Non-désignation d’un délégué à la protection des données : la commune de KOUROU devra encore payer 6 900 euros

Le contexte 

La commune de KOUROU, en tant qu’autorité publique, a pour obligation de désigner un délégué à la protection des données (article 37 du RGPD). Cette obligation lui a d’abord été rappelée par une mise en demeure puis par une décision de procédure de sanction simplifiée.

En raison de la persistance des manquements (absence de désignation de DPO et défaut de réponse à la CNIL), une procédure de sanction ordinaire a été engagée.

Ainsi, dans une décision du 12 décembre 2023, la formation restreinte – organe de la CNIL chargé des sanctions – a prononcé une amende de 5 000 euros et enjoint à la commune de désigner un délégué à la protection des données.

La formation restreinte a assorti l’injonction d’une astreinte – une somme d’argent à payer en cas de non-respect d’une décision – de 150 euros par jour de retard à l’issue d’un délai de deux mois.

La liquidation de l’astreinte

La commune de KOUROU disposait de deux mois pour respecter l’injonction et en justifier auprès de la CNIL. Cependant, la commune n’a pas procédé à la désignation d’un délégué à la protection des données dans ce délai, ni répondu à la CNIL.

Le 22 juillet 2024, la formation restreinte a donc considéré que la commune n’a pas satisfait à l’injonction et a, par conséquent, prononcé une liquidation de l’astreinte pour un montant de 6 900 euros.

Cette liquidation d’astreinte partielle ne vient pas clôturer la procédure, l’injonction assortie de son astreinte court toujours tant que la commune de KOUROU n’a pas désigné de délégué à la protection des données. Une nouvelle liquidation d’astreinte pourra donc être prononcée.