Alors que la Cnil met en demeure 22 grandes villes n’ayant pas encore de délégué à la protection des données (DPO), l’Observatoire Data Publica publie une étude sur leur nomination dans les collectivités. Depuis l’entrée en vigueur du règlement général sur la protection des données (RGPD), il y a quatre ans, toutes les collectivités doivent nommer un DPO et certaines peinent à le faire.
A partir de l’analyse du fichier en open data de la Cnil les listant, l’Observatoire a ainsi mesuré que 47% des communes – 16 299 communes exactement – ont nommé un DPO au 1er janvier 2022. Un chiffre qui, comme bien souvent, diffère en fonction des strates : toutes les villes de plus de 100 000 habitants ont un DPO, quand 44% des villes de moins de 3 500 habitants en ont un.
Un rôle important
« On constate qu’il y a un progrès d’une année à l’autre », analyse Jacques Priol, président de l’observatoire. Quasiment toutes les plus grandes collectivités ont désigné un DPO et cette désignation est un acte important qui enclenche souvent derrière des actions de protection des données personnelles des habitants ou des agents. »
Dans les villes comptant 10 000 à 100 000 habitants, certaines n’ont pas encore nommé de DPO, comme le rappelait la Cnil hier. « C’est important et normal que la Cnil fasse un rappel à l’ordre », souligne Jacques Priol, qui rappelle que c’est dans les plus grosses communes que se développent souvent les nouveaux usages de la donnée, de type « smart city », qui nécessitent de manipuler plus de données et d’être encore plus rigoureux avec les données personnelles.
Fort recours à la mutualisation
Ces chiffres montrent également l’importance de la mutualisation, notamment dans les plus petites communes : selon l’étude, 84% des communes de moins de 3 500 habitants ayant un DPO ont recours à une solution de mutualisation. Une mutualisation possible notamment grâce aux opérateurs publics de services numériques (OPSN).
Ainsi le syndicat mixte cantalou Agedi est le DPO de 2009 communes, l’Adico, dans l’Oise de 1332 communes et Soluris, en Charente-Maritime et dans les Deux-Sèvres assure ce rôle pour 425 communes. Les centres de gestion assurent aussi ces fonctions : 277 communes de Meurthe-et-Moselle bénéficient ainsi de l’accompagnement du centre de gestion départemental pour la protection des données.
« Ce panorama est une première étape, conclut Jacques Priol, ajoutant qu’il manque les actions entreprises par ces DPO et notamment sur la réalisation d’analyses d’impact et la mise en œuvre des plans d’actions. « L’enquête qu’on vient de lancer va nous permettre d’avancer dans notre analyse », promet le président de l’observatoire.
Cet article est en relation avec le dossier
Thèmes abordés