Conformément à l’article 37.1. a) du Règlement Général sur la Protection des données (RGPD)[1], toute autorité publique, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle, est tenue de nommer un Délégué à la Protection des Données (DPO).

Comme expliqué dans une précédente brève, rappelons qu’en juin 2021, à l’occasion d’une opération de contrôle ciblant les communes de plus de 20 000 habitants, la Commission Nationale de l’Informatique et des Libertés (CNIL) a mis en garde, dans un premier temps, puis mis en demeure, dans un second temps, celles qui n’avaient pas encore désigné de DPO. En raison des manquements persistants de la part de la commune de Kourou, celle-ci a fait l’objet d’une procédure de sanction simplifiée en février 2023, puis d’une procédure de sanction ordinaire en décembre 2023.

A cette occasion, la formation restreinte de la CNIL a prononcé une amende de 5 000 euros à l’encontre de la commune, amende qui a été assortie d’une astreinte de 150 euros par jour de retard à l’issu d’un délai de deux mois. En outre, la Commission a enjoint à la commune de Kourou de désigner un DPO. Cependant, durant le délai de deux mois qui lui était imparti, la commune de Kourou n’a transmis aucun élément permettant d’attester de la désignation d’un DPO à la CNIL.

En conséquence, le 22 juillet 2024, la formation restreinte de la CNIL, considérant que la commune n’avait pas satisfait à l’injonction, a prononcé une liquidation de l’astreinte pour un montant de 6.900 euros.

A noter que cette liquidation d’astreinte ne clôture par la procédure, l’injonction courant toujours tant que la commune de Kourou n’aura pas décidé de désigner un DPO. Une nouvelle liquidation d’astreinte pourrait alors être prononcée !

[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE