Pour ceux qui n’auraient pas suivi la décision de la CNIL du 5 mai 2022 tendant à mettre en demeure 22 communes en leur faisant état du fait qu’elles n’avaient pas procédé à la désignation d’un délégué à la protection des données à caractère personnel (DPO), il y a lieu en raison de l’actualité et de la décision de la CNIL du 24 juillet 2024 de revenir sur cette obligation pour une commune de désigner son DPO.
I. Dans quelle hypothèse sa désignation est-elle obligatoire ?
Le RGPD prévoit dans une section dédiée au délégué à la protection des données, et plus spécifiquement à son article 37.1.a) qu’il est nécessaire de désigner un DPO lorsque :
« a) le traitement est effectué par une autorité publique ou un organisme public ».
Selon cet article, toute autorité publique ou organisme public effectuant un traitement de données à caractère personnel doit désigner son DPO, sans qu’il ne soit précisé des conditions dans lesquelles une commune pourrait par exemple en être exemptées.
Si les 22 communes listées par la CNIL et à qui il a été fait injonction de désigner un DPO sous 4 mois étaient des communes de plus de vingt mille habitants, il ne faut pas oublier que des communes plus petites sont également redevables de cette obligation.
Au sein de cet article, on comprend uniquement que si une commune est plus petite il lui est obligatoire de désigner un DPO, tout en précisant qu’il est possible de prévoir que cette fonction pourra être exercée par un seul DPO pour plusieurs autorités ou organismes compte tenu de leur taille et leur structure organisationnelle.
De fait, lorsqu’un traitement de données personnelles est effectué par une commune, ce qui est toujours le cas, celle-ci doit désigner un DPO dans les conditions exposées par la CNIL sous peine de s’exposer à une amende administrative.
II. Quelle est la sanction à son absence de désignation ?
En l’absence de désignation d’un délégué à la protection des données lorsque sa désignation est requise, la CNIL rappelle généralement cette obligation par une mise en demeure avant d’entamer une éventuelle procédure de sanction simplifiée si les manquements persistent.
Sur le papier, ne pas désigner de délégué à la protection des données alors que la loi vous l’imposait vous expose à 10 millions d’euros d’amende ou, dans le cas d’une entreprise, jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé pouvant être retenu[1].
Dans la pratique, l’absence de désignation d’un délégué à la protection des données a pu être sanctionné à plusieurs reprises par la CNIL.
A ce titre, après une mise en demeure la CNIL[2] a prononcé une amende non publique de 5 000 euros à l’encontre de la commune de KOUROU accompagnée d’une injonction de procéder à la désignation d’un DPO dans un délai de trois mois.
A l’issue de ce délai, la présidente de la CNIL a initié une procédure ordinaire permettant à la formation restreinte de renforcer la sanction en prononçant publiquement le 12 décembre 2023 :
- une amende de 5 000 euros avec injonction de se mettre en conformité sous deux mois assortie d’une astreinte de 150 euros par jour de retard,
- l’obligation de la commune de KOUROU d’afficher un message d’information à destination des usagers de son site web.
Par une décision du 24 juillet 2024, la CNIL, faisant le constat que les mesures n’ont pas été pris par la ville, a liquidé l’astreinte prononcée à l’encontre de la commune de KOUROU, sanctionnant cette commune à une nouvelle somme de 16 900 euros.
Si le total des sommes devant être payées par la commune de KOUROU est désormais de 16 900 euros en l’absence de désignation d’un DPO, la liquidation de l’astreinte ne veut pas dire que la procédure est clôturée puisqu’en cas de persistance de ce manquement une nouvelle astreinte pourra être prononcée par l’autorité nationale.
Sadry PORLON (Avocat Fondateur) et Vicky BOUCHER (Avocate Collaboratrice)
[1] Pour en savoir plus sur les sanctions cliquez-ici.
[2] A l’occasion d’une procédure de sanction simplifiée, le président de la formation restreinte a prononcé dans une décision du 8 février 2023 une amende à l’encontre de la commune sur la base d’un manquement aux articles 31 et 37-1-a) du RGPD s’accompagnant d’une injonction de désigner un DPO dans un délai de trois mois.