Délibération SAN-2024-009 du 22 juillet 2024

Commission Nationale de l’Informatique et des Libertés

• Nature de la délibération : Sanction
• Etat juridique : En vigueur

• Date de publication sur Légifrance : Vendredi 26 juillet 2024

Délibération de la formation restreinte n° SAN-2024-009 du 22 juillet 2024 concernant la commune de KOUROU

La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de M. Philippe-Pierre CABOURDIN, président, M. Vincent LESCLOUS, vice-président, Mmes Laurence FRANCESCHINI et Isabelle LATOURNARIE-WILLEMS, MM. Alain DRU et Bertrand du MARAIS, membres ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux li-bertés, notamment ses articles 20 et suivants ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu la délibération n° SAN-2023-018 du 12 décembre 2023 adoptée par la formation restreinte à l’encontre de la commune de KOUROU ;

Vu la délibération n°SAN-2024-005 du 4 avril 2024 adoptée par la formation restreinte à l’encontre de la commune de KOUROU ;

Après en avoir délibéré, a adopté la décision suivante :

I. FAITS ET PROCÉDURE

1. Par décision du 12 décembre 2023, notifiée le 18 décembre 2023, la formation restreinte a adopté des mesures correctrices dans les termes suivants :

– ” prononcer à l’encontre de la commune de KOUROU une amende administrative d’un montant de cinq mille (5 000) euros au regard des manquements constitués aux articles 31 et 37 du règlement (UE) n° 2016/679 du 27 avril 2016 relatif à la protection des données ;

– prononcer à l’encontre de la commune de KOUROU une injonction de désigner un délégué à la protection des données assortie d’une astreinte de cent-cinquante (150) euros par jour de retard à l’issue d’un délai de deux mois suivant la notification de la délibération de la formation restreinte “.

2. En application de l’article 44 du décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après ” la loi du 6 janvier 1978 modifiée “), la formation restreinte a, par une délibération du 4 avril 2024, notifiée le 10 avril 2024, porté à la connaissance de la commune que, compte tenu de l’absence de réponse de la commune relative à la désignation d’un délégué à la protec-tion des données dans le délai imparti par l’injonction, elle envisageait de liquider l’astreinte pour un montant de six mille neuf cents euros (6 900 euros) au titre de la période du 19 février 2024 au 4 avril 2024, et de rendre publique la délibération prononçant la liquidation de l’astreinte. Elle a indiqué à la commune qu’elle disposait d’un délai de quinze jours à compter de la notification des motifs de la liquidation et de son montant pour transmettre ses observa-tions écrites.

3. La commune n’a formulé aucune observation écrite.

II. MOTIFS DE LA LIQUIDATION ET MONTANT

4. Aux termes de l’article 44 du décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi du 6 janvier 1978 modifiée ” Lorsque la formation restreinte décide d’assortir d’une astreinte sa décision d’injonction de mise en conformité […], elle peut le faire par la même décision. Le responsable de traitement […] transmet à la formation restreinte, au plus tard à la date fixée dans la décision de cette dernière, les éléments attestant qu’il s’est conformé à l’injonction prononcée à son encontre “.

5. L’article 44, paragraphe 3, du décret précité prévoit que ” En cas d’inexécution totale ou partielle ou d’exécution tardive, la formation restreinte procède à la liquidation de l’astreinte qu’elle avait prononcée ” et que ” Le montant de l’astreinte est liquidé en tenant compte des éléments transmis, le cas échéant, par le responsable de traitement ou le sous-traitant, de son comportement et des difficultés d’exécution qu’il a rencontrées, notamment s’il est établi que l’inexécution ou le retard dans l’exécution provient, en tout ou partie, d’une cause étrangère aux capacités de mise en conformité “.

6. Enfin, selon les paragraphes 4 et 5 de l’article précité, ” la décision prononçant la liquidation de l’astreinte est précédée d’une procédure écrite au cours de laquelle la formation restreinte porte à la connaissance du responsable de traitement ou du sous-traitant les motifs de la liquidation envisagée et son montant. Le responsable du traitement ou le sous-traitant dispose d’un délai de quinze jours à compter de la date de notification des motifs de la liquidation et de son montant pour transmettre à la formation restreinte ses observations écrites “.

