Toutes les collectivités territoriales sont désormais tenues de désigner un délégué à la protection des données (DPO), sous peine de sanctions. La Commission nationale de l’informatique et des libertés (CNIL) a mis en demeure vingt-deux communes en 2022 pour ne pas avoir nommé leur DPO, conformément à la réglementation européenne qui exige cette désignation lorsque des données personnelles sont traitées par une autorité publique ou un organisme public.
Initialement, en juin 2021, la CNIL avait simplement alerté les communes de plus de 20 000 habitants qui n’avaient pas désigné leur DPO. Cependant, après près d’un an, certaines communes n’avaient toujours pas accompli cette démarche. La présidente de la CNIL a donc mis en demeure ces communes de procéder à la désignation dans un délai de quatre mois, soulignant le rôle essentiel du DPO dans la conformité des traitements de données effectués par les autorités publiques et sa fonction d’interlocuteur privilégié pour les agents et les administrés concernant la protection des données.
Vingt et une communes sur vingt-deux ont finalement obtempéré et ont clos les mises en demeure. En revanche, pour la commune récalcitrante, la présidente de la CNIL a nommé un rapporteur chargé d’instruire le dossier et a saisi le président de la formation restreinte, l’organe interne chargé de prononcer les sanctions.
L’objectif est d’imposer une amende selon la procédure de sanction simplifiée, qui a été instaurée en 2022 pour traiter les dossiers ne présentant pas de difficultés particulières mais justifiant néanmoins une sanction, afin de faire face à une augmentation des plaintes. La décision de renvoyer ou non un dossier vers la procédure de sanction ordinaire relève du pouvoir discrétionnaire de la présidente de la CNIL, bien que le président de la formation restreinte puisse le renvoyer si nécessaire.
La procédure simplifiée prend en compte trois critères pour identifier les dossiers qui y sont éligibles : l’existence de décisions similaires antérieures, les décisions déjà rendues par la formation restreinte et la simplicité des questions de fait et de droit à trancher. La procédure simplifiée suit ensuite les mêmes étapes que la procédure de sanction ordinaire, avec des modalités de mise en œuvre allégées. Le président de la formation restreinte, ou un membre désigné par lui, statue seul et aucune séance publique n’est organisée, sauf si l’organisme concerné en fait la demande.
Les organismes risquent une amende pouvant aller jusqu’à 20 000 euros, une injonction assortie d’une astreinte plafonnée à 100 euros par jour de retard, ainsi qu’un rappel à l’ordre. Toutefois, ces sanctions ne peuvent pas être rendues publiques.