Il y a un peu plus de deux ans, la CNIL avait adopté cette délibération rendant publique (par une sorte de « name and shame » qui interroge ; même si la CEDH ne prohibe pas le procédé : voir La CEDH admet le principe du pilori en ligne (name & shame) ) le fait que 22 communes ont été mises en demeure de se doter d’un délégué à la protection des données (dpo ; pour « Data Protection Officer ») :

Une commune n’a, depuis, ni répondu ni nommé de dpo. La CNIL, en 2023, était passée au stade supérieur.

En effet, dans cette décision (voir ici) du 12 décembre 2023, la formation restreinte – organe de la CNIL chargé des sanctions – a prononcé une amende de 5 000 euros (avec astreinte) et enjoint à la commune de Kourou de désigner un délégué à la protection des données.

Faute, depuis, de réponse, le 22 juillet 2024, la formation restreinte de la CNIL a donc considéré que la commune n’a pas satisfait à l’injonction et a, par conséquent, prononcé une liquidation de l’astreinte pour un montant de 6 900 euros… L’astreinte court encore cela dit donc d’autres ponctions financières pourront encore être à redouter par cette commune, même si cette sanction ne semble pas plonger celle-ci dans la terreur.

Mais attention : car si ensuite cette somme n’est pas mandatée, les risques juridiques pour cette commune, ses agents, voire ses élus, pourront glisser vers plusieurs infractions financières propres au régime de la responsabilité des gestionnaires publics (RGP).

Source :

• Délibération de la formation restreinte n° SAN-2024-009 du 22 juillet 2024 concernant la commune de KOUROU – Légifrance