A. Sur les motifs de la liquidation

7. La formation restreinte relève que la commune ne lui a transmis aucun élément permettant d’attester de la désignation d’un délégué à la protection des données.

8. Par conséquent, la formation restreinte considère que la commune n’a pas satisfait à l’injonction prononcée par la délibération n° SAN-2023-018 du 12 décembre 2023.

B. Sur le montant de l’astreinte à liquider

9. Compte tenu de l’absence de mise en conformité de la commune de Kourou, la formation restreinte considère qu’il y a lieu de liquider l’astreinte à hauteur de six mille neuf cents euros (6 900 euros) au titre de la période du 19 février 2024 au 4 avril 2024.

C. Sur la publicité

10. Il convient de rendre publique la présente délibération afin d’informer des suites données au prononcé de l’injonction de la sanction n°SAN-2023-018 du 12 décembre 2023, elle-même publiée.

PAR CES MOTIFS

La formation restreinte de la CNIL, après en avoir délibéré, décide de :

– procéder à la liquidation de l’astreinte prononcée à l’encontre de la commune de KOUROU pour un montant de six mille neuf cents euros (6 900 euros) au titre de la période du 19 février 2024 au 4 avril 2024 ;

– rendre publique, sur le site de la CNIL et sur le site de Légifrance, la présente délibération, qui n’identifiera plus nommément la commune de KOUROU à l’expiration d’un délai d’un an à compter de sa publication ;

Le président

Philippe-Pierre CABOURDIN

Conformément à l’article R.421-7 du code de justice administrative, cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’Etat dans un délai de trois mois à compter de sa notification

Délibération SAN-2023-018 du 12 décembre 2023

Commission Nationale de l’Informatique et des Libertés

• Nature de la délibération : Sanction
• Etat juridique : En vigueur

• Date de publication sur Légifrance : Mardi 19 décembre 2023

Délibération de la formation restreinte no SAN-2023-018 du 12 décembre 2023 concernant la commune de KOUROU

La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de M. Philippe-Pierre CABOURDIN, vice-président, Mmes Isabelle LATOURNARIE-WILLEMS et Christine MAUGÜÉ ; MM. Alain DRU et Bertrand du MARAIS, membres ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;

Vu le décret n° 2019-536 du 29 mai 2019 modifié pris pour l’application de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte, en date du 28 août 2023 ;

Vu le rapport de Madame Valérie PEUGEOT, commissaire rapporteure, notifié à la commune de KOUROU le 11 septembre 2023 ;

Vu la clôture de l’instruction notifiée à la commune le 23 octobre 2023 ;

Vu les autres pièces du dossier ;

Lors de la séance de la formation restreinte du 30 novembre 2023 :

– Était présente, Madame Valérie PEUGEOT, commissaire, entendue en son rapport ;

– Etaient absents les représentants de la commune de KOUROU […] régulièrement convoqués.

La formation restreinte a adopté la délibération suivante :

I. Faits et procédure

1. La commune de KOUROU (ci-après ” la commune “), est une collectivité territoriale de 25 000 habitants, située dans la collectivité territoriale unique de Guyane, dont la mairie se trouve 30 avenue des Roches à Kourou (97310).

2. Par courrier du 2 juin 2021, dans le cadre des missions définies à l’article 8 de la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, la Présidente de la Commission nationale de l’informatique et des libertés (ci-après ” la CNIL ” ou ” la Commission “) a alerté la commune de KOUROU sur l’absence de désignation d’un délégué à la protection des données (ou ” DPD “) en son sein.

3. Ce courrier est resté sans suite de la part de la commune de KOUROU (ci-après ” la commune “).

4. Le 25 avril 2022, la Présidente de la CNIL a mis en demeure la commune, sous un délai de quatre mois à compter de la notification de cette décision et sous réserve des mesures qu’elle aurait déjà pu adopter, de procéder à la désignation d’un DPD. Cette décision, rendue publique après délibération du bureau de la CNIL du 5 mai 2022, a été notifiée à la commune le 19 mai 2022 par lettre recommandée avec accusé de réception.

5. Cette mise en demeure est restée sans réponse de la commune qui n’a pas désigné de DPD.

6. Dans le cadre d’une procédure de sanction simplifiée, le président de la formation restreinte a prononcé, par décision du 8 février 2023, une amende à l’encontre de la commune d’un montant de cinq mille euros pour les manquements aux articles 31 et 37-1-a) du RGPD et une injonction de désigner un délégué à la protection des données dans un délai de trois mois suivant la notification de ladite décision, intervenue le 25 février 2023.

