La CNIL sanctionne la commune de Kourou pour absence de désignation d'un DPO
Les entités publiques sont rentrées dans le viseur de la CNIL pour la première fois en juin 2021. La CNIL avait lancé des contrôles ciblant les communes de plus de 20 000 habitants. Ce qui lui avait permis de mettre en garde les communes qui n’avaient pas encore désigné de DPO. En avril 2022, certaines communes dont Kourou, n’avaient pas pris les dispositions nécessaires pour se mettre en conformité. Par conséquent, la CNIL a mis en demeure 22 communes, dont Kourou, de désigner un DPO dans un délai de 4 mois.
Chronologie d’une démarche répressive dont il faut retenir 8 dates clés
- juin 2021 : Lancement de l’opération de contrôle par la CNIL, ciblant les communes de plus de 20 000 habitants.
- juin 2021 à avril 2022 : Période de contrôle et d’alerte, avec des rappels des obligations en matière de protection des données aux communes non conformes.
- avril 2022 : Certaines communes, dont Kourou, n’ont toujours pas désigné de DPO et n’ont pas répondu aux courriers de la CNIL.
- 25 avril 2022 : Mise en demeure de 22 communes, dont Kourou, avec un délai de quatre mois pour désigner un DPO.
- avril 2022 à août 2022 : Période de mise en conformité où les communes devaient prendre des mesures pour se conformer aux exigences.
- août 2022 : Fin de la période de mise en conformité, mais certaines communes, dont Kourou, n’ont toujours pas désigné de DPO ni répondu à la CNIL.
- 8 février 2023 : Engagement d’une procédure de sanction simplifiée contre la commune de Kourou en raison de l’absence persistante de désignation d’un DPO.
- 25 février 2023 : Condamnation de la mairie par la formation restreinte de la CNIL à une amende de 5 000 euros pour violation du RGPD et ordre de la CNIL de désigner un DPO dans un délai de 3 mois.
- mai 2023 : Le délai de mise en conformité fixé par la CNIL arrive à échéance, mais Kourou n’a toujours pas désigné de DPO.
- 12 décembre 2023 : Engagement d’une procédure ordinaire de sanction contre Kourou ; nouvelle amende d’un un montant de cinq mille euros, accompagnée d’une injonction de se conformer dans un délai de deux mois, assortie d’une astreinte de 150 euros par jour de retard. De plus, Kourou a été tenue de publier pendant quatre jours un message d’information, concernant cette décision rendue par la formation restreinte de la CNIL, sur son site Web.
Contexte de la sanction de la commune de Kourou
La commune de Kourou a enfreint deux obligations majeures du Règlement Général sur la Protection des Données (RGPD).
Absence de désignation d’un DPO
Le premier manquement concerne l’absence de désignation d’un Délégué à la Protection des Données (DPO). Selon l’article 37, paragraphe 1, a) du RGPD, toutes les collectivités territoriales, quelle que soit leur taille, sont tenues de nommer un DPO. Le DPO est un acteur central de l’accountability, de la mise et du maintien en conformité RGPD d’une entité publique. Il est le point de contact privilégié avec la CNIL et les personnes concernées (agents salariés, usagers, prestataires, etc.). Il coopère avec l’autorité de contrôle (en France, la CNIL).
Malgré l’opération de contrôle lancée par la CNIL en juin 2021 et les avertissements de la CNIL, la commune de Kourou n’a pas désigné de DPO. Cela constitue un manquement à l’article 37-1-a) du RGPD.
Manque de coopération avec la CNIL
Le deuxième manquement concerne le manque de coopération de la commune de Kourou avec la CNIL, le régulateur national. L’article 31 du RGPD impose une obligation de coopération avec l’autorité de contrôle. Cela signifie que la commune aurait dû répondre aux demandes d’informations de la CNIL et lui fournir toutes les informations nécessaires pour démontrer sa conformité avec le RGPD.
Et la situation est aggravée par le fait que la commune de Kourou n’a donné aucunes réponses à toutes les correspondances de la CNIL comme l’exige pourtant l’article 31 du RGPD.
Ces deux manquements ont conduit à la sanction de la commune de Kourou par la CNIL.
Que disait le RGPD ?
L’article 37-1-a)
L’article 37, paragraphe 1, alinéa a) du RGPD stipule que le responsable du traitement et le sous-traitant doivent désigner un DPO lorsque le traitement est effectué par une autorité publique ou un organisme public.
Voici quelques détails importants sur cet article :
- Responsable du traitement et sous-traitant : le terme responsable de traitement fait référence à l’entité ou à la personne qui détermine les finalités et les moyens du traitement des données personnelles. Le responsable du traitement est généralement l’organisation qui collecte les données, tandis que le sous-traitant est une entité qui traite les données pour le compte du responsable du traitement.
