Le 12 décembre 2023, la Commission Nationale de l’Informatique et des Libertés (CNIL) a émis une amende assortie d’une injonction sous astreinte à l’encontre de la commune de Kourou. Cette décision résulte de l’absence de désignation d’un délégué à la protection des données (DPO) par la commune, en sus de son refus de coopérer avec les services de la CNIL[1].
En juin 2021, la CNIL, qui avait lancé une opération de contrôle ciblant les communes de plus de 20 000 habitants, a mis en garde celles qui n’avaient pas encore désigné de délégué à la protection des données. En effet, conformément à l’article 37, paragraphe 1, a) du règlement (UE) 2016/679 relatif à la protection des données personnelles (RGPD), les communes sont tenues, en tant qu’autorités publiques, de nommer un DPO[2].
En avril 2022, certaines communes n’avaient pas pris les mesures nécessaires pour se mettre en conformité et n’avaient pas répondu au courrier de l’autorité de contrôle relevant l’absence de la désignation d’un DPO en leur sein[3]. Par conséquent, le 25 avril 2022, la présidente de la CNIL, sur le fondement de l’article 20 de la loi du 6 janvier 1978 modifiée, a mis en demeure 22 communes de procéder à leur mise en conformité dans un délai de quatre mois. Compte tenu du caractère sensible que peuvent revêtir les missions des communes, de l’importance du rôle du DPO qui est obligatoire pour ces dernières et ce depuis l’entrée en vigueur du RGPD, ainsi que par la volonté d’informer les administrés concernés[4], la CNIL a décidé de rendre publiques ces mises en demeure en application du dernier alinéa du II de l’article 20 de la loi du 6 janvier 1978 modifiée[5].
À l’issue de ce délai de quatre mois, la commune de Kourou, située dans la collectivité territoriale unique de Guyane, n’avait toujours pas procédé à la désignation d’un DPO. En outre, toutes les correspondances de la CNIL à son égard étaient restées sans réponses, ce qui constitue un manquement de la part de la commune à l’obligation de coopération avec l’autorité de contrôle prévue par l’article 31 du RGPD[6].
Face à cette situation, une procédure de sanction simplifiée a été engagée le 8 février 2023 à l’encontre de la commune de Kourou. Cette dernière a été condamnée, par le Président de la formation restreinte de la CNIL, à une amende de cinq mille euros pour les manquements aux articles 31 et 37-1-a) du RGPD et à une injonction de désigner un DPO dans un délai de trois mois à partir de la notification de la décision, soit le 25 février 2023[7].
Cette décision ainsi que sa notification étant également restées sans réponse et la commune n’ayant toujours pas procédé à sa mise en conformité, la formation restreinte de la CNIL a prononcé, cette fois dans le cadre de la procédure ordinaire, une nouvelle sanction à l’encontre de la commune le 12 décembre 2023. L’amende s’élève à un montant de cinq mille euros, accompagnée d’une injonction de se conformer dans un délai de deux mois, assortie d’une astreinte de 150 euros par jour de retard. De plus, la commune a été tenue de publier pendant quatre jours un message d’information, concernant cette décision rendue par la formation restreinte de la CNIL, sur son site web. En raison de la gravité et de la persistance des manquements, il a également été décidé que cette sanction soit rendue publique[8].
[1] Commission Nationale de l’Informatique et des Libertés, « Non-désignation d’un délégué à la protection des données : la CNIL sanctionne la commune de Kourou », 19 décembre 2023 [https://www.cnil.fr/fr/non-designation-dun-delegue-la-protection-des-donnees-la-cnil-sanctionne-la-commune-de-kourou].
[2] Commission Nationale de l’Informatique et des Libertés, « La CNIL met en demeure vingt-deux communes de désigner un délégué à la protection des données », 31 mai 2022 [https://www.cnil.fr/fr/la-cnil-met-en-demeure-vingt-deux-communes-de-designer-un-delegue-la-protection-des-donnees]
[3] Commission Nationale de l’Informatique et des Libertés, 5 mai 2022, Délibération MEDP-2022-001
[4] Commission Nationale de l’Informatique et des Libertés, 5 mai 2022, Délibération MEDP-2022-001
[5] Commission Nationale de l’Informatique et des Libertés, 5 mai 2022, Délibération MEDP-2022-001
[6] Commission Nationale de l’Informatique et des Libertés, 12 décembre 2023, délibération SAN-2023-018
[7] Commission Nationale de l’Informatique et des Libertés, 12 décembre 2023, délibération SAN-2023-018
[8] Commission Nationale de l’Informatique et des Libertés, 12 décembre 2023, délibération SAN-2023-018