L’absence de désignation d’un Délégué à la Protection des Données (DPO) dans une commune n’est pas un simple oubli administratif. Pour un maire sortant, c’est une bombe à retardement juridique, financière et réputationnelle. Retour sur les risques concrets auxquels s’expose un élu qui aurait négligé cette obligation fondamentale du RGPD.
Une obligation légale sans ambiguïté
L’article 37 du RGPD est sans équivoque : toute autorité publique ou tout organisme public doit désigner un Délégué à la Protection des Données. Cette obligation s’impose à l’ensemble des collectivités territoriales, quelle que soit leur taille, depuis le 25 mai 2018. Une commune de 200 habitants y est soumise au même titre qu’une métropole de 500 000 habitants.
Le maire, en tant que représentant légal de la commune, est le responsable de traitement au sens du RGPD. C’est donc sur ses épaules que repose la responsabilité de la conformité de l’ensemble des traitements de données personnelles opérés par la collectivité : fichiers d’état civil, listes électorales, gestion des ressources humaines, vidéoprotection, gestion scolaire et périscolaire, facturation des services publics, et bien d’autres.
Le précédent Kourou : une escalade de sanctions exemplaire
L’affaire de la commune de Kourou, en Guyane, constitue un cas d’école qui illustre parfaitement la détermination de la CNIL à faire respecter cette obligation. En avril 2022, la CNIL a mis en demeure 22 communes françaises de plus de 20 000 habitants, leur accordant un délai de quatre mois pour désigner un DPO. La commune de Kourou n’a pas réagi, ni même daigné répondre aux courriers de la CNIL. S’en est suivie une escalade méthodique de sanctions :
- Première étape : une procédure de sanction simplifiée aboutissant à une amende de 5 000 euros, non rendue publique, assortie d’une injonction de mise en conformité sous trois mois.
- Deuxième étape : face au silence persistant de la commune, la CNIL a engagé une procédure de sanction ordinaire. Le 12 décembre 2023, la formation restreinte a prononcé une nouvelle amende de 5 000 euros, cette fois rendue publique, assortie d’une astreinte de 150 euros par jour de retard. La commune a également été contrainte d’afficher un message d’information sur son site web pendant quatre jours, informant les administrés de la situation.
- Troisième étape : le 22 juillet 2024, constatant que la commune n’avait toujours pas désigné de DPO, la CNIL a procédé à la liquidation de l’astreinte pour un montant de 6 900 euros, correspondant à 46 jours de retard. La commune de Kourou a finalement désigné un DPO après cette dernière décision, et la procédure a été clôturée le 7 novembre 2024.
Au total, la commune aura accumulé au moins 16 900 euros de sanctions pour un simple manquement à l’obligation de désignation d’un DPO.
Les sanctions administratives : jusqu’à 10 millions d’euros
L’absence de désignation d’un DPO par une collectivité est passible de sanctions financières pouvant atteindre 10 millions d’euros au titre de l’article 83 du RGPD. Si ce plafond peut paraître théorique pour une petite commune, il traduit la gravité que le législateur européen attache à cette obligation. Au-delà de l’amende, la CNIL dispose de tout un arsenal de mesures correctrices : mise en demeure publique, injonction sous astreinte, et surtout la publicité de la sanction, dont l’impact réputationnel pour un élu peut être dévastateur.
La responsabilité pénale personnelle du maire
C’est sans doute le risque le moins connu et pourtant le plus redoutable. Le Code pénal français, aux articles 226-16 à 226-24, prévoit des sanctions spécifiques pour les atteintes aux droits des personnes résultant des traitements informatiques. Le responsable de traitement, c’est-à-dire le maire pour une commune, s’expose personnellement à :
- 5 ans d’emprisonnement et 300 000 euros d’amende pour avoir procédé à un traitement sans respecter les formalités préalables (article 226-16 du Code pénal), sans mettre en œuvre les mesures de sécurité requises (article 226-17), ou pour détournement de finalité des données (article 226-21).
- 1 500 euros d’amende par infraction constatée pour l’absence d’information des personnes concernées et le non-respect de leurs droits (articles R. 625-10 et suivants du Code pénal).
Ces sanctions pénales sont cumulables avec les sanctions administratives prononcées par la CNIL. Elles visent le responsable de traitement en tant que personne physique, ce qui signifie que le maire peut être poursuivi personnellement, indépendamment des sanctions financières supportées par la commune.
La responsabilité civile : l’indemnisation des administrés
L’article 82 du RGPD consacre un droit à réparation au bénéfice de toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement. Un administré dont les données personnelles auraient été compromises du fait de l’absence de mesures de protection adéquates, elle-même liée à l’absence de DPO, pourrait engager un recours juridictionnel contre la collectivité. L’absence de DPO prive en effet la commune du garde-fou que constitue ce professionnel en matière de sécurité des données, de gestion des violations, et de réponse aux demandes d’exercice de droits des administrés. En cas de cyberattaque ou de fuite de données, l’absence de DPO sera un facteur aggravant manifeste.
Le risque réputationnel : l’héritage empoisonné
Pour un maire sortant, laisser une commune sans DPO, c’est léguer à son successeur une situation de non-conformité qui pourra être rendue publique à tout moment. Les mises en demeure et sanctions de la CNIL font l’objet de publications sur son site internet, accessibles à tous les administrés, aux médias locaux et aux opposants politiques. Le guide conjoint CNIL et Cybermalveillance.gouv.fr rappelle que les retombées en termes d’image restent souvent les conséquences les plus désastreuses pour les élus investis dans leur collectivité. L’exposition médiatique d’un manquement au RGPD peut compromettre durablement la crédibilité d’un élu.
Les solutions existent
La désignation d’un DPO ne constitue pas un obstacle insurmontable, y compris pour les petites communes disposant de moyens limités :
- La mutualisation : plusieurs communes peuvent partager un DPO mutualisé, par exemple au sein d’un EPCI, d’un centre de gestion (CDG), ou via un opérateur public de services numériques (OPSN). Cette approche permet de bénéficier d’une expertise professionnelle à moindre coût.
- Le DPO externe : des prestataires spécialisés, comme DPO FRANCE, proposent des services de DPO externalisé, avec une connaissance approfondie des problématiques propres aux collectivités territoriales. Cette solution offre l’avantage de l’indépendance et d’un regard expert immédiat.
- Le DPO interne : un agent de la collectivité peut être désigné, à condition de disposer des compétences nécessaires ou de les acquérir, et de pouvoir exercer ses missions en toute indépendance. À noter toutefois que les conseillers municipaux, dont le maire, ne peuvent pas être désignés DPO en raison du conflit d’intérêts inhérent à leur fonction de membres de l’assemblée délibérante.
