L'analyse des spécialistes

Les données personnelles et les collectivités

Administration

Un projet de Règlement1 relatif à la protection des données personnelles a été défini le 15 décembre 2015 et sera bientôt présenté au Parlement européen. Le projet de loi pour une République numérique2 a été adopté par l’Assemblée nationale le 26 janvier 2016 et doit être étudié par le Sénat. Ces prochains changements sont l’occasion de s’interroger sur les obligations qui pèsent déjà sur les collectivités publiques et, surtout, sur les nouvelles pratiques à anticiper.

François-Xavier Boulin, counsel chez BCTG AvocatsFrançois-Xavier Boulin Nelsie Bergès, counsel chez BCTG AvocatsNelsie Bergès

 

Des obligations aménagées pour les collectivités

La collecte et le traitement de données à caractère personnel ne sont pas l’apanage des seules sociétés commerciales, mais concernent aussi les collectivités publiques, quotidiennement amenées à traiter, dans le cadre de leurs missions de service public, de telles données, parfois sensibles.

Dès la loi « Informatique et Libertés » de 19783, le législateur a fixé un socle commun d’obligations pour les responsables de traitement, y compris les collectivités publiques et leurs représentants, autour de cinq principes essentiels :

  • la finalité du traitement ;
  • la proportionnalité de la collecte au regard de sa finalité ;
  • la conservation des données pour une durée limitée ;
  • la sécurité et la confidentialité des données ;
  • le respect du droit des personnes (droit d’information, consentement, droit d’accès, de rectification et d’opposition).

Les collectivités bénéficient toutefois d’aménagements de ces grands principes compte tenu des obligations légales (par ex. l’état civil) et des missions de service public (par ex. l’action sociale) dont elles sont chargées.

Ainsi, au niveau de la collecte, les collectivités ne sont-elles pas toujours tenues d’obtenir le consentement de l’administré dès lors que les données sont collectées dans le cadre d’une mission de service public4.

De même, s’agissant des déclarations à la CNIL5, cette dernière a mis en place un nombre important de procédures simplifiées, voire d’exonérations. Peuvent ainsi bénéficier d’une procédure de « déclaration simplifiée » les fichiers mis en œuvre par une mairie pour la gestion des  crèches et centres aérés6.

S’agissant de l’utilisation des données, les listes électorales peuvent par exemple être utilisées sans formalité pour les communications municipales et politiques.

Vers une responsabilisation accrue des collectivités

Les statistiques de la CNIL révèlent que 11 % des plaintes enregistrées en 2014 concernaient des collectivités et établissements publics7, et certaines ont conduit à des contrôles et sanctions.

En parallèle, l’administration a fait un effort certain pour faciliter aux administrés l’accès numérique à ses services. Cette administration numérique doit s’accompagner d’une obligation de sécurité accrue des traitements de données.

Les principaux apports du projet de Règlement européen s’inscrivent dans ce contexte, avec en particulier la désignation obligatoire d’un CIL (Correspondant Informatique et Libertés) pour les communes ou groupements de communes (cela est actuellement facultatif), lequel sera chargé d’assurer une meilleure gestion des données en lien avec la CNIL8.

En amont, les collectivités devront réaliser des « analyses d’impact » avant de constituer certains nouveaux fichiers, pour les données les plus sensibles9.

Enfin, elles devront offrir une information renforcée auprès de la CNIL et des administrés, s’agissant notamment de la durée maximale de conservation10 et des cas de violation de données personnelles (par ex. piratage informatique)11.

Il est donc recommandé aux responsables des collectivités à la fois de vérifier leurs bonnes pratiques, mais également et surtout d’anticiper ces prochaines étapes, ce d’autant qu’en cas de manquement, outre des sanctions civiles, