Absence de DPO : Kourou et 21 municipalités épinglés par la CNIL

Absence de DPO : Kourou et 21 municipalités épinglés par la CNIL
Événement

Le 25 avril 2022, la présidente de la CNIL a dévoilé des avertissements officiels à l’égard de 22 municipalités qui n’avaient pas respecté les obligations du RGPD en ne nommant pas de délégué à la protection des données (DPO).

Ces municipalités avaient un délai de quatre mois pour se conformer à cette exigence. Cependant, à la fin de cette période, la commune de Kourou n’avait ni désigné de DPO ni répondu aux demandes de la CNIL.

Amende initiale et injonction

Face à cette situation, la présidente de la CNIL a initié une première procédure de sanction simplifiée. Le président de la formation restreinte de la CNIL a imposé une amende initiale de 5 000 euros, non divulguée publiquement, et a émis une injonction exigeant que la commune se mette en conformité dans un délai de trois mois.


Suite à l’absence persistante de conformité de la commune de Kourou après ce délai, la présidente de la CNIL a donc décidé d’entamer une nouvelle procédure de sanction, cette fois-ci dans le cadre de la procédure ordinaire, permettant une éventuelle imposition de sanctions publiques par la formation restreinte.

Le rôle crucial du DPO

La sanction résulte du non-respect de l’obligation pour les autorités publiques, telles que les municipalités, de désigner un DPO conformément à l’article 37 du RGPD. La formation restreinte a souligné l’importance du rôle du DPO en tant qu’interlocuteur principal des agents et des citoyens de la commune sur toutes les questions liées à la protection des données.


En plus de l’omission de désigner un DPO, la formation restreinte a noté que la commune n’a jamais répondu à la CNIL malgré les multiples procédures engagées à son encontre. En conséquence, la formation restreinte de la CNIL a prononcé une nouvelle amende de 5 000 euros, accompagnée d’une injonction exigeant la conformité dans un délai de deux mois, assortie d’une astreinte de 150 euros par jour de retard.

Renforcement de la sanction

Par ailleurs, la sanction a été renforcée de deux manières : d’une part, en la rendant publique, et d’autre part, en ordonnant à la commune d’afficher pendant quatre jours un message d’information destiné aux utilisateurs sur son site web.


Liquidation de l’astreinte

La commune de Kourou avait un délai de deux mois pour se conformer à l’injonction et en informer la CNIL. Cependant, elle n’a pas désigné de délégué à la protection des données ni répondu à la CNIL dans ce laps de temps.


Ainsi, le 22 juillet 2024, la formation restreinte a jugé que la commune n’avait pas respecté l’injonction et a donc procédé à la liquidation de l’astreinte, d’un montant de 6 900 euros.


Cette liquidation partielle de l’astreinte ne clôt pas la procédure. L’injonction et son astreinte continuent de s’appliquer tant que la commune de Kourou n’aura pas désigné de délégué à la protection des données, ce qui pourrait entraîner de nouvelles liquidations d’astreintes.


Partager l'article

Articles similaires

Trophées Alsace Export 2024 : une célébration de l’excellence et de l’innovation
Événement

Trophées Alsace Export 2024 : une célébration de l’excellence et de l’innovation

Lire la suite
Protection des données : La CNIL dévoile son Bilan 2023 
Événement

Protection des données : La CNIL dévoile son Bilan 2023 

La Commission nationale de l’informatique et des libertés (CNIL) dresse le bilan de son activité pour l’année 2023, marquant ainsi les cinq ans de la mise en œuvre du Règlement général sur la protection des données (RGPD). Retour sur 2023, l’année a été caractérisée par un nombre record de plaintes reçues et une refonte de la politique d’accompagnement de la CNIL.
Lire la suite