Accueil //Blog //RGPD //Zoom sur //[DÉLIBÉRATION COMMENTÉE] CNIL vs. Kourou, 12 décembre 2023

Résumé des faits

Après avoir mis en demeure la commune de Kourou en avril 2022 pour ne pas avoir désigné un délégué à la protection des données (DPO), la CNIL a constaté qu’à l’issue du délai de 4 mois accordé, la commune n’avait pas procédé à cette nomination. Elle a ainsi infligé en février 2023 une amende non publique de 5000 euros à la commune, et lui a adressé une injonction de se conformer dans un délai de 3 mois par le biais de la procédure de sanction simplifiée.

À l’issue de ce délai et face à la persistance de l’absence de désignation d’un DPO, la commune n’ayant pas pris les mesures nécessaires pour assurer sa mise en conformité et n’ayant pas répondu à la CNIL, cette dernière a décidé d’entamer une nouvelle procédure de sanction via la procédure de sanction ordinaire, lui permettant de rendre publique la sanction.

La CNIL a ainsi infligé à la commune de Kourou une amende publique de 5 000 euros pour son manquement à désigner un DPO et pour son défaut de coopération avec la CNIL. Elle a également adopté une injonction exigeant que la commune se conforme à ses obligations, assortie d’une astreinte de 150 euros par jour de retard, liquidable après un délai de deux mois. En outre, la CNIL a demandé à la commune d’afficher un message d’information destiné aux usagers sur son site internet pendant 4 jours.

Motifs de la sanction / Manquements

  • Non-respect de l’art. 37.1.a du RGPD

Non-désignation d’un DPO.

  • Non-respect de l’art. 31 du RGPD

Absence de coopération avec la CNIL.

Que retenir de la décision ?

  • Le responsable de traitement et le sous-traitant sont tenus de désigner un DPO lorsque le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle.
  • Les autorités publiques chargées de missions de service public, traitant de nombreuses données personnelles dont certaines sont sensibles, doivent particulièrement veiller à leur protection, notamment face à la croissance des attaques informatiques ciblant les organismes publics.
  • Le responsable de traitement et le sous-traitant sont tenus de collaborer avec l’autorité de contrôle dans l’exécution de ses missions.
  • Le DPO joue un rôle important dans la protection des données, en tant que pierre angulaire du régime de responsabilité. Il facilite le respect des règles et agit comme intermédiaire entre les administrés et la collectivité publique, renforçant ainsi la confiance accordée aux organismes publics.

Le + DLD

  • Pour décider du prononcé d’une amende, plusieurs critères sont pris en compte, tels que la nature, la gravité et la durée de la violation, les mesures prises par le responsable de traitement pour atténuer le dommage subi par les personnes concernées, le degré de coopération avec l’autorité de contrôle et les catégories de données personnelles concernées par la violation.
  • Pour décider du montant de l’amende, la CNIL tient notamment compte de l’activité de l’organisme et de sa situation financière.
  • Pour décider du prononcé d’une injonction assortie d’une astreinte, la CNIL tient notamment compte de la persistance du manquement relevé.
  • Pour décider de la publication ou pas de la sanction, la CNIL tient notamment compte de la nature des données concernées, et de la gravité des manquements et de leur persistance.

Délibération Complète de la CNIL

Consulter

À lire aussi