Non-désignation d’un délégué à la protection des données (DPO) : la CNIL sanctionne la commune de Kourou en Guyane !

La Commission nationale de l'informatique et des libertés (CNIL) a prononcé, le 12 décembre dernier, une amende de 5000 € contre la commune de Kourou et une injonction de désigner un délégué à la protection des données^[1] assortie d’une astreinte de 150 €/jour dans un délai de deux mois.

Pour rappel, les communes ont pour obligation de désigner un délégué à la protection des données (DPO).

Le contexte

Le 25 avril 2022, la présidente de la CNIL a rendu publiques des mises en demeure visant 22 communes n’ayant pas procédé à la désignation d’un délégué à la protection des données en méconnaissance des obligations prévues par le RGPD (Règlement Général sur la Protection des Données).

Les communes disposaient d’un délai de quatre mois pour s’y conformer. À son issue, la commune de Kourou n’avait pas procédé à cette désignation, ni répondu aux services de la CNIL.

La présidente de la CNIL a ainsi décidé d’engager, dans un premier temps, une procédure de sanction simplifiée. Aux termes de celle-ci, le président de la formation restreinte a prononcé une première amende, non publique, de 5 000 € et une injonction de se mettre en conformité sous un délai de trois mois.

À l’issue de ce délai et compte tenu de la persistance des manquements – la commune de Kourou n’ayant ni désigné un DPO, ni répondu à la CNIL – la présidente de la CNIL a décidé d’initier une nouvelle procédure de sanction, mais cette fois dans le cadre de la procédure ordinaire, permettant notamment à la formation restreinte d’adopter une sanction publique.

Procédure de sanction

______________________________

^{_{1. Le délégué à la protection des données (DPO) est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme.}}