En 2022, la Commission nationale de l’informatique et des libertés (Cnil) a mis en demeure vingt-deux communes qui n’avaient pas désigné leur délégué à la protection des données (DPO). Car, comme elle le rappelle dans son rapport d’activités, toutes les collectivités territoriales, quelle que soit leur taille, sont tenues de nommer un DPO. En effet, la réglementation européenne impose la désignation d’un délégué à la protection des données lorsqu’un traitement de données personnelles est effectué par une autorité publique ou un organisme public.
Dans un premier temps, en juin 2021, la Cnil a seulement alerté les communes de plus de 20 000 habitants qui n’avaient pas désigné leur DPO. Mais cela n’a pas suffi. Près d’un an plus tard, certaines n’avaient pour autant toujours pas accompli la démarche. La présidente les a donc mises en demeure de procéder à cette désignation dans un délai de quatre mois, rappelant ainsi le rôle essentiel du DPO dans la conformité des traitements mis en œuvre par les autorités publiques. Il est notamment l’interlocuteur privilégié des agents et des administrés sur l’ensemble des sujets relatifs à la protection des données.
Les mises en demeure ont pu être closes pour les vingt et une communes sur vingt-deux qui ont finalement obtempéré. Pour la commune récalcitrante, la présidente de la Cnil a désigné un rapporteur chargé d’instruire le dossier et elle a saisi le président de la formation restreinte, organe interne chargé de prononcer les sanctions. Objectif : prononcer une amende selon la procédure de sanction simplifiée. Cette nouvelle procédure de la Cnil, instaurée en 2022, est adaptée à des dossiers qui ne présentent pas de difficulté particulière, mais peuvent justifier une sanction. L’idée est de pouvoir répondre aux plaintes, de plus en plus nombreuses. Aucun critère n’impose le renvoi automatique d’un dossier vers la procédure simplifiée : la présidente dispose en effet d’un pouvoir discrétionnaire. Toutefois, s’il le souhaite, le président de la formation restreinte peut renvoyer un dossier vers une procédure de sanction ordinaire.
Trois critères sont pris en compte pour identifier les dossiers pouvant relever de la procédure simplifiée : l’existence de décisions similaires préalables, les décisions déjà rendues par la formation restreinte, ainsi que la simplicité des questions de fait et de droit à trancher. La procédure simplifiée suit ensuite les mêmes étapes que la procédure de sanction ordinaire (délais, procédure contradictoire…), avec des modalités de mise en œuvre allégées. Le président de la formation restreinte (ou un membre qu’il désigne) statue seul. Aucune séance publique n’est organisée, sauf si l’organisme demande à être entendu.
Les organismes risquent une amende d’un montant maximum de 20 000 euros, une injonction avec astreinte plafonnée à 100 euros par jour de retard et un rappel à l’ordre. Ces sanctions ne peuvent pas être rendues publiques.
Marie Gasnier
