Le RGPD s'applique à tous les responsables de traitement et les organismes publics, y compris les municipalités.

C'est ce qui ressort des dispositions de l'article 37 du RGPD et de la décision rendue à l'encontre de la municipalité de Kourou.

La sanction de l'inertie de la commune de Kourou pour non conformité au RGPD

Cette affaire connaît sa genèse en avril 2022, période à laquelle la CNIL a mis en demeure la municipalité de Kourou et 21 autres communes de se conformer à cette obligation en désignant un délégué à la protection des données personnelles.

En l'absence de réponse, une procédure simplifiée de sanction a été entamée par la CNIL, celle-ci aboutissant à l'administration d'une sanction administrative de 5000€ et au prononcé d'une injonction de désigner un délégué sous 3 mois.

Face à l'inertie de la commune, une procédure ordinaire de sanction a été entamée et s'est achevée par le prononcé d'une nouvelle sanction de 5 000€.

Dans le cadre de cette sanction, la CNIL rappelle le rôle clef qu'investit le DPO en tant que chef d'orchestre de la conformité de l'organisation. Son importance est d'autant plus grande, qu'en l'espèce, la municipalité de Kourou est amenée à traiter les données sensibles de son personnel et de ses administrés.

Le plus intéressant est que la CNIL renforce cette sanction de deux manières :

  • en rendant publique cette sanction (et on sait que c'est un point sensible pour les maires dont la principale sanction s'effectue par les urnes),
  • en imposant à la commune d'afficher pendant quatre jours un message d'information à destination des usagers sur son site web.

Les enjeux gravitant autour de la désignation d'un DPO au sein d'un organisme public

Pour rappel, l'article 37.a du RGPD dispose que les organismes publics ou autorités publiques ont l'obligation de désigner un DPO. Il ne s'agit nullement d'une disposition superficielle car, sous plusieurs aspects, les communes sont exposées à des enjeux qui leur sont spécifiques en matière de protection des données, notamment en termes :

  • D'archivage définitif des données personnelles ;
  • De traitement des demandes de droit d'accès des personnes concernées et ;
  • De vulnérabilité des personnes concernées (notamment en ce qui concerne la gestion des écoliers des classes élémentaires et maternelles au titre des dispositions des articles L.212-1 et suivants du code de l'éducation).

Au-delà de ces spécificités, le principal enjeu est de nature sécuritaire. Comme en témoigne la synthèse de la menace ciblant les collectivités territoriales publiée par l'ANSSI le 23 octobre dernier, 187 incidents cyber affectant les collectivités territoriales ont été recensés sur la période s'étalant de janvier 2022 à juin 2023. Au surplus, la criticité de ces attaques peut être amplifiée en cas de mutualisation des services avec d'autres collectivités.

Le DPO comme réducteur de risques pour les organismes publics

Les risques précités pourraient être mitigés grâce au DPO qui a vocation à accompagner l'organisme public dans le cadre de sa mise en conformité. A ce titre il est tenu de :

  • Informer et conseiller le responsable de traitement sur les obligations qui lui incombe ;
  • Vérifier la conformité des opérations de traitement réalisées ;
  • Faire office de point de contact avec les autorités de contrôle ;
  • Traiter les demandes d'exercice de droit des personnes concernées ;
  • Donner son avis sur l'élaboration des analyses d'impacts ;
  • Sensibiliser et former les agents à la protection des données à caractère personnel ;
  • Participer à l'encadrement des flux de données opérés avec des sous-traitants ou des responsables de traitement conjoints.

Compte tenu de ce qui précède, il est urgent que les collectivités territoriales s'investissent également sur le terrain de la protection des données à caractère personnel. Le recours à un DPO est ainsi primordial, et il serait stratégiquement problématique de s'en affranchir pour des raisons exclusivement budgétaires compte tenu du risque de sanction que ferait peser un tel manquement sur le responsable de traitement et du climat toujours plus propice aux violations de données (ransomware, etc).

La CNIL marque ainsi un grand coup en sanctionnant la commune de Kourou et envoie ainsi un signal fort à l'ensemble des communes françaises.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.