- Désignation d’un DPO : selon l’article 39 paragraphe 1 du RGPD, un DPO est une personne chargée d’informer, de conseiller le responsable de traitement ou le sous-traitant, et de vérifier le respect du RGPD dans l’organisation. Il dispense des conseils en ce qui concerne l’Analyse d’Impact relative à la Protection des Données (AIPD) et en vérifie l’exécution. Il est le point de contact privilégié avec la CNIL et les personnes concernées (agents salariés, usagers, prestataires, etc.). Il coopère avec l’autorité de contrôle (en France, la CNIL), informe et sensibilise le personnel sur les questions de protection des données.
- Autorité publique ou organisme public : Cela fait référence à toute entité qui est une partie du gouvernement ou qui exerce une fonction gouvernementale. Cela inclut les collectivités territoriales, les établissements publics, et d’autres formes d’administration publique.
L’article 31
Conformité à la demande de la CNIL
Pour se conformer à la demande de la CNIL, la commune de Kourou aurait dû prendre plusieurs mesures. Tout d’abord, elle aurait dû désigner un DPO. Le DPO est une personne chargée de veiller à la conformité des traitements de données personnelles avec le RGPD au sein de l’organisation. Il est le point de contact privilégié avec la CNIL et les personnes concernées (salariés, clients, fournisseurs, etc.).
La désignation d’un DPO peut être effectuée en interne ou en externe. Dans tous les cas, le DPO doit disposer des compétences nécessaires pour accomplir ses missions, notamment sur la base de ses qualités professionnelles, et d’une expertise en matière de législation et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39 du RGPD.
Ensuite, la commune de Kourou aurait dû répondre aux correspondances de la CNIL. L’article 31 du RGPD impose une obligation de coopération avec l’autorité de contrôle. Cela signifie que la commune aurait dû répondre aux demandes d’information de la CNIL et lui fournir toutes les informations nécessaires pour démontrer sa conformité avec le RGPD.
Enfin, après la désignation d’un DPO, la commune de Kourou aurait dû informer la CNIL de cette désignation, en précisant l’identité et les coordonnées du DPO.
En prenant ces mesures, la commune de Kourou aurait pu éviter la sanction de la CNIL. Cette affaire souligne l’importance pour toutes les organisations de se conformer aux exigences du RGPD en matière de protection des données.
Sanctions de la CNIL
Dans le cas de la commune de Kourou, la CNIL a d’abord prononcé une amende de 5 000 € (cinq mille euros) et a ordonné la désignation d’un DPO. Cependant, la non-conformité persistante de la commune a conduit la CNIL à prononcer une nouvelle sanction.
La gravité de la sanction dans ce cas est due à plusieurs facteurs :
- L’absence de désignation d’un DPO, qui est une obligation pour les autorités et organismes publics.
- Le manque de coopération avec la CNIL, qui constitue un manquement à l’obligation de coopération avec l’autorité de contrôle prévue par l’article 31 du RGPD.
- Le non-respect de l’injonction de la CNIL de désigner un DPO dans un délai de trois mois.
En conséquence, la CNIL a émis une amende assortie d’une injonction sous astreinte à l’encontre de la commune de Kourou. L’astreinte est une pénalité financière imposée pour chaque jour de retard dans la mise en conformité. Dans ce cas, l’amende s’élève à un montant de cinq mille euros, accompagnée d’une injonction de se conformer dans un délai de deux mois, assortie d’une astreinte de 150 euros par jour de retard.
Quels sont les enseignements à retirer suite à la sanction CNIL d’une entité publique ?
L’article 31 du RGPD porte sur la coopération avec l’autorité de contrôle.
Voici quelques détails importants sur cet article :
• Responsable du traitement et sous-traitant : le terme responsable de traitement fait référence à l’entité ou à la personne qui détermine les finalités et les moyens du traitement des données personnelles. Le responsable du traitement est généralement l’organisation qui collecte les données, tandis que le sous-traitant est une entité qui traite les données pour le compte du responsable du traitement.
• Coopération avec l’autorité de contrôle : Le responsable du traitement et le sous-traitant, ainsi que leurs représentants le cas échéant, doivent coopérer avec l’autorité de contrôle (comme la CNIL en France), à la demande de celle-ci, dans l’exécution de ses missions. Cela signifie qu’ils doivent répondre aux demandes d’information de l’autorité de contrôle et lui fournir toutes les informations nécessaires pour démontrer leur conformité avec le RGPD.
Les questions à se poser pour désigner un DPO
Par principe, il est recommandé de se demander dans quelle mesure un DPO doit être obligatoirement désigné pour son organisation.
Il existe des critères d’évaluation précis permettant de déterminer si la désignation d’un DPO pour son organisation relève d’une obligation légale ou pas.
Ces critères s’appuient notamment sur :
- l’effectif ou la taille de votre organisation ;
- son secteur d’activités ;
- le volume des données traitées et le nombre de personnes concernées (notion de traitement à grande échelle) ;
- la durée, ou la permanence, des activités de traitement des données (notion de suivi régulier par exemple).
