La Cnil rappelle aux communes leur obligation de créer un Délégué à la protection des données
Par Lucile Bonnin
Informer et protéger ; accompagner et conseiller ; anticiper et innover ; et enfin contrôler et sanctionner : telles sont les quatre grandes missions de la commission nationale informatique et libertés (Cnil) qui publie cette semaine son rapport d’activité pour l’année 2022.
À l’image des enjeux grandissants soulevés par le numérique, la Cnil, en 45 ans d’existence, n’a cessé d’accroître son activité et ses actions, notamment en direction des collectivités territoriales, qui sont la proie de plus en plus de cyberattaques alors même qu’elles disposent de toute une série de données sensibles.
100 % des plaintes ont été traitées
Dans ce rapport de plus de 90 pages, le gendarme du numérique indique que « pour la première fois depuis l’entrée en application du RGPD, la Cnil a traité plus de plaintes qu’elle n’en a reçues, ce qui a permis une diminution du stock. Elle a ainsi reçu 12 193 plaintes et traité 13 160 plaintes ».
345 contrôles ont été effectués en ligne, sur place, sur pièces ou encore sur audition. Ces opérations de vérification ont au final abouti au prononcé de 21 sanctions et à 147 mises en demeure. « Parmi les manquements les plus fréquents figurent le défaut d’information des personnes, le non-respect de leurs droits et le défaut de coopération avec la Cnil » , peut-on lire dans le rapport.
Une boîte à outils des collectivités qui s’élargit
2022 a aussi été une année fructueuse en matière d’outils élaborés pour les collectivités. La Cnil accompagne en effet les collectivités « dans leur démarche de conformité » notamment grâce à des guides, des référentiels, ou encore des recommandations.
L’atelier RGPD est une formation en ligne, gratuite et ouverte à tous (MOOC) proposée par la Cnil et, depuis l’année dernière, un nouveau module s’adresse directement aux collectivités territoriales. Environ 52 149 personnes ont profité de ces ateliers l’année dernière.
Enfin, l’année a également été marquée par la position de la Cnil concernant « le déploiement de caméras "augmentées" dans les espaces publics » . Une note est disponible sur le site de la commission sur les usages admissibles de ces dispositifs et leur encadrement par les pouvoirs publics.
Cybersécurité
Assurer la sécurité des données est une mission primordiale de la Cnil. Selon les chiffres publiés hier, le gendarme du numérique a été notifié de 4 088 « violations de données » par des organismes détenteurs de bases de données parmi lesquels les collectivités font partie. 62,8 % de ces violations signalées sont dues à des attaques externes malveillantes.
« L’édition 2022 du Salon des maires et des collectivités territoriales s’est déroulée dans un contexte de multiplication des cyberattaques contre les collectivités et les établissements hospitaliers » , peut-on lire dans le bilan. La Cnil a d’ailleurs rappelé à cette occasion « la nécessité de mettre en place une organisation permettant d’anticiper et gérer la sécurité des systèmes d’information et à prendre des mesures de sécurité basiques : procéder à des sauvegardes, utiliser des mots de passe conformes à la recommandation de la Cnil, chiffrer les postes de travail, sécuriser son site web contre les attaques les plus courantes, etc. Elle a également publié en juillet 2022, en collaboration avec Cybermalveillance.gouv.fr, un guide sur les obligations et les responsabilités des collectivités locales en matière de cybersécurité ».
22 communes mises en demeure
« Depuis l’entrée en application du RGPD en 2018, le montant total des sanctions infligées dépasse le demi-milliard d’euros », peut-on lire sur le site du gendarme du numérique qui rappelle tout de même que « l’objectif poursuivi est en priorité la mise en conformité des organismes » et que donc « 94 % des investigations menées aboutissent à la mise en conformité des organismes sans que la CNIL ne recoure à la sanction ».
Les organismes concernés par certaines mesures du RGPD sont « de toutes tailles, y compris des géants du numérique, et appartiennent à une grande variété de secteurs ». Le RGPD impose notamment « à toute collectivité territoriale, quelle que soit sa taille, de désigner un délégué à la protection des données (DPD) qui sera le pilote de sa mise en conformité ». Ainsi, la Cnil a publié fin 2021 un guide afin d’accompagner les organismes dans la mise en place de la fonction de DPD (lire Maire info du 1er décembre 2021).
Un an après, la Cnil tient à rappeler dans son rapport annuel que « le délégué à la protection des données joue un rôle essentiel dans la conformité des traitements mis en œuvre par les autorités publiques et qu’il est l’interlocuteur privilégié des agents et des administrés sur l’ensemble des sujets relatifs à la protection des données ».
Concernant cette obligation, 22 communes ont été mises en demeure en 2022 et « 21 ont procédé à la désignation d’un délégué à la protection des données » . Ainsi, les mises en demeure ont été closes. « Concernant la commune n’ayant toujours pas procédé à une désignation, la présidente de la Cnil a décidé de désigner un rapporteur et de saisir le président de la formation restreinte afin que soit prononcée une amende selon la procédure de sanction simplifiée ».
Suivez Maire info sur Twitter : @Maireinfo2
La proposition de loi encadrant les meublés touristiques retirée de l'agenda parlementaire