Le 12 décembre 2023, la CNIL a prononcé une amende et une injonction sous astreinte à l’encontre de la commune de Kourou pour ne pas avoir désigné de délégué à la protection des données, ni coopéré avec les services de la CNIL.
Pour rappel, le 25 avril 2022, la présidente de la CNIL avait rendu publiques des mises en demeure visant 22 communes n’ayant pas procédé à la désignation d’un délégué à la protection des données (DPO ou data protection officer) en méconnaissance des obligations prévues par le RGPD.
Les communes disposaient d’un délai de 4 mois pour s’y conformer. À son issue, la commune de Kourou n’avait pas procédé à cette désignation, ni répondu aux services de la CNIL. En effet, rappelons que les communes, en tant qu’autorité publique, ont pour obligation de désigner un délégué à la protection des données (article 37 du RGPD). La commune de Kourou n’ayant pas rempli son obligation, malgré les différentes procédures dont elle a fait l’objet, la CNIL a prononcé une amende de 5 000 euros et une injonction de se mettre en conformité dans un délai de deux mois, assortie d’une astreinte de 150 euros par jour de retard.
En outre, elle renforce cette sanction par deux moyens : d’une part en la rendant publique, d’autre part en ordonnant à la commune d’afficher pendant quatre jours un message d’information à destination des usagers sur son site web.
Le RGPD a introduit des changements significatifs dans la manière dont les organisations collectent, traitent et protègent les données personnelles. L’une des obligations clés imposées par le règlement est la désignation d’un Délégué à la Protection des Données (DPO) dans certaines circonstances. Dans cet article, nous explorerons pourquoi la nomination d’un DPO, en particulier externe, est cruciale pour la conformité au RGPD.
Qu'est-ce qu'un DPO?
Un DPO est un expert en protection des données indépendant chargé de veiller à ce que votre organisation traite les données personnelles de manière conforme au RGPD. Sa mission est de conseiller, informer et surveiller le respect du règlement au sein des structures.
Pourquoi la désignation d'un DPO est-elle cruciale ?
Impératif légal : La désignation d’un DPO est une exigence légale pour certaines structures en vertu de l’article 37.1 du RGPD. La désignation d’un délégué est obligatoire pour : les autorités et organismes publics (par exemple, les ministères, collectivités territoriales, établissements publics), les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle. Par exemple : les compagnies d’assurance ou les banques pour leurs fichiers clients, les opérateurs téléphoniques ou les fournisseurs d’accès internet. Et les organismes dont les activités de base les amènent à traiter à grande échelle des données dites “sensibles” (données biométriques, génétiques, relatives à la santé, la vie sexuelle, l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale) ou relatives à des condamnations pénales et infractions.
Gestion des Risques : Le DPO joue un rôle clé dans la gestion des risques liés à la protection des données. Il peut évaluer les risques, élaborer des politiques de protection des données et assurer la conformité continue de l’organisation. Il a des compétences en sécurité informatique et inculque les bonnes pratiques à appliquer pour limiter les risques de violation de données.
Communication avec la CNIL : En cas de violation de données, le DPO est le point de contact privilégié pour les autorités de contrôle. Sa présence facilite la communication et démontre l’engagement de l’organisation envers la protection des données.
Comment désigner un DPO ?
Identification des critères : Déterminez si votre structure est tenue de désigner un DPO en fonction des critères spécifiques définis par l’article 37.1 du RGPD.
Processus de sélection : Mettez en place un processus de sélection transparent pour choisir un DPO qualifié et indépendant.
Désignation auprès de la CNIL : effectuez les démarches de désignation auprès de la CNIL
Rôle et responsabilités : Définissez clairement les rôles et les responsabilités du DPO au sein de votre organisation.
Communication interne et externe : Informez vos employés de la nomination du DPO et de son rôle dans la protection des données ainsi que vos clients, patients ou usagers.
En conclusion, la désignation d’un DPO, est essentielle pour garantir la conformité au RGPD et renforcer la protection des données. Assurez-vous que votre organisation respecte ses obligations en matière de protection des données en désignant un DPO compétent et indépendant et en mettant en œuvre des pratiques conformes au RGPD.
Pour toute question, n’hésitez pas à nous contacter via notre formulaire en ligne !
Ping : Le RGPD : Une obligation pour toutes les entreprises ? - LexActitude
Ping : Comment rédiger une clause RGPD ? - LexActitude