Note de jurisprudence – Du courroux à Kourou ! A propos de la condamnation de la Commune de Kourou par la CNIL, le 12 décembre 2023
Isabelle Génot-Pok, consultante – formatrice en droit de la santé, centre de droit JuriSanté du CNEH
La désignation d’un délégué à la protection des données (DPO) n’est pas une option. Depuis l’entrée en vigueur du Règlement général européen de protection de données (RGPD) en avril 2018[1], si le DPO est un personnage bien intégré dans nombre de structures industrielles par exemple ou dans certains services publics, il n’apparait cependant pas encore connu, voire considéré comme essentiel dans bien d’autres.
La commune de Kourou vient d’en faire l’expérience puisqu’elle a été sanctionnée par la Commission nationale de l’informatique et des libertés (CNIL) à une amende de 5 000€ et à une injonction sous astreinte pour ne pas avoir désigné en temps et en heure un délégué à la protection des données[2]. Cette condamnation, une première, un exemple, ne sera sans doute pas la seule. En effet, la CNIL avait mené une campagne de mise en demeure en avril 2022 et 22 communes étaient dans l’œil du cyclone, n’ayant toujours pas procédé à la désignation d’un DPO, et ce, au mépris de l’article 37 du RGPD[3].
Sanctions de la CNIL
Dans cette affaire, la commune de Kourou avait reçu une injonction de se mettre en conformité dans un délai de quatre mois. Or, à l’issue de ce délai, on ne constate aucun DPO à l’horizon spatial de la ville, ni même aucune réponse rendue aux différentes sollicitations de la CNIL. Les demandes de la CNIL face à l’obligation du RGPD ne sont pas à prendre à la légère…
On rappellera que la protection des données à caractère personnel ou individuel est une priorité européenne. Elle a pris une importance juridique croissante à l’aulne de celles des données elles-mêmes qualifiées « d’or du 21ème siècle ». Aussi toutes les structures publiques et privées doivent sans exception s’attacher les services d’un DPO pour organiser leur mise en conformité[4]. Si la CNIL a pu jusqu’à présent être tolérante avec les services publics, il semble qu’elle soit d’humeur à durcir le ton. Et c’est tant mieux pour la protection de nos données de citoyens et de patients pour ce qui concerne le domaine de la santé.
Les établissements publics de santé et médico-sociaux sont donc directement concernés par cette obligation de désignation prévue par le RGPD, comme tout autre service public. Mais pas que. Car il ne s’agit pas, une fois encore, de désigner un DPO pour désigner un DPO, mais bien de reconnaître la légitimité de sa place, de son rôle et de ses conseils. Rappelons que les contrôles de la CNIL peuvent largement lui permettre de vérifier ce qu’il a pu mettre en place et ce qu’on lui a laissé faire[5]. Il serait donc temps de prendre très au sérieux cette fonction[6], d’autant que la directive dite NIS 2 (Network and Information Security 2) applicable en octobre 2024[7] va considérablement complexifier la lutte contre la cybercriminalité. La NIS 2, qui poursuit la démarche initiée par la directive NIS 1[8], visant à augmenter le niveau de cybersécurité des acteurs essentiels dans des secteurs d’activité stratégiques, permet notamment de distingue deux catégories d’entités régulées en fonction de leur niveau de criticité : les entités essentielles et les entités importantes. Certains établissements de santé n’échapperont pas à cette déclaration[9].
Aussi, à tous les responsables de traitements des établissements (RT), il n’est plus temps de tergiverser, mais de véritablement prendre ses responsabilités.
NOTES
[1] Plus exactement le 27 avril 2018, sachant que les structures concernées étaient prévenues de son application dès mai 2016, date de publication du texte européen, afin que chacun puisse s’y préparer et être conforme ou avoir démarré sa mise en conformité fin avril 2018….
[2] https://www.cnil.fr/fr/non-designation-dun-delegue-la-protection-des-donnees-la-cnil-sanctionne-la-commune-de-kourou
[3] Dès juin 2021, la CNIL avait démarré une action de contrôle sur les communes de plus de 20 000 habitants. Ayant repéré celles qui n’avaient pas désigné de DPD/DOP, elle les avait donc mis en garde. Toutefois un an environ après elle a dû constater que certaines de ces communes n’avaient toujours pas déclaré de DPO. En conséquence, la CNIL les a mises en demeure de procéder à cette désignation.
[4] Se reporter à l’article 38 du RGPD qui définit le rôle du DPO.
[5] Cf son bilan annuel devant porter l’état des lieux, ses projets d’action, ses réalisations, ses conseils suivis, ou pas, par le responsable de traitement.
[6] Attention, la CNIL a également sanctionné un organisme social en lui infligeant une amende de 10 000 € pour manquement à l’article 38 du RGPD (rôle et fonction du DPO). Ce dernier ne disposait pas des moyens nécessaires à sa fonction; il s’agit ici de la responsabilité du RT.
[7] Même si certaines mesures ne seront pas d’application immédiate.
[8] Elle a été adoptée le 6 juillet 2016 puis transposée en France le 26 février 2018.
[9] Les entreprises classées comme essentielles ou importantes font partie des 35 secteurs visés et ont la responsabilité d’une infrastructure dont l’arrêt aurait des conséquences significatives sur l’économie et le fonctionnement du pays. Pour ce qui est des établissements de santé désignés comme tels, ils devront se déclarer auprès de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).