Actualité

La CNIL et les collectivités locales en 10 points

novembre 2009

lien externe vers facebook lien externe twitter lien externe vers Google+
lien externe imprimer lien externe envoi par email

Les collectivités locales (communes, départements, régions et établissements publics territoriaux), pour assurer la gestion de leurs nombreux services (état civil, inscriptions scolaires, action sociale, gestion foncière et urbanisme, etc.), doivent collecter des informations nominatives et organiser des fichiers manuels ou informatiques. 

Parallèlement, les dispositifs de contrôle liés aux nouvelles technologies se multiplient (vidéosurveillance, applications biométriques, géolocalisation, etc.) et le recours à Internet facilite le développement des téléservices locaux. Cette organisation du travail ne peut pas être sans danger pour la protection de la vie privée. C'est pour cela que le législateur est intervenu avec la loi n° 78-17 du 6 janvier 1978 modifiée par la loi n° 2004-801 du 6 août 2004 dont l'article premier énonce que : « L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».    

Afin de protéger la vie privée, le législateur a créé une autorité administrative indépendante : la Commission nationale de l'informatique et des libertés (CNIL), chargée de veiller au respect de la loi. Les maires et présidents sont responsables de ces traitements informatiques et de la sécurité des données personnelles qu'ils contiennent ; en cas de non-respect des dispositions de la loi, ils peuvent ainsi voir leur responsabilité, notamment pénale, engagée. Le dispositif « correspondant informatique et libertés » créé en 2004 permet au sein de la collectivité d'intégrer pleinement la problématique de la protection des données personnelles dans sa gestion quotidienne.  

Fondement de la loi du 6 janvier 1978 : protéger la vie privée

Le vote de la loi de 1978 a été provoqué par un projet ministériel de création d'un système automatisé pour les fichiers administratifs et un répertoire des individus dénommé « Safari ». Ce projet fit scandale en 1974[1] et permit de prendre conscience des dangers de l'informatique : cumul d'informations, contenu des fichiers, régimes d'échanges et délais de conservation, s'ils ne sont pas réglementés, risquent de porter atteinte à la vie privée.   

Cinq principes clés à respecter :

1. Le principe de proportionnalité :

Seules doivent être enregistrées les informations pertinentes et nécessaires pour assurer la gestion des services.  

2. Le principe de durée limitée de conservation des données :

La durée de conservation des informations nominatives ne doit pas être excessive et doit être établie en fonction de la finalité de chaque fichier (ex. : un mois pour les enregistrements de vidéosurveillance, deux ans à compter de la dernière aide pour le fichier d'aide sociale, etc.). Au-delà, les données doivent être archivées, sur un support distinct.  

3. Le principe de finalité : une utilisation encadrée des fichiers :

Les données à caractère personnel ne peuvent donc être recueillies et traitées que pour un usage déterminé et légitime, correspondant aux missions locales. Ainsi, un fichier municipal ne peut être utilisé à des fins commerciales ou politiques. Tout détournement de finalité est passible de sanctions pénales (cf. infra point 6).  

4. Le principe de sécurité et de confidentialité :

Les mesures de sécurité doivent exister et être fiables pour éviter les détournements des informations nominatives contenues dans les traitements. Les données contenues dans les fichiers ne peuvent être consultées que par les services habilités à y accéder (ex. : par un mot de passe individuel) en raison de leurs fonctions (par exemple, un fichier cadastral ne peut être utilisé a priori que par les services de l'urbanisme, du cadastre et de la voirie). Elles ne peuvent être communiquées qu'à des destinataires et des personnes autorisés (ex. : le Trésor public est en droit d'obtenir ponctuellement des informations détenues par les communes pour le recouvrement de créances fiscales ou des amendes et condamnations pécuniaires ce qui n'est pas le cas en revanche, des organismes de recouvrement de crédit).

5. Le principe du respect du droit des personnes :

- Informer les intéressés au moyen d'affiches et de documents d'information rappelant leurs droits : droit d'accès et de rectification mais aussi, droit de s'opposer sous certaines conditions à l'utilisation de leurs données.
- Les droits d'accès et de rectification : Toute personne (usager, agent municipal) peut demander communication de toutes les informations la concernant contenues dans un fichier municipal, et a le droit de faire rectifier ou supprimer les informations erronées. - Le droit d'opposition : Toute personne a le droit de s'opposer, pour des motifs légitimes, à ce que des données la concernant soient enregistrées dans un fichier informatique, sauf si celui-ci présente un caractère obligatoire (par exemple un registre d'état civil).  