Selon l’article 37 du RGPD, la désignation d’un DPO est obligatoire dans les cas suivants :
- Cas n°1 : votre organisation est une entité publique (mairie, collectivité territoriale, école, ministère, établissement public…) ;
- Cas n°2 : votre organisation est une entité privée de plus de 250 salariés;
- Cas n°3 : votre organisation est une entité privée de moins de 250 salariés dont l’activité amène à réaliser un suivi régulier et systématique des personnes à grande échelle (établissement financier, banque, assureur, opérateur de téléphonie, fournisseur d’Internet, fournisseur d’énergie, plateformes d’e-commerce…) ;
- Cas n°4 : votre organisation est une entité privée de moins de 250 salariés dont l’activité amène à traiter à grande échelle des données « sensibles » ou relatives à des condamnations pénales et infractions (établissement de santé, syndicat professionnel, ONG, parti politique, organisme religieux…) ;
Le défaut de désignation d’un DPO par une entité publique tenue de le faire, délibérément ou par négligence, est passible d’une amende pouvant s’élever à dix millions d’euros (10 000 000 €) ou dans le cas d’une entreprise jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, article 83 4a).
Par ailleurs, il est recommandé de se poser la question de l’internalisation ou de l’externalisation du poste de DPO.
Rien n’oblige un organisme public à opter pour un DPO interne. Le RGPD autorise le recours à un prestataire de services de DPO externe. Chacune de ces décisions présente des opportunités et des menaces. Le DPO interne est en théorie en situation d’être le mieux placé pour connaître son organisme public. Mais la menace est d’exercer cette fonction en parallèle d’autres missions l’amenant à déterminer des finalités de traitements par exemple, et donc de générer un risque de conflit d’intérêt, qui est illégal.
Il est incontestable que le recours à l’externalisation d’un DPO présente de nombreux avantages. Par sa position extérieure, un DPO externe pourrait s’avérer un choix judicieux. Professionnel indépendant, il peut apporter une véritable expérience et expertise sectorielle, technique, organisationnelle, transverse, tout en portant un regard/une posture dépassionnés sur les activités concernées, l’amenant à être plus aisément écouté par les parties prenantes du traitement.
Schéma des opportunités et menaces de la désignation d'un DPO interne vs. DPO externe
L’impérativité de la gouvernance des données dans le secteur public
Enfin, sous peine de s’exposer à des pénalités lourdes, le RGPD exige des entités publiques une véritable gouvernance de leurs données personnelles dans les délais légaux dont le DPO est tant l’architecte que l’influenceur. Il est aujourd’hui impératif pour les établissements publics de se préparer en organisant le traitement de leurs données personnelles et en mettant en place des plans d’actions pertinents.
La gouvernance des données personnelles, telle qu’orientée par le RGPD doit s’appuyer sur :
- Le principe d’accountability : il faut commencer par responsabiliser les parties prenantes des traitements de données, recenser ses traitements de données personnelles, mais aussi réaliser une analyse d’impact de type AIPD si nécessaire, mettre en place des documents et outils de conformité, et en suivre les mises à jour.
- L’audit et la certification de la protection des données personnelles : il existe des certifications, normes internationales et labels qui permettent de démontrer et valoriser le respect des obligations RGPD. La certification RGPD des entités publiques présente des opportunités de liens de confiance dans la relation-usager. Pourquoi s’en priver ?
L’impérativité de la coopération avec l’autorité de contrôle dans le secteur public
Au titre de sa coopération avec l’autorité de contrôle, il est vivement recommandé au DPO d’un organisme public, de jouer un rôle de facilitateur à l’occasion des échanges avec la CNIL (réponse aux demandes lors d’un contrôle sur place, instruction d’une réclamation, consultation dans le cadre d’une AIPD, notification d’une violation de données, etc.).
Par ailleurs, il est recommandé au DPO de consulter la CNIL sur toutes questions relatives à la protection des données personnelles ou sur sa fonction.
Le cabinet Alcees vous accompagne dans le cadre de l’intégration de la cybersécurité et de la protection des données à caractère personnel dans vos projets informatiques/data/IA.
Ensemble, donnons du sens éthique à vos projets et formons vos équipes ! Partageons nos expertises !
Partager cette publication à un collègue ou une connaissance
Insights liés
Fondée en 2018, Alcees est une entreprise de services du numérique (esn) d’essence française et européenne, 100% cyber centric. Alcees propose aux collectivités et entreprises publiques, aux banques, aux assureurs, aux éditeurs de logiciels, aux opérateurs de santé, des solutions-conseils sur-mesure pour améliorer la performance de leurs opérations et simplifier leur exposition aux risques cyber par la conformité aux normes et standards les plus élevés et par mesures simples.
