Non-désignation d’un DPO : une commune sanctionnée par la CNIL

Non-désignation d’un DPO : une commune sanctionnée par la CNIL

Ce qu’il faut retenir

Le RGPD s’applique aux organismes publics, comme aux organismes privés. Les collectivités locales par exemple, ont notamment l’obligation de désigner un DPO. Après avoir prononcé une série de mises en demeure en avril 2022 à l’encontre de 22 communes qui ne s’étaient pas mises en conformité, la CNIL a sanctionné la commune de Kourou à deux reprises pour ne pas avoir désigné de DPO.


Le RGPD ne s’applique pas qu’aux organismes de droit privé. Les organismes publics, dont les collectivités territoriales, sont également soumis au respect des règles de protection des données personnelles de leurs agents et des administrés. Parmi ces règles figure l’obligation de désigner un délégué à la protection des données (DPO).

Le 25 avril 2022, la CNIL avait prononcé une série de mises en demeure à l’encontre de 22 communes qui ne disposaient pas d’un DPO. 21 communes se sont mises en conformité depuis. Toutefois, la commune de Kourou n’a ni désigné un DPO, ni répondu aux injonctions de la CNIL. La commune a donc été sanctionnée. La CNIL vient de prononcer la liquidation de l’astreinte suite à la persistance de la commune de Kourou à ne pas respecter le règlement.


1. L’obligation de désignation d’un DPO par les collectivités


En application de l’article 37-1 du RGPD, “Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque: a) le traitement est effectué par une autorité publique ou un organisme public, (…)”. (1)

Cette obligation de désignation d’un DPO s’impose notamment à l’administration (locale, régionale et nationale). La personne désignée en qualité de DPO doit avoir des connaissance en matière de protection des données personnelles et en matière d’organisation et d’actions de la collectivité. En revanche, le règlement n’impose pas de diplôme particulier ni d’agrément pour être DPO.

Le DPO est chargé de mettre en œuvre la conformité au RGPD au sein de l’organisme qui l’a désigné, cette mise en conformité portant sur l’ensemble des traitements mis en œuvre par l’organisme.

Pour rappel, la mission du DPO est triple :
     - informer et conseiller la collectivité (maire ou président du conseil départemental par exemple) ;
     - contrôler le respect du RGPD par la collectivité ;
     - être le point de contact des personnes concernées et l’interlocuteur de la CNIL.

Le DPO doit pouvoir exercer sa mission en toute indépendance, hors tout conflit d’intérêts, et rendre compte au niveau le plus élevé de la hiérarchie (maire, président du conseil départemental, etc.).

Cette obligation étant applicable à toutes les communes, quelle que soit leur taille, il peut être difficile pour les plus petites communes d’identifier, au sein du personnel de la mairie, une personne apte à remplir ce rôle. Outre l’identification d’un DPO, il faudra notamment s’assurer que les conditions d’indépendance et d’absence de conflit d’intérêt sont respectées.
 
Enfin, le DPO peut être une personne interne à la mairie par exemple, ou une personne externe. Dans ce cas, il pourra s’agir d’un avocat ou d’un consultant en protection des données personnelles. Les petites collectivités peuvent également mutualiser leur DPO en le partageant avec d’autres collectivités territoriales, afin de bénéficier de ses compétences et de réduire coût de ce service. La désignation d’un DPO externe ou mutualisé nécessitera toutefois la conclusion d’un contrat déterminant le périmètre et les conditions d’exercice de la fonction.

L’absence de désignation d’un DPO par une collectivité est passible de sanctions financières, pouvant atteindre 10 millions d’euros. (2)


2. Une série de mises en demeure prononcées par la CNIL en avril 2022


En juin 2021, la CNIL a lancé une opération de contrôle de conformité relative à la désignation du délégué à la protection des données, ciblant les communes de plus de 20.000 habitants.

Constatant que de nombreuses communes n’avaient pas encore désigné de DPO, la CNIL a mis en demeure 22 communes à se mettre en conformité le 25 avril 2022. Ces communes disposaient de 4 mois pour se mettre en conformité. 21 communes se sont mises en conformité en désignant un DPO. (3)


3. La non-désignation d’un DPO par la commune de Kourou sanctionnée par la CNIL


La commune de Kourou, située en Guyane, fait partie des communes qui avaient été mises en demeure de nommer un DPO. Or, la mairie de Kourou n’a ni désigné un DPO, ni répondu aux injonctions de la CNIL. Constatant l’absence de coopération de la commune, la CNIL a alors prononcé une amende administrative de 5.000€ à son encontre, accompagnée d’une injonction de se mettre en conformité dans un délai de 3 mois.

La commune de Kourou ayant persisté dans son mutisme, le 12 décembre 2023, la formation restreinte de la CNIL a prononcé une nouvelle amende de 5.000 euros assortie d’une injonction de se mettre en conformité dans un délai de 2 mois, sous astreinte de 150€ par jour de retard à l’issue de ce délai. (4)

En juillet 2024, la commune de Kourou n’avait toujours pas désigné de DPO ni répondu à la CNIL. Le 22 juillet 2024, la formation restreinte de la CNIL a donc décidé de prononcer la liquidation partielle de l’astreinte pour un montant de 6.900€, astreinte qui continue de courir tant que la commune de Kourou n’aura pas désigné de DPO. (5)

* * * * * * * * * * *


(1) Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) - articles 37 à 39

(2) RGPD art. 83-4

(3) Communiqué CNIL : La CNIL met en demeure 22 communes de désigner un délégué à la protection des données

(4) Délibération de la formation restreinte n°SAN-2023-018 du 12 décembre 2023 concernant la commune de Kourou

(5) Délibération de la formation restreinte n°SAN-2024-009 du 22 juillet 2024 concernant la commune de Kourou

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Septembre 2024