La CNIL : dix-sept membres chargés de veiller au respect de la loi

Afin de veiller au respect de la loi du 6 janvier 1978, le législateur a créé une autorité administrative indépendante, la CNIL. Ses missions sont de conseiller, d'enquêter et de proposer. Les membres (députés, sénateurs, membres du Conseil économique et social, anciens membres des Hautes juridictions, personnalités, personnes qualifiées en matière informatique) sont nommés pour cinq ans ou pour la durée de leur mandat. En 2008, la CNIL a enregistré 71 990 nouveaux traitements de données personnelles. Depuis 1978, ce sont au total 1 288 394 fichiers qui ont été déclarés[2], ce qui illustre les dangers de l'informatique s'il était sans contrôle.   

Un rôle de conseil et d'information

Pour accomplir ses missions, la CNIL :
- élabore des normes simplifiées (auxquelles doivent se conformer les déclarations (cf. infra point 8)) et des règlements types en vue d'assurer la sécurité des systèmes d'information. Elle est, en outre, habilitée à dispenser de déclaration certains traitements (selon la nature des données et la finalité poursuivie). Les normes et les dispenses de déclaration sont publiées au Journal officiel ;
- adopte des recommandations (guides). But : permettre d'exposer l'interprétation qu'il convient de donner aux textes ;
- peut prononcer des décisions individuelles, telles que, par exemple, l'autorisation du transfert de données à caractère personnel vers un Etat tiers (article 69 de la loi) ;
- reçoit les plaintes concernant le non-respect de la loi.  

Des collectivités sous contrôle

Les collectivités doivent mettre en oeuvre des traitements des données à caractère personnel qu'elles détiennent : données relatives aux agents (gestion des personnels) ou aux administrés, nécessaires à la gestion de la scolarité, à la prévention sanitaire, aux inscriptions pour des télé-services, etc. conformément à la loi, sous le contrôle de la CNIL.

La commission a en effet, à cette fin, un pouvoir de :
- contrôle a priori : elle reçoit toutes les déclarations de traitements (déclaration ordinaire et déclaration simplifiée) ;
- contrôle a posteriori : depuis 2004, en vertu de l'article 44 de la loi, la CNIL est investie d'un pouvoir de contrôle sur place des traitements réalisés.
Après en avoir informé le procureur de la République et le responsable du traitement, les agents de contrôle procèdent aux vérifications et visites puis dressent contradictoirement un procès-verbal[3]. Dans le cadre de leurs investigations, ils peuvent convoquer toute personne dont l'audition est nécessaire ou utile à l'accomplissement de leur mission. Le recours à des experts est également prévu, en particulier lorsque les vérifications portent sur des données médicales individuelles.   

Sanctions administratives, pécuniaires et pénales possibles en cas de non-respect

La CNIL, depuis 2004, a aussi un pouvoir de sanction. Selon la gravité des manquements constatés et après une procédure contradictoire, elle peut :
- adresser des avertissements et des mises en demeure de faire cesser un manquement à la loi ;
- prononcer une injonction de cesser le traitement ou un retrait de l'autorisation et, en cas d'urgence, décider l'interruption du traitement ou le verrouillage des données ;
- prononcer des sanctions pécuniaires pouvant aller jusqu'à 300 000 euros.  

Enfin, selon la gravité de la situation, le président de la CNIL peut saisir d'une demande en référé le juge administratif ou le président du tribunal de grande instance.  

La CNIL peut également dénoncer au parquet les infractions à la loi dont elle a connaissance. En principe, ce sont surtout les responsables de traitements - personnes physiques - qui sont exposés aux sanctions pénales prévues (cf. articles 226-16 à 226-24 du Code pénal relatifs aux sanctions pénales et R. 625-10 à 625-12 du CP punissant d'une contravention de 5e classe (amendes entre 1 500 et 3 000 euros) le responsable, s'il y a atteinte aux droits de la personne résultant des fichiers ou des traitements informatiques). Toutefois, les collectivités territoriales, en tant que personnes morales, peuvent être déclarées pénalement responsables (article 226-24 du CP) et sont passibles de peines plus lourdes - le taux maximum de l'amende est porté au quintuple de celui prévu pour les personnes physiques.  

