La commune de Kourou, une collectivité territoriale de 25 000 habitants située dans la collectivité territoriale unique de Guyane, a son siège au 30 avenue des Roches à Kourou (97310).

Par courrier du 2 juin 2021, dans le cadre des missions définies à l'article 8 de la loi n°78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, la Présidente de la Commission nationale de l'informatique et des libertés a alerté la commune de Kourou sur l'absence de désignation d'un délégué à la protection des données en son sein. Ce courrier est resté sans suite de la part de la commune de Kourou.

Le 25 avril 2022, la Présidente de la CNIL a mis en demeure la commune, dans un délai de quatre mois à compter de la notification de cette décision et sous réserve des mesures qu'elle aurait déjà pu adopter, de procéder à la désignation d'un DPO. Cette décision, rendue publique après délibération du bureau de la CNIL du 5 mai 2022, a été notifiée à la commune le 19 mai 2022 par lettre recommandée avec accusé de réception.

Cette mise en demeure est restée sans réponse de la commune, qui n'a pas désigné de DPO. Dans le cadre d'une procédure de sanction simplifiée, le président de la formation restreinte a prononcé, par décision du 8 février 2023, une amende à l'encontre de la commune d'un montant de cinq mille euros pour les manquements aux articles 31 et 37-1-a) du RGPD et une injonction de désigner un délégué à la protection des données dans un délai de trois mois suivant la notification de ladite décision, intervenue le 25 février 2023.

En l'absence de réponse de la commune et de désignation d'un DPO, la présidente de la Commission a, le 28 août 2023, désigné Madame Valérie PEUGEOT en qualité de rapporteure sur le fondement de l'article 39 du décret n°2019-536 du 29 mai 2019 modifié. À l'issue de son instruction, la rapporteure a, le 13 septembre 2023, fait notifier à la commune un rapport détaillant les manquements aux articles 37-1-a) et 31 du règlement général sur la protection des données qu'elle estimait constitués en l'espèce. Elle proposait à la formation restreinte de prononcer un rappel à l'ordre et une injonction de désigner un délégué à la protection des données assortie d'une astreinte de cent cinquante euros par jour de retard à l'issue d'un délai de deux mois suivant la notification de la délibération et que cette décision soit rendue publique.

Par courrier du 19 octobre 2023, la rapporteure a informé la commune que l'instruction était close, en application de l'article 40, III, du décret modifié n° 2019-536 du 29 mai 2019.

Par courrier du 20 octobre 2023, la commune a été informée que le dossier était inscrit à la séance de la formation restreinte du 16 novembre 2023.



Par courrier du 9 novembre 2023, la commune a été informée que le dossier était reporté à la séance de la formation restreinte au 30 novembre 2023.

La rapporteure a été entendue lors de la séance de la formation restreinte du 30 novembre 2023. La formation restreinte a constaté l’absence de la commune qui n’était ni présente ni représentée.

SUR LE MANQUEMENT À L’OBLIGATION DE DÉSIGNER UN DÉLÉGUÉ À LA PROTECTION DES DONNÉES EN APPLICATION DE L’ARTICLE 37, PARAGRAPHE 1, A) DU RGPD.

L’article 37, paragraphe 1, a) du RGPD dispose que "Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque : a) le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle […]".

En l’espèce, il résulte de l’instruction que la commune n’a pas procédé à la désignation d’un délégué à la protection des données alors qu’elle y était tenue depuis le 25 mai 2018.

En conséquence, les faits précités constituent un manquement à l’article 37-1-a) du RGPD.

SUR LE MANQUEMENT À L’OBLIGATION DE COOPÉRER AVEC LES SERVICES DE LA CNIL EN APPLICATION DE L’ARTICLE 31 DU RGPD.

L’article 31 du RGPD dispose que "le responsable du traitement et le sous-traitant ainsi que, le cas échéant, leurs représentants coopèrent avec l'autorité de contrôle, à la demande de celle-ci, dans l'exécution de ses missions".

En l’espèce, la formation restreinte relève que la commune n’a pas répondu à la lettre de la Présidente de la CNIL du 2 juin 2021 l’invitant à désigner un délégué à la protection des données, pas plus qu’elle n’a répondu à la mise en demeure du 25 avril 2022 et à la décision du président de la formation restreinte du 8 février 2023 lui enjoignant de désigner un délégué à la protection des données dans un délai de trois mois suivant la notification de sa décision intervenue le 25 février 2023.

Ainsi, la formation restreinte considère que la commune de Kourou, en s’abstenant de répondre à toutes les correspondances de la CNIL, a méconnu l’obligation prévue à l’article 31 du Règlement.

SUR LES SANCTIONS

La formation restreinte de la CNIL, après en avoir délibéré, décide de : “

Prononcer à l’encontre de la commune de Kourou une amende administrative d’un montant de cinq mille (5 000) euros au regard des manquements constitués aux articles 31 et 37 du règlement (UE) n° 2016/679 du 27 avril 2016 relatif à la protection des données ;

Prononcer à l’encontre de la commune de Kourou une injonction de désigner un délégué à la protection des données assortie d’une astreinte de cent-cinquante (150) euros par jour de retard à l’issue d’un délai de deux mois suivant la notification de la délibération de la formation restreinte ;”