Non-désignation d’un délégué à la protection des données : la commune de KOUROU devra encore payer 6 900 euros
Le 22 juillet 2024, la CNIL a décidé de liquider l’astreinte prononcée à l’encontre de la commune de KOUROU. La commune devra payer la somme de 6 900 euros pour ne s’être toujours pas conformée à son obligation de désigner un délégué à la protection des données malgré l’injonction de la CNIL de décembre 2023.
Le contexte
La commune de KOUROU, en tant qu’autorité publique, a pour obligation de désigner un délégué à la protection des données (article 37 du RGPD). Cette obligation lui a d’abord été rappelée par une mise en demeure puis par une décision de procédure de sanction simplifiée.
En raison de la persistance des manquements (absence de désignation de DPO et défaut de réponse à la CNIL), une procédure de sanction ordinaire a été engagée.
Ainsi, dans une décision du 12 décembre 2023, la formation restreinte – organe de la CNIL chargé des sanctions – a prononcé une amende de 5 000 euros et enjoint à la commune de désigner un délégué à la protection des données.
La formation restreinte a assorti l’injonction d’une astreinte – une somme d’argent à payer en cas de non-respect d’une décision – de 150 euros par jour de retard à l’issue d’un délai de deux mois.
La liquidation de l’astreinte
La commune de KOUROU disposait de deux mois pour respecter l’injonction et en justifier auprès de la CNIL. Cependant, la commune n’a pas procédé à la désignation d’un délégué à la protection des données dans ce délai, ni répondu à la CNIL.
Le 22 juillet 2024, la formation restreinte a donc considéré que la commune n’a pas satisfait à l’injonction et a, par conséquent, prononcé une liquidation de l’astreinte pour un montant de 6 900 euros.
Cette liquidation d’astreinte partielle ne vient pas clôturer la procédure, l’injonction assortie de son astreinte court toujours tant que la commune de KOUROU n’a pas désigné de délégué à la protection des données. Une nouvelle liquidation d’astreinte pourra donc être prononcée.
Pour approfondir
- Les procédures de sanction
- Le délégué à la protection des données (DPO)
- Désigner un délégué à la protection des données dans une collectivité
- La CNIL met en demeure vingt-deux communes de désigner un délégué à la protection des données
- Désignation d'un délégué à la protection des données : bilan des mises en demeure prononcées à l'encontre de 22 communes
- Non-désignation d’un délégué à la protection des données : la CNIL sanctionne la commune de Kourou