Enfin, la loi prévoit :
- des infractions spécifiques dont le délit d'entrave à l'action de la CNIL (cf. article 51 de la loi) ;
- des sanctions spécifiques pour la prospection directe des personnes physiques utilisant des données à caractère personnel.  

Gestion au quotidien des traitements nominatifs : l'intérêt du correspondant informatique et libertés

Institué en 2004, le correspondant à la protection des données (CPDCP) est un acteur important de la culture « informatique et libertés ».

Avantages :
- le système relatif aux formalités, prévu par la loi de 2004, est beaucoup moins simple que celui du texte originaire (cf. infra point 8). La désignation de ce correspondant, qui reste facultative, exonérant de déclaration la plupart des fichiers (articles 23 et 24 de la loi), permet de faciliter la gestion au quotidien des organismes. Il doit tenir et mettre à jour la liste des traitements « exonérés ». Les autres fichiers - c'est-à-dire ceux relevant de la demande d'avis et de la demande d'autorisation - continuent à être soumis à la CNIL ;
- le CPDCP est le relais en interne de l'application de la loi réduisant ainsi les risques juridiques pesant sur le responsable de traitement.  

À retenir : il est possible de désigner un correspondant extérieur, qui peut même être une personne morale, pour répondre à un objectif de mutualisation des fonctions pour certaines structures relativement réduites (moins de 50 personnes chargées de la mise en oeuvre ou ayant directement accès aux traitements automatisés de données). Le correspondant doit bénéficier des qualifications requises pour exercer ses missions. Il ne peut faire l'objet d'aucune sanction de la part de l'employeur du fait de l'accomplissement de ses missions et doit disposer de la liberté d'action en dehors de toute pression.  

Formalités ou non, déclaration ou autorisations : quel régime juridique pour les fichiers détenus par les collectivités territoriales ?

Dans la première version de la loi de 1978, il y avait deux types de traitement nominatifs : les traitements privés et les traitements publics. Aujourd'hui, cette approche est obsolète. Depuis 2004, le régime est de traitement et fonction de la nature plus ou moins sensible des informations nominatives détenues. Il existe quatre types de traitement : ceux qui ne sont pas soumis à déclaration, ceux qui sont soumis à autorisation, ceux qui nécessitent une demande d'autorisation et ceux qui doivent recevoir un avis simple de la commission[4].
- Traitements qui ne sont pas soumis à déclaration (article 22 de la loi) : il y a ceux dont le responsable a désigné un correspondant (cf. supra point 7) mais il s'agit aussi des traitements dont la finalité se limite à assurer la conservation à long terme de documents d'archives (article 36 de la loi) ou encore ceux mis en oeuvre par la presse et dans le cadre de l'expression littéraire et artistique (article 67 de la loi) ;
- Traitements soumis au régime de la déclaration (articles 23 et 24 de la loi) : il s'agit des traitements les plus courants : ceux dont la mise en oeuvre n'est pas susceptible de porter atteinte à la vie privée ou aux libertés : fichiers de listes électorales, listes d'adresses, de fournisseurs, facturation des services...

Il en existe une vingtaine concernant les collectivités locales. La déclaration doit être faite préalablement à la mise en oeuvre (envoi possible par voie électronique). À réception du récépissé de déclaration (sans délai), le demandeur peut mettre en oeuvre le traitement automatisé.
- Traitements soumis à autorisation (article 25 de la loi) : il s'agit des fichiers nominatifs contenant des informations que l'on pourrait qualifier de sensibles (ex. les « listes noires », celles dont les informations font apparaître les origines raciales ou ethniques et les opinions politiques ou syndicales (article 8 de la loi), les traitements automatisés de données de santé ou les fichiers dits d'exclusion). La demande d'autorisation est signée par le maire ou le président et la CNIL doit se prononcer dans un délai de deux mois à compter de la réception de la demande (délai renouvelable une fois). L'acte autorisant la création d'un traitement doit comporter : la dénomination et la finalité du traitement, le service auprès duquel s'exerce le droit d'accès, les catégories de destinataires habilités à recevoir communication des données et, le cas échéant, les dérogations aux obligations d'information.

