Aller au contenu

Fichiers informatiques : quelles obligations pour les collectivités ?

La loi du 6 janvier 1978, dite « Informatique et libertés », oblige sous peine de sanctions pénales toute personne, physique ou morale de droit privé ou de droit public, qui crée un fichier, à déclarer ce fichier à la Commission Nationale de l’Informatique et des Libertés (CNIL) (1) dès lors que celui-ci comporte des données personnelles. Une obligation qui concerne également les collectivités territoriales. Explications.


cnil
Les données personnelles se définissent comme les informations qui permettent d’identifier ou de reconnaître directement ou indirectement des personnes physiques (noms, adresse électronique, numéro de téléphone, empreinte digitale, ADN, numéro de sécurité sociale, numéro d’immatriculation ….). Au regard de la diversité des services qu’elles rendent à la population, les collectivités territoriales utilisent un grand nombre de fichiers informatisés (2). Ces derniers ont trait à la gestion informatique classique, comme aux bases de données créées par la mise en œuvre de nouvelles technologies de la géolocalisation, la biométrie ou encore la vidéo-protection. Les données collectées par ces moyens ainsi que tout autre traitement (3) qui leur est apporté nécessitent une protection afin d’éviter leur divulgation ou une mauvaise utilisation qui pourrait être susceptible de porter atteinte à la vie privée et aux droits et libertés des personnes.

 

Le principe de déclaration de fichiers contenant des données personnelles comporte essentiellement quatre niveaux d’obligations, allant du plus haut degré de protection, la demande d’autorisation, à l’exonération de formalité.

 

1. La demande d’autorisation

 

Certains traitements peuvent relever d’un régime d’autorisation ou de demande d’avis. Il s’agit des régimes les plus protecteurs, qui s’appliquent aux données et aux finalités de traitement considérées comme « sensibles » ou comportant des risques pour la vie privée ou les libertés. A titre d’exemples, sont ainsi concernés les traitements de données comportant des appréciations, des typologies pour apprécier les difficultés sociales des personnes (notamment, dans les fichiers des centres communaux d’action sociales), l’utilisation de données biométriques nécessaires au contrôle de l’identité des personnes (4), ou encore les traitements ayant pour objet l’interconnexion de fichiers dont les finalités correspondent à des intérêts publics différents (systèmes d’information géographiques, cartes multi-applicatives…).

 

La procédure du régime de l’autorisation figure sur le site Internet de la CNIL (5). Aux termes de l’article 226-16 du Code pénal, le non-accomplissement de ces formalités auprès de la CNIL est sanctionné de 5 ans d’emprisonnement et 300 000 € d’amende.

 

Le non-respect des obligations légales en matière de déclaration des fichiers est passible de 5 ans de prison et de 300 000 € d’amende.


CNILA l’occasion d’une demande d’autorisation, la CNIL s’est récemment prononcée sur la mise œuvre par une commune d’un dispositif de « Lecture automatisée de plaques d’immatriculation » (LAPI). Dans sa délibération du 22 mai 2014, la Commission a considéré qu’en l’état actuel des textes, ce dispositif, qui a  pour objet de collecter et d’enregistrer dans une base de données les plaques d’immatriculation de tous les véhicules empruntant la voie publique filmée, ainsi que la photographie de ces derniers et l’horaire de son passage, ne peut être mise en œuvre que par les seuls services de police et de gendarmerie nationales, ainsi que ceux des douanes. Dans cette même délibération, la CNIL relève toutefois que ce traitement poursuivant une finalité de sécurité publique ne relève pas du régime de l’autorisation par la Commission, mais d’un acte règlementaire pris après avis motivé.

 


2. La déclaration normale

 

C’est la procédure la plus courante, applicable à la majorité des traitements qui ne soulèvent pas de difficultés au regard de la protection des libertés. En relèvent notamment les traitements suivants (6) :


– la gestion foncière, aménagement du territoire, sans interconnexion ou mise en relation de fichiers différents,


– les études et actions d’amélioration de l’habitat,


– la gestion des ordures ménagères,


– la gestion des cimetières,


– l’observatoire fiscal et l’aide au recensement des bases d’imposition,


– les alertes de la population en cas de risque naturel ou industriel, plans communaux de sauvegarde,


– la gestion des demandes de pièces d’identité et autres documents administratifs,


– la gestion des aires d’accueil des gens du voyage,


– la gestion de l’aide sociale légale et facultative,


– le fichier des demandeurs d’emploi,


– le système de vidéosurveillance installé dans un lieu public ou ouvert au public lorsque les enregistrements sont contenus dans des fichiers,


– le système de vidéosurveillance implanté dans les locaux d’une collectivité non accessibles au public…

 

En pratique, il est possible d’effectuer chaque déclaration directement en ligne sur le site de la CNIL, ou bien par le biais d’un formulaire de déclaration normale téléchargeable.

 

A noter que si la collectivité a désigné un correspondant informatique & libertés (CIL), elle est dispensée de déclarer à la CNIL un certain nombre de fichiers. Dans l’idéal, le correspondant est une personne responsable de service dotée d’une double compétence en droit et en informatique, ainsi que plusieurs années d’ancienneté dans l’organisme.


3. La déclaration de conformité

 

Un fichier peut faire l’objet d’une déclaration simplifiée, qui consiste en un engagement du déclarant à se conformer à des règles adoptées par la CNIL : norme simplifiée, autorisation unique ou acte réglementaire unique.

