Non-désignation d’un délégué à la protection des données : la CNIL sanctionne la commune de Kourou
Le 12 décembre 2023, la CNIL a prononcé une amende et une injonction sous astreinte à l’encontre de la commune de Kourou pour ne pas avoir désigné de délégué à la protection des données, ni coopéré avec les services de la CNIL.
Le contexte
Le 25 avril 2022, la présidente de la CNIL a rendu publiques des mises en demeure visant 22 communes n’ayant pas procédé à la désignation d’un délégué à la protection des données (DPO) en méconnaissance des obligations prévues par le RGPD.
Les communes disposaient d’un délai de 4 mois pour s’y conformer. À son issue, la commune de Kourou n’avait pas procédé à cette désignation, ni répondu aux services de la CNIL.
La présidente de la CNIL a ainsi décidé d’engager, dans un premier temps, une procédure de sanction simplifiée. Aux termes de celle-ci, le président de la formation restreinte (organe de la CNIL chargé de prononcer les sanctions) a prononcé une première amende, non publique, de 5 000 euros et une injonction de se mettre en conformité sous un délai de trois mois.
À l’issue de ce délai et compte tenu de la persistance des manquements – la commune de Kourou n’ayant ni désigné un DPO, ni répondu à la CNIL – la présidente de la CNIL a décidé d’initier une nouvelle procédure de sanction, mais cette fois dans le cadre de la procédure ordinaire, permettant notamment à la formation restreinte d’adopter une sanction publique.
Une sanction pour ne pas avoir désigné de délégué à la protection des données et ne pas avoir coopéré avec la CNIL
Les communes, en tant qu’autorité publique, ont pour obligation de désigner un délégué à la protection des données (article 37 du RGPD).
La formation restreinte a d’abord rappelé l’importance des missions et du rôle du délégué à la protection des données qui constitue l’interlocuteur privilégié des agents et des administrés de la commune sur l’ensemble des sujets relatifs à la protection des données.
La formation restreinte a ensuite relevé qu’outre l’absence de désignation de délégué à la protection des données, la commune n’a jamais répondu à la CNIL, malgré les différentes procédures dont elle a fait l’objet.
En conséquence, la formation restreinte de la CNIL a de nouveau prononcé une amende de 5 000 euros et une injonction de se mettre en conformité dans un délai de deux mois, assortie d’une astreinte de 150 euros par jour de retard.
En outre, elle renforce cette sanction par deux moyens : d’une part en la rendant publique, d’autre part en ordonnant à la commune d’afficher pendant quatre jours un message d’information à destination des usagers sur son site web.
Pour approfondir
- Les procédures de sanction
- Le délégué à la protection des données (DPO)
- Désigner un délégué à la protection des données dans une collectivité
- La CNIL met en demeure vingt-deux communes de désigner un délégué à la protection des données
- Désignation d'un délégué à la protection des données : bilan des mises en demeure prononcées à l'encontre de 22 communes