7. En l’absence de réponse de la commune et de désignation d’un DPD, la présidente de la Commission a, le 28 août 2023, désigné Madame Valérie PEUGEOT en qualité de rapporteure sur le fondement de l’article 39 du décret n°2019-536 du 29 mai 2019 modifié.

8. À l’issue de son instruction, la rapporteure a, le 13 septembre 2023, fait notifier à la commune un rapport détaillant les manquements aux articles 37-1-a) et 31 du règlement général sur la protection des données (ci-après ” RGPD “) qu’elle estimait constitués en l’espèce. Elle proposait à la formation restreinte de prononcer un rappel à l’ordre et une injonction de désigner un délégué à la protection des données assortie d’une astreinte de cent cinquante euros par jour de retard à l’issue d’un délai de deux mois suivant la notification de la délibération et que cette décision soit rendue publique.

9. Par courrier du 19 octobre 2023, la rapporteure a informé la commune que l’instruction était close, en application de l’article 40, III, du décret modifié n° 2019-536 du 29 mai 2019.

10. Par courrier du 20 octobre 2023, la commune a été informée que le dossier était inscrit à la séance de la formation restreinte du 16 novembre 2023.

11. Par courrier du 9 novembre 2023, la commune a été informée que le dossier était reporté à la séance de la formation restreinte au 30 novembre 2023.

12. La rapporteure a été entendue lors de la séance de la formation restreinte du 30 novembre 2023. La formation restreinte a constaté l’absence de la commune qui n’était ni présente ni représentée.

II. Motifs de la décision

A. Sur le manquement à l’obligation de désigner un délégué à la protection des données en application de l’article 37, paragraphe 1, a) du RGPD

13. En droit, l’article 37, paragraphe 1, a) du RGPD dispose que ” Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque : a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle […] “.

14. La formation restreinte rappelle l’importance du rôle du délégué à la protection des données devenu obligatoire au sein des autorités et organismes publics depuis l’entrée en application le 25 mai 2018 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. La désignation d’un délégué à la protection des données est essentielle pour assurer la conformité des organismes avec les dispositions du RGPD.

15. La formation restreinte relève que les autorités publiques chargées de missions de service public traitent de nombreuses données à caractère personnel (données d’administrés, d’agents publics et d’élus) dont certaines sont des données sensibles et doivent particulièrement veiller à leur protection dans un contexte d’accroissement des attaques informatiques à l’encontre des organismes publics.

16. Le délégué à la protection des données est en charge, conformément à l’article 39 du RGPD, notamment d’informer et conseiller le responsable de traitement sur les obligations qui lui incombe, contrôler le respect du RGPD en procédant à l’analyse et la vérification des activités de traitement et faire office de point de contact pour l’autorité de contrôle sur les questions relatives aux traitements. En outre, le délégué à la protection des données constitue également le point de contact des personnes concernées, notamment les administrés, au sujet de questions relatives au traitement de leurs données à caractère personnel et à l’exercice des droits que leur confère le règlement conformément à l’article 38-4 du RGPD.

17. En l’espèce, il résulte de l’instruction que la commune n’a pas procédé à la désignation d’un délégué à la protection des données alors qu’elle y était tenue depuis le 25 mai 2018.

18. En conséquence, les faits précités constituent un manquement à l’article 37-1-a) du RGPD.

B. Sur le manquement à l’obligation de coopérer avec les services de la CNIL en application de l’article 31 du RGPD

19. En droit, l’article 31 du RGPD dispose que ” le responsable du traitement et le sous-traitant ainsi que, le cas échéant, leurs représentants coopèrent avec l’autorité de contrôle, à la demande de celle-ci, dans l’exécution de ses missions “.

20. En l’espèce, la formation restreinte relève que la commune n’a pas répondu à la lettre de la Présidente de la CNIL du 2 juin 2021 l’invitant à désigner un délégué à la protection des données, pas plus qu’elle n’a répondu à la mise en demeure du 25 avril 2022 et à la décision du président de la formation restreinte du 8 février 2023 lui enjoignant de désigner un délégué à la protection des données dans un délai de trois mois suivant la notification de sa décision intervenue le 25 février 2023.

