Le 25 avril 2022, la présidente de la CNIL a dévoilé des avertissements officiels à l’égard de 22 municipalités qui n’avaient pas respecté les obligations du RGPD en ne nommant pas de délégué à la protection des données (DPO).
Ces municipalités avaient un délai de quatre mois pour se conformer à cette exigence. Cependant, à la fin de cette période, la commune de Kourou n’avait ni désigné de DPO ni répondu aux demandes de la CNIL.
Amende initiale et injonction
Face à cette situation, la présidente de la CNIL a initié une première procédure de sanction simplifiée. Le président de la formation restreinte de la CNIL a imposé une amende initiale de 5 000 euros, non divulguée publiquement, et a émis une injonction exigeant que la commune se mette en conformité dans un délai de trois mois.
Suite à l’absence persistante de conformité de la commune de Kourou après ce délai, la présidente de la CNIL a donc décidé d’entamer une nouvelle procédure de sanction, cette fois-ci dans le cadre de la procédure ordinaire, permettant une éventuelle imposition de sanctions publiques par la formation restreinte.
Le rôle crucial du DPO
La sanction résulte du non-respect de l’obligation pour les autorités publiques, telles que les municipalités, de désigner un DPO conformément à l’article 37 du RGPD. La formation restreinte a souligné l’importance du rôle du DPO en tant qu’interlocuteur principal des agents et des citoyens de la commune sur toutes les questions liées à la protection des données.
En plus de l’omission de désigner un DPO, la formation restreinte a noté que la commune n’a jamais répondu à la CNIL malgré les multiples procédures engagées à son encontre. En conséquence, la formation restreinte de la CNIL a prononcé une nouvelle amende de 5 000 euros, accompagnée d’une injonction exigeant la conformité dans un délai de deux mois, assortie d’une astreinte de 150 euros par jour de retard.
Renforcement de la sanction
Par ailleurs, la sanction a été renforcée de deux manières : d’une part, en la rendant publique, et d’autre part, en ordonnant à la commune d’afficher pendant quatre jours un message d’information destiné aux utilisateurs sur son site web.
Liquidation de l’astreinte
La commune de Kourou avait un délai de deux mois pour se conformer à l’injonction et en informer la CNIL. Cependant, elle n’a pas désigné de délégué à la protection des données ni répondu à la CNIL dans ce laps de temps.
Ainsi, le 22 juillet 2024, la formation restreinte a jugé que la commune n’avait pas respecté l’injonction et a donc procédé à la liquidation de l’astreinte, d’un montant de 6 900 euros.
Cette liquidation partielle de l’astreinte ne clôt pas la procédure. L’injonction et son astreinte continuent de s’appliquer tant que la commune de Kourou n’aura pas désigné de délégué à la protection des données, ce qui pourrait entraîner de nouvelles liquidations d’astreintes.
