Flash infos

Retour

Flash infos

24/01/24

Condamnation de la commune de Kourou par la CNIL : l’arbre qui cache la forêt

Un rappel du contexte permettra de mieux comprendre cette décision.

En 2021, la CNIL a procédé à des vérifications concernant la désignation ou non de DPO, au sein des communes de plus de 20 000 habitants. Pour mémoire, on compte, d’après le calculateur du site de l’AMF, 502 communes de plus de 20 000 habitants en France métropolitaine et outre-mer.

Suite à cette vérification, la CNIL a alerté les communes qui n’avaient pas désigné de DPO.

En mai 2022, soit un an après cette « alerte », la CNIL, constatant que certaines communes n’avaient toujours pas satisfait à cette obligation, rendit publique une mise en demeure de désigner sous 4 mois un DPO, adressée à 22 communes parmi lesquelles celle de Kourou.

Le cas particulier de la commune de Kourou

La commune de Kourou, n’ayant pas satisfait à sa mise en demeure et ne lui ayant pas répondu, la CNIL est donc entrée en voie de condamnation par le biais d’une sanction simplifiée à hauteur de 5 000 € et injonction de désigner un DPO dans un délai de 3 mois.

Passé ce délai, la commune de Kourou n’ayant toujours pas satisfait à cette exigence ni répondu à la CNIL, cette dernière a à nouveau condamné la ville, dans le cadre d’une procédure ordinaire, à une amende de         5 000 € et une injonction de désigner un DPO dans les 2 mois, affectée d’une astreinte de 150 € par jour de retard.

 

Les enseignements à tirer de cette décision

On peut tirer 3 enseignements de cette décision :

  1. La CNIL réaffirme ainsi l’impérieuse nécessité pour les « autorités publiques » ou les « organismes publics » (à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle) de désigner un DPO (article 37 du RGPD).

Mais qui sont ces « autorités publiques » ou « organismes publiques » ?

Il est difficile de trouver une définition précise de ces termes en droit français et les considérants du RGPD ne donnent aucune réponse.

La CNIL précise dans son guide pratique relatif au DPO que sont visés par ces termes : « les autorités nationales, régionales et locales mais également des organismes tels que les structures de l’enseignement supérieur, hôpitaux, agences sanitaires, autorités administratives indépendantes (AAI), établissements publics à caractère administratif (EPA), etc. ».

La CNIL précise également, et ce point est très important, que « les organismes privés chargés d’une mission de service public conservent leur statut de droit privé et ne sont donc pas tenus de désigner un DPO ».

 

  1. Le chemin est encore long vers la conformité

Il n’est pas nécessaire de se prêter à de longs calculs pour constater que nombre d’acteurs publics n’ont toujours pas désigné de DPO, 6 ans après son entrée en vigueur.

On compte plus de 96 000 DPO désignés auprès des services de la CNIL. Si beaucoup d’acteurs publics de grande taille (ministères, établissements publics nationaux) ou de taille intermédiaire (collectivités territoriales, établissements publics locaux) ont désigné un DPO, tel n’est pas le cas des plus petites structures.

Combien, parmi les 34 527 communes de moins de 20 000 habitants, ou parmi les acteurs publics locaux tels que les CCAS, lycées, collèges ou écoles, ont-ils désigné un DPO ? La réponse se trouve dans la liste des DPO accessible en open data.

 

  1. La désignation d’un DPO est une exigence du RGPD, mais il en est une autre toute aussi importante : le DPO doit disposer des compétences nécessaires pour assurer et contrôler la mise en œuvre du RGPD.

Or là encore, si de nombreux acteurs publics ont désigné un DPO, nombreux sont ceux qui ont été désignés par obligation et sans les moyens associés.

Le CEPD a d’ailleurs publié le 17 janvier son second rapport sur les DPO en pointant un certain nombre de manquements et en émettant des recommandations.

Le plan d’actions : un exercice imposé pour les autorités et organismes publics

 

  • Action 1 – Désigner un DPO en répondant aux questions de l’annexe 1 du guide de la CNIL relatif au délégué à la protection des données

Il faut rappeler qu’au besoin les autorités publiques ou organismes publics « de même type, contenu de leur structure organisationnelle et de leur taille » peuvent désigner un seul et même DPO. Il leur est également possible de désigner un DPO externalisé si les compétences internes font défaut.

  • Action 2 – Rédiger une lettre de mission

Même si une lettre de mission n’est pas imposée par le RGPD (sauf dans le cas d’une externalisation où la rédaction d’une convention s’impose) la CNIL propose toujours dans son guide, un modèle de lettre de mission. Cette lettre s’avère importante aussi bien pour cadrer la mission du DPO que pour rappeler les obligations de celui qui l’a désigné.

  • Action 3 – Procéder à un audit de conformité

Désigner un DPO est une exigence légale, mais il importe que celui-ci sache précisément quel est le niveau de maturité de l’établissement dont il est supposé assurer et contrôler la conformité. Seul un audit est de nature à permettre d’identifier les éventuelles non conformités et le plan de remédiation associé.

Télécharger

Avocats concernés :

Nos autres actualités

Flash infos

8/07/24

Publication d’un avis de l’EIOPA sur les captives d’assurance et de réassurance

Depuis l’entrée en vigueur du régime fiscal incitatif à la création de captives de réassurance en France[1], un certain nombre de captives ont récemment obtenu l’agrément de l’Autorité de Contrôle Prudentiel et de Résolution (« ACPR »). Dans ce contexte d’accroissement du nombre...
Lire la suite

Flash infos

17/07/24

Publication du règlement sur l’intelligence artificielle

Le 12 juillet 2024, le règlement sur l’intelligence artificielle (règlement sur l’IA), également connu sous le nom de « AI Act », a été publié au Journal officiel de l’Union européenne dans sa version signée par le Parlement européen du 13 juin dernier[1]. Cette publication offre...
Lire la suite

Flash infos

4/07/24

Responsabilité des contractants à l’égard des tiers : la Cour de cassation au secours des clauses de responsabilité

Assurément, le 3 juillet 2024 fera date dans le droit français des contrats et de la responsabilité civile. Hier en effet, la chambre commerciale de la Cour de cassation a stoppé la progression logique d’un édifice jurisprudentiel objet de fortes controverses et dont il faut bien...
Lire la suite

Flash infos

1/07/24

Entrée en vigueur de l’arrêté « Shrinkflation »

Le 1er juillet 2024, entre en vigueur l’arrêté du 16 avril 2024 relatif à l’information des consommateurs sur le prix des produits dont la quantité a diminué. Cet arrêté vise à lutter contre la pratique de « shrinkflation » (« réduflation » en français) qui consiste à réduire la...
Lire la suite

Flash infos

25/06/24

DORA #6 : Gestion et notification des incidents liés aux TIC

Le Règlement (UE) 2022/2554 du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (« DORA ») définit l’incident lié aux TIC comme suit : – L’« incident lié aux TIC » : un événement ou une série d’événements liés entre eux que l’entité...
Lire la suite

Flash infos

31/05/24

Adoption de nouvelles règles en matière de lutte contre le blanchiment de capitaux et de financement du terrorisme

Le 30 mai 2024, le Conseil de l’Union européenne a définitivement adopté de nouvelles règles de LCB-FT (le « Paquet LCB-FT »). Ce dernier s’inscrit dans le cadre des propositions législatives présentées par la Commission européenne le 20 juillet 2021 en vue de renforcer les règles...
Lire la suite