats d’enquête confirment l’existence de disparités de moyens entre les DPD « de grandes entreprises et ceux des petites collectivités ». En effet, comme l’indique la Cnil, « le délégué "public" exerce souvent ses fonctions seul tandis que le délégué "privé" dispose généralement d’une équipe ».

Il faut souligner qu’il peut être particulièrement compliqué pour les petites communes de désigner un DPD ou interne. C’est pourquoi la mutualisation d’un DPD entre collectivités peut être une solution. Selon les chiffres du gouvernement, en 2021, 72 % des DPD exerçaient leur fonction en interne. En 2021, le nombre de DPD en France était de 28 810. 

Rappelons que les collectivités peuvent bénéficier d’outils mis à disposition par la Cnil notamment dans un guide qui regroupe les principales connaissances utiles et bonnes pratiques pour les collectivités et leurs DPD (consulter le guide). 

La Cnil rappelle pour finir que, à la suite de ses contrôles, elle « a adopté des mesures correctrices (mise en demeure ou rappel aux obligations légales) à l’encontre de quelques organismes, en raison notamment de l’existence de conflits d’intérêts entre les missions du délégué et d’autres tâches qui lui sont affectées ou de l’absence d’association du délégué aux problématiques liées à la protection des données » . En effet, les manquements aux obligations peuvent être sanctionnés même à l’encontre des petites communes (lire Maire info du 1er juin 2022). 

Suivez Maire info sur Twitter : @Maireinfo2