À noter que la loi prévoit que les traitements qui répondent à une même finalité portant sur des catégories de données identiques et qui ont les mêmes destinataires peuvent être autorisés par une autorisation unique (on retrouve le même principe s'agissant des traitements soumis à déclaration).
- Demande d'avis à la CNIL (articles 26[5] et 27 de la loi) : concernant les collectivités locales, il s'agit surtout des traitements de données qui requièrent une consultation au répertoire national d'identification des personnes sans inclure le numéro d'inscription, les traitements relatifs à des données biométriques qui ne contiennent pas des données relatives aux origines raciales, ethniques... à la santé et à la vie sexuelle et celles relatives aux condamnations (articles 8-1 et 9 de la loi). L'avis de la CNIL est motivé et publié. L'autorisation est faite par arrêté ou par délibération de l'établissement public.   

Les régimes juridiques particuliers

Il s'agit ici des traitements relatifs à la santé ayant pour fin la recherche (articles 53 à 66) ou de données à caractère personnel aux fins de journalisme et d'expression littéraire ou artistique (article 67). Dans ce dernier cas, de nombreuses interdictions et règles spécifiques ne s'appliquent pas (pas de durée de conservation, pas de formalités de déclaration, impossibilité pour les intéressés de faire valoir leurs droits d'accès, à l'oubli ou à la rectification).  

Téléservices locaux de l'administration électronique, Internet et collectivités locales

Accomplissement d'un certain nombre de formalités par Internet, facturation de certains services par cartes à puce multi-applicatives..., de plus en plus les collectivités locales souhaitent faciliter les démarches des administrés. Ces applications, dès lors qu'elles sont appelées à comporter des données à caractère personnel, relèvent de la loi « informatique et libertés ». De même, les sites Internet des collectivités sont, pour certains, susceptibles de collecter ou de contenir des données personnelles (telles que les adresses e-mails des internautes). Aussi, ils doivent être déclarés à la CNIL. Entrent également dans le champ d'application de la loi de 1978, les traces informatiques et les données de connexion (adresses IP), qui peuvent être conservées par la collectivité. Dans tous les cas, les mêmes règles juridiques doivent s'appliquer aux procédures à distance (cryptage...) et aux procédures sur place ou par courrier (mentions explicites d'information, accès aux données sécurisées, signature électronique, etc.).  

Le respect de règles de protection des données à caractère personnel par les collectivités locales est un facteur de transparence et de confiance à l'égard des usagers, mais aussi du personnel qui y travaille. Avec le développement de l'administration électronique, les collectivités sont aujourd'hui face à un nouveau défi : moderniser l'administration tout en étant gagnant-gagnant : gagnant pour l'usager, en temps et en simplicité ; gagnant pour le citoyen, en respect de sa vie privée.  

[1] « Safari ou la chasse aux Français », Le Monde, 21 mars 1974.  

[2] 29e rapport de la CNIL, La Documentation française, mai 2009.  

[3] Décret n° 2005-1309 du 20 octobre 2005.  

[4] « Les fichiers informatiques nominatifs : collecte et gestion », Franck LECLERQ, Dossier d'experts Lettre du cadre territorial

[5] Il s'agit de traitement de données à caractère personnel mis en oeuvre pour le compte de l'Etat qui intéressent (...) la sécurité publique (...) qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales - ex. en 2008 : fichier EDVIGE (Exploitation documentaire et valorisation de l'information générale) mis en oeuvre à la suite de la réorganisation des services de renseignements français - 29e rapport de la CNIL, La Documentation française, mai 2009.  

Pour approfondir 

- Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel. 
- Décret n° 2005-1309 du 20 octobre 2005. 
- La CNIL met à disposition des collectivités un guide sur les utilisations illégales de fichiers informatiques : www.cnil.fr 

Sandrine BOTTEAU  

 

Inscrivez-vous à la newsletter Carrières Publiques !

Merci de renseigner votre e-mail

Les informations à caractère personnel recueillies font l’objet d’un traitement par Carrières Publiques de la société GROUPE MONITEUR, RCS Créteil 403.080.823. GROUPE MONITEUR ou toutes sociétés du groupe Infopro Digital pourront les utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services analogues. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

Merci, nous vous confirmons votre inscription à la newsletter Carrières publiques.

Une erreur est survenue veuillez réessayer ultérieurement

×