Absence de DPO : Kourou et 21 municipalités épinglés par la CNIL

Absence de DPO : Kourou et 21 municipalités épinglés par la CNIL
Actualité Événement

Le 25 avril 2022, la présidente de la CNIL a dévoilé des avertissements officiels à l’égard de 22 municipalités qui n’avaient pas respecté les obligations du RGPD en ne nommant pas de délégué à la protection des données (DPO).

Ces municipalités avaient un délai de quatre mois pour se conformer à cette exigence. Cependant, à la fin de cette période, la commune de Kourou n’avait ni désigné de DPO ni répondu aux demandes de la CNIL.

Amende initiale et injonction

Face à cette situation, la présidente de la CNIL a initié une première procédure de sanction simplifiée. Le président de la formation restreinte de la CNIL a imposé une amende initiale de 5 000 euros, non divulguée publiquement, et a émis une injonction exigeant que la commune se mette en conformité dans un délai de trois mois.

Suite à l’absence persistante de conformité de la commune de Kourou après ce délai, la présidente de la CNIL a donc décidé d’entamer une nouvelle procédure de sanction, cette fois-ci dans le cadre de la procédure ordinaire, permettant une éventuelle imposition de sanctions publiques par la formation restreinte.

Le rôle crucial du DPO

La sanction résulte du non-respect de l’obligation pour les autorités publiques, telles que les municipalités, de désigner un DPO conformément à l’article 37 du RGPD. La formation restreinte a souligné l’importance du rôle du DPO en tant qu’interlocuteur principal des agents et des citoyens de la commune sur toutes les questions liées à la protection des données.

En plus de l’omission de désigner un DPO, la formation restreinte a noté que la commune n’a jamais répondu à la CNIL malgré les multiples procédures engagées à son encontre. En conséquence, la formation restreinte de la CNIL a prononcé une nouvelle amende de 5 000 euros, accompagnée d’une injonction exigeant la conformité dans un délai de deux mois, assortie d’une astreinte de 150 euros par jour de retard.

Renforcement de la sanction

Par ailleurs, la sanction a été renforcée de deux manières : d’une part, en la rendant publique, et d’autre part, en ordonnant à la commune d’afficher pendant quatre jours un message d’information destiné aux utilisateurs sur son site web.

Partager l'article

Articles similaires

PAP épinglé par la CNIL : des millions de données mal protégées
Actualité

PAP épinglé par la CNIL : des millions de données mal protégées

Le site de petites annonces immobilières PAP a été condamné par la CNIL à une amende de 100 000 euros pour manquements à la protection des données personnelles de ses utilisateurs.
Lire la suite
Piratage de données santé :  les conséquences de la cyberattaque
Actualité

Piratage de données santé : les conséquences de la cyberattaque

Deux cyberattaques majeures ont récemment touché les opérateurs de tiers payant Viamedis et Almerys, exposant les données personnelles et médicales de millions d'assurés.
Lire la suite