 

Parmi les fichiers pouvant être soumis à déclaration simplifiée (7), peuvent être cités :


– les fichiers relatifs à la gestion des communes de moins de 2 000 habitants (gestion de l’état civil, du fichier électoral, facturation des consommations d’énergie et d’eau et des redevances d’assainissement, mise en recouvrement de taxes et redevances, facturation des services offerts aux parents, gestion des prêts de livres et disques), sauf la facturation de la redevance d’enlèvement des ordures ménagères ;


– la gestion de l’état civil, des listes électorales, des rôles des impôts locaux, des élèves des écoles maternelles et élémentaires ;


– la communication politique. Dans ce cas, le déclarant est le parti politique, l’élu ou le candidat à des fonctions électives.

 

Dans les communes de moins de 2 000 habitants, certains fichiers et traitements informatisés bénéficient d’une procédure allégée.


Parmi les déclarations de conformité à une autorisation unique ou acte réglementaire unique, on trouve :


– les systèmes d’information géographique (SIG) ou autres traitements associant des données cadastrales, d’urbanisme et/ou des SPANC (services publics de l’assainissement non collectif) ;


– les dispositifs biométriques pour le contrôle d’accès, la gestion des horaires et de la restauration sur les lieux de travail (contour de la main), les dispositifs biométriques de contrôle de l’accès aux locaux sur les lieux de travail (empreintes digitales) ;


– le téléservice « Demande d’acte de naissance ».

 

Comme pour la déclaration normale, il est possible de déclarer en ligne sur le site de la CNIL ou d’utiliser un formulaire de déclaration simplifiée téléchargeable. Le déclarant doit prendre connaissance du texte correspondant à la procédure indiquée (norme simplifiée, autorisation unique ou acte réglementaire unique) et le traitement respecter en tout point le cadre fixé par la décision.

 

 

Cinq principes à respecter


 1. Principe de finalité : les informations ne peuvent être recueillies et traitées que pour un usage déterminé et légitime, qui doit correspondre aux missions de la collectivité responsable du traitement ;


2. Principe de proportionnalité
: seules doivent être traitées les informations pertinentes et nécessaires pour la gestion des services ;


3. Principe d’une durée limitée de conservation des informations
;


4. Principe de sécurité et de confidentialité des informations
;


5. Principe du respect des droits des personnes
: lors du recueil des informations, par exemple par voie de questionnaires, les usagers concernés et le personnel de l’organisme doivent être informés de la finalité du traitement, du caractère obligatoire ou facultatif du recueil, des destinataires des données et des modalités d’exercice des droits qui leur sont ouverts au titre de la loi « Informatique et Libertés ». Soit de leur droit d’accès et de rectification, mais aussi du droit de s’opposer sous certaines conditions à l’utilisation de leurs données.


4. Les dispenses ou exonérations de déclaration

 

Pour certains fichiers, aucune formalité n’est légalement requise. Tel est notamment le cas pour les traitements suivants :


– l’information et la communication externes, notamment pour les sites Internet qui ne collectent des informations à caractère personnel qu’à des fins d’information et de communication (à l’exclusion toutefois des téléservices), ainsi que l’utilisation de la liste électorale à des fins de communication municipale, toute exploitation commerciale de cette liste étant strictement interdite ;


– la gestion des rémunérations (paie, déclarations fiscales et sociales, tenue des registres obligatoires) ;


– la gestion des fichiers des fournisseurs ;


– la gestion dématérialisée des marchés publics ;


– la télétransmission des actes soumis au contrôle de légalité ;


– le registre des personnes âgées et/ou handicapées mis en œuvre dans le cadre du plan d’alerte et d’urgence départemental en cas de risques exceptionnels (« fichiers canicule », grands froids, etc.), à l’exception des systèmes automatisés d’alerte de la population (en cas de risque naturel ou industriel), qui doivent pour leur part faire l’objet d’une déclaration normale ;


– la gestion des activités sociales et culturelles par les comités des œuvres sociales ou les délégués du personnel.

 

Cependant, ces exonérations ne dispensent pas pour autant les collectivités responsables du traitement de respecter l’ensemble de la législation ainsi que les cinq grands principes clés définis par la CNIL qui président à la création de fichiers (8).


Sophie Bège
Juriste en Droit public
(23 novembre 2014)

 

 

 

————————————————————————————-

Notes

(1) La Commission Nationale de l’Informatique et des Libertés, autorité administrative indépendante créée par la loi n° 8-17 du 6 janvier 1978 modifiée, est chargée de veiller à ce que l’informatique soit au service des citoyens, et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

(2) Les fichiers « non automatisés », autrement dit manuels ou « papiers », entrent également dans le champ de la législation.

(3) Soit toute opération portant sur ces données, quelle que soit la technique utilisée : enregistrement, modification, interconnexion, etc.

(4) Dispositifs biométriques n’entrant pas dans le champ des autorisations uniques n° 7 et 8

(5) https://www.declaration.cnil.fr/declarations/declaration/accueil.action

(6) Exemples cités par « le Guide des collectivités locales » réalisé par la CNIL

(7) Exemples cités dans « le Guide des collectivités locales » réalisé par la CNIL

(8) Pour en savoir plus, consulter « le Guide des Collectivités locales » disponible sur le site de la CNIL à l’adresse www.cnil.fr/les-themes/collectivites-locales/

 

 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.