Non-désignation d’un DPO à la mairie Kourou, dans un contexte de renforcement de la protection des données personnelles, la CNIL a récemment marqué un point fort en sanctionnant la commune de Kourou pour non-respect des dispositions du RGPD. Cet événement souligne l’importance cruciale de la conformité au RGPD, en particulier pour les autorités publiques.
Le Fondement de la Sanction
La CNIL, gardienne de la conformité au RGPD en France, avait déjà mis en demeure 22 communes en avril 2022, dont Kourou, pour ne pas avoir nommé de délégué à la protection des données (DPO). Malgré un délai de 4 mois accordé pour se conformer, Kourou n’a pas réagi, déclenchant ainsi une série de procédures de la part de la CNIL.
La Réaction Graduée de la CNIL
La première réaction de la CNIL fut une sanction simplifiée : une amende de 5 000 euros et une injonction pour se conformer sous trois mois. Devant l’inaction persistante de Kourou, la CNIL a ensuite opté pour une procédure ordinaire, imposant une nouvelle amende et une injonction sous astreinte, cette fois rendue publique. Cette démarche reflète la détermination de la CNIL à faire respecter les normes du RGPD, en particulier envers les entités publiques.
L’Importance du Rôle du DPO
La désignation d’un DPO est fondamentale. Ce dernier joue un rôle clé en étant l’interlocuteur principal pour toutes les questions liées à la protection des données au sein de l’entité. La formation restreinte de la CNIL a souligné ce point, mettant en avant le rôle central du DPO dans la sensibilisation, le conseil, et le contrôle du respect du RGPD.
L’Absence de Réponse de Kourou
La situation s’est aggravée pour la commune de Kourou, qui, en plus de ne pas avoir désigné de DPO, n’a pas répondu aux multiples sollicitations de la CNIL. Cette non-coopération a entraîné la décision de la CNIL de renforcer la sanction avec une nouvelle amende de 5 000 euros, une injonction de mise en conformité sous deux mois, et une astreinte de 150 euros par jour de retard.
La Transparence et la Sensibilisation
En rendant sa décision publique et en imposant à la commune de Kourou d’afficher un message informatif sur son site web pendant quatre jours, la CNIL ne se contente pas de punir mais cherche également à sensibiliser et éduquer. Cette approche vise à renforcer la prise de conscience sur l’importance de la protection des données personnelles.
Références et Approfondissements
Pour mieux comprendre cette décision, il est essentiel de se référer aux textes de base du RGPD, en particulier l’article 31 sur la coopération avec l’autorité de protection des données et les articles 37 à 39 concernant la désignation d’un DPO. En outre, pour approfondir, il est recommandé de consulter les divers documents relatifs aux procédures de sanction de la CNIL et à la désignation du DPO, notamment ceux concernant les mises en demeure des 22 communes.
