22 000 communes ne respectent pas le RGPD selon la CNIL

Sur 34978 seulement 12678 communes auraient désigné un Délégué à la protection des données (DPO).

22 000 communes ne respectent pas le RGPD selon la CNIL, cela représente les deux tiers environs des communes françaises qui n’ont pas désigné de DPO auprès des services de la CNIL.

Désigner un DPO c’est certes peu et ça n’assure pas la conformité des communes en matière de protection des données à caractère personnel des administrés. En effet la désignation seule ne suffit pas à se conformer à la loi. Nous avions les Correspondants Informatique et Libertés de paille, il est fort à parier que la moisson pour les DPO soit importante dans le secteur des collectivités locales. La Commission n’a pas encore communiqué sur les autres acteurs du service public.

La particularité des communes est qu’elles traitent énormément de données. Les traitements d’une collectivité sont nombreux. On peut citer à titre d’exemple, les traitements régaliens confiés par l’état comme l’état civil, naissance, mariage, décès, bien que confié par l’état, le Maire est responsable de traitement. D’autres traitements, comme la gestion des cimetières, du CCAS, de la cantine scolaire et notamment des traitements particuliers liés à la gestion des allergies alimentaires (projet d’accueil individualisé, PAI). Ce même PAI est déployé dans les crèches qui peuvent encore être de la responsabilité des communes.

On pourrait également ajouter la gestion du ramassage scolaire, des centres de loisirs, etc., etc. A cela s’ajoute naturellement la gestion des différents personnels et des moyens dont ils disposent comme les véhicules de services. Le traitement du recouvrement des infractions routières nécessite au passage une étude d’impact sur la vie privée.

Les députés lors de la présentation du projet de mise à jour de la loi de 78, se sont opposés fermement à ce que la Commission puisse sanctionner les collectivités financièrement, Dont acte !

Les mêmes Députés ont également opposé un véto sur l’aide financière proposée aux collectivités pour les accompagner dans la mise en œuvre du RGPD.

Comment interpréter cette révélation de la CNIL ? La grille de lecture peut être au moins de deux axes : le premier serait un rappel aux collectivités concernant les obligations légales de désignation d’un DPO ou de mutualiser cette fonction avec une communauté de commune ; le deuxième axe serait un avertissement aux communes, la Commission pourrait adresser une mise en demeure à toutes celles qui ne se sont pas conformées au premier acte symbolique de la mise en conformité : la désignation du DPO.

Sans doute que cette communication tombe dans un moment où la Commission à rendu deux avis plus que mitigés. Le premier sur le projet de traitement relatif à la chasse aux contribuables fraudeurs sur les réseaux sociaux ; le deuxième concernant le projet ALICEM “authentification en ligne certifiée sur mobile” lui aussi largement critiqué par la CNIL. En espérant que les avis rendus par la CNIL ne resteront pas lettre morte et que les législateurs sauront en tenir compte pour que ces deux projets voient le jour avec des effets moins liberticides.

Les élections municipales en ligne de mire ?

Alors que certains commencent déjà à rentrer dans la campagne pour les élections municipales, la CNIL annonce que 2/3 des communes n’ont pas désignées de DPO.

Dans un communiqué publié en mai 2019 la CNIL signale également :

« 70 % des Français se disent aujourd’hui plus sensibles aux problématiques de protection des données. »

Sondage IFOP réalisé en avril 2019 sur un échantillon de 1 000 personnes, représentatif de la population française de 18 ans et plus, selon la méthode des quotas.

Les candidats aux élections municipales devraient sans doute bien interpréter ces informations afin de mieux préparer leurs programmes électoraux.