21. Ainsi, la formation restreinte considère que la commune de Kourou, en s’abstenant de répondre à toutes les correspondances de la CNIL, a méconnu l’obligation prévue à l’article 31 du Règlement.

III. Sur les mesures correctrices et leur publicité

22. Aux termes du III de l’article 20 de la loi du 6 janvier 1978 modifiée :

23. ” Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut également, le cas échéant après lui avoir adressé l’avertissement prévu au I du présent article ou, le cas échéant en complément d’une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l’une ou de plusieurs des mesures suivantes : […]

2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l’Etat, d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ; […]

7° À l’exception des cas où le traitement est mis en œuvre par l’État, une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l’article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d’euros et 4 % dudit chiffre d’affaires. La formation restreinte prend en compte, dans la détermination du montant de l’amende, les critères précisés au même article 83 “.

24. L’article 83 du RGPD prévoit que ” Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives “, avant de préciser les éléments devant être pris en compte pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de cette amende.

25. En 2021, le résultat global de clôture du compte administratif du budget principal de la commune était en déficit de 13 094 989,01 euros. En 2022, son budget principal était proposé par la chambre régionale des comptes de Guyane en déficit de 3 570 006 euros.

26. La formation restreinte considère que, dans le cas d’espèce, les manquements précités justifient que soient prononcés une amende administrative et une injonction de désigner un délégué à la protection des données à l’encontre de la commune.

A. Sur le prononcé d’une amende administrative

27. La formation restreinte rappelle qu’elle doit tenir compte, pour le prononcé d’une amende administrative, des critères précisés à l’article 83 du RGPD, tels que la nature, la gravité et la durée de la violation, les mesures prises par le responsable du traitement pour atténuer le dommage subi par les personnes concernées, le degré de coopération avec l’autorité de contrôle et les catégories de données à caractère personnel concernées par la violation.

28. La formation restreinte relève le rôle central du délégué à la protection des données, pierre angulaire du régime de responsabilité, qui facilite le respect des règles, agit comme intermédiaire entre les administrés et une collectivité publique et vient ainsi renforcer la confiance accordée aux organismes publics.

29. Au vu de la nature de l’organisme concerné, commune de plus de 16 000 habitants qui exerce des missions de service public, la formation restreinte estime nécessaire de sensibiliser la commune sur l’indispensable protection des données à caractère personnel qu’elle traite au titre de ses missions par la désignation d’un délégué à la protection des données.

30. La formation restreinte considère que la persistance de l’absence de désignation d’un délégué à la protection des données par la commune témoigne d’un mépris des obligations pesant sur elle en matière de protection des données à caractère personnel, et ce, d’autant plus que cette désignation aurait dû intervenir dès la mise en application du RGPD le 25 mai 2018.

31. La formation restreinte souligne que ce manquement a perduré malgré les différentes procédures initiées par la CNIL à l’encontre de la commune.

32. Ainsi, la formation restreinte relève que, malgré les diverses mesures correctrices prises par la CNIL, à savoir une mise en demeure de sa présidente de remédier à ce manquement puis une sanction du président de la formation restreinte assortie d’une amende administrative de cinq mille (5 000) euros, la commune n’a pas pris les mesures nécessaires pour assurer sa mise en conformité, et ce, malgré les injonctions précises qui lui avaient été adressées.

33. En outre, la commune a manqué à son obligation de coopération avec la CNIL par l’absence de toute réponse.

34. Aussi, la formation restreinte considère que le prononcé d’une amende à l’encontre de la commune est justifié par la persistance des manquements relatifs à l’absence de désignation d’un délégué à la protection des données et au défaut de coopération depuis la décision du 8 février 2023 rendue par le président de la formation restreinte.

35. Par ailleurs, la formation restreinte souligne que les faits sanctionnés seraient susceptibles de porter une atteinte suffisamment caractérisée aux dispositions dont la CNIL a pour mission d’assurer l’application et de constituer ainsi une infraction pénale en application du 2° de l’article 226-22-2 du code pénal.

36. En conséquence, la formation restreinte considère que ces manquements justifient qu’une amende administrative soit prononcée.

37. S’agissant du montant de l’amende, compte tenu de l’activité de l’organisme qui est une collectivité territoriale et de sa situation financière, la formation restreinte considère que le prononcé d’une amende administrative de 5 000 euros apparaît justifié.

B. Sur le prononcé d’une injonction assortie d’une astreinte

38. En premier lieu, la formation restreinte relève que la commune n’a toujours pas procédé à la désignation d’un délégué à la protection des données.

39. Au regard de la persistance du manquement relevé au titre de la désignation d’un délégué à la protection des données persiste, la formation restreinte estime nécessaire le prononcé d’une injonction afin que la commune se mette en conformité avec ses obligations.

40. En second lieu, la formation restreinte souligne qu’une astreinte journalière est une pénalité financière par jour de retard que devra payer le responsable de traitement en cas de non-respect de l’injonction à l’expiration du délai d’exécution prévu.

41. La formation restreinte ajoute qu’aux fins de conserver à l’astreinte sa fonction comminatoire, son montant se doit d’être à la fois proportionné à la gravité des manquements reprochés mais également adapté aux capacités financières du responsable de traitement.

42. Au regard de ces éléments, la formation restreinte considère proportionné le prononcé d’une astreinte d’un montant de 150 euros par jour de retard et liquidable à l’issue d’un délai de deux mois.

C. Sur la publicité de la décision

43. Enfin, la formation restreinte estime nécessaire que sa décision soit rendue publique au regard de la gravité des manquements et de leur persistance.

44. Elle souligne que la protection des données à caractère personnel par les collectivités publiques est d’autant plus importante qu’elles traitent un nombre considérable de données, dont certaines sont sensibles. En outre, les enjeux de cybersécurité, notamment au regard de la recrudescence des attaques à l’encontre des systèmes d’informations de ces entités, font ressortir l’importance du rôle du délégué à la protection des données auprès des collectivités publiques.

PAR CES MOTIFS

La formation restreinte de la CNIL, après en avoir délibéré, décide de :

• prononcer à l’encontre de la commune de KOUROU une amende administrative d’un montant de cinq mille (5 000) euros au regard des manquements constitués aux articles 31 et 37 du règlement (UE) n° 2016/679 du 27 avril 2016 relatif à la protection des données ;

• prononcer à l’encontre de la commune de KOUROU une injonction de désigner un délégué à la protection des données assortie d’une astreinte de cent-cinquante (150) euros par jour de retard à l’issue d’un délai de deux mois suivant la notification de la délibération de la formation restreinte ;

• rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément la commune de KOUROU à l’expiration d’un délai d’un an à compter de sa publication ;

• ordonner à la commune de publier, sur le site officiel de la commune de KOUROU accessible à l’adresse https://www.ville-kourou.fr/, un message d’information à destination de ses usagers quant à la présente décision de la formation restreinte ;

La publication de ce communiqué sera effectuée selon les modalités suivantes :

– L’encart inséré reproduira avec fidélité le texte suivant : ” Communiqué : la formation restreinte de la Commission nationale de l’informatique et des libertés a prononcé une amende de 5000 euros contre la commune de Kourou et une injonction de désigner un délégué à la protection des données assortie d’une astreinte de 150 euros par jour de retour dans un délai de deux mois après la notification de la décision pour manquements à la désignation d’un délégué à la protection des données et à l’obligation de coopérer avec les services de la CNIL. Décision accessible à l’adresse suivante : https://www.cnil.fr/fr/sanction-kourou”

– Le texte https://www.cnil.fr/fr/sanction-kourou comportera un pointeur hypertexte activable par l’utilisateur

– Le communiqué figurera dans un encart spécifique localisé sur la page accessible à l’adresse https://www.ville-kourou.fr/. Cet encart sera inséré sous le bandeau contenant les boutons ” la mairie ; politique de la ville ; urbanisme ; éducation ; culture, sports, partenaires “

– Le texte publié sera encadré selon le style employé par la mairie sur son site dans la police identique à celle utilisée dite ” montserrat ” et dont la taille ne saurait être inférieure à 14 pixels

– La publication est ordonnée pour une durée de 4 jours à compter de 12h00, heure de Paris (France), le septième jour suivant la notification de la présente délibération

– A l’issue de la période mentionnée ci-dessus, la commune procédera au retrait du texte de l’encart.

Le vice-président

Philippe-Pierre CABOURDIN

Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de trois mois à compter de sa notification