C’est ce qui ressort des dispositions de l’article 37 du RGPD et de la décision rendue à l’encontre de la municipalité de Kourou.
Cette affaire connaît sa genèse en avril 2022, période à laquelle la CNIL a mis en demeure la municipalité de Kourou et 21 autres communes de se conformer à cette obligation en désignant un délégué à la protection des données personnelles.
En l’absence de réponse, une procédure simplifiée de sanction a été entamée par la CNIL, celle-ci aboutissant à l’administration d’une sanction administrative de 5000€ et au prononcé d’une injonction de désigner un délégué sous 3 mois.
Face à l’inertie de la commune, une procédure ordinaire de sanction a été entamée et s’est achevée par le prononcé d’une nouvelle sanction de 5 000€.
Dans le cadre de cette sanction, la CNIL rappelle le rôle clef qu’investit le DPO en tant que chef d’orchestre de la conformité de l’organisation. Son importance est d’autant plus grande, qu’en l’espèce, la municipalité de Kourou est amenée à traiter les données sensibles de son personnel et de ses administrés.
Le plus intéressant est que la CNIL renforce cette sanction de deux manières :
Pour rappel, l’article 37.a du RGPD dispose que les organismes publics ou autorités publiques ont l’obligation de désigner un DPO. Il ne s’agit nullement d’une disposition superficielle car, sous plusieurs aspects, les communes sont exposées à des enjeux qui leur sont spécifiques en matière de protection des données, notamment en termes :
Au-delà de ces spécificités, le principal enjeu est de nature sécuritaire. Comme en témoigne la synthèse de la menace ciblant les collectivités territoriales publiée par l’ANSSI le 23 octobre dernier, 187 incidents cyber affectant les collectivités territoriales ont été recensés sur la période s’étalant de janvier 2022 à juin 2023. Au surplus, la criticité de ces attaques peut être amplifiée en cas de mutualisation des services avec d’autres collectivités.
Les risques précités pourraient être mitigés grâce au DPO qui a vocation à accompagner l’organisme public dans le cadre de sa mise en conformité. A ce titre il est tenu de :
Compte tenu de ce qui précède, il est urgent que les collectivités territoriales s’investissent également sur le terrain de la protection des données à caractère personnel. Le recours à un DPO est ainsi primordial, et il serait stratégiquement problématique de s’en affranchir pour des raisons exclusivement budgétaires compte tenu du risque de sanction que ferait peser un tel manquement sur le responsable de traitement et du climat toujours plus propice aux violations de données (ransomware, etc).
La CNIL marque ainsi un grand coup en sanctionnant la commune de Kourou et envoie ainsi un signal fort à l’ensemble des communes françaises.
Inscrivez-vous et accèdez à l’ensemble de l’actualité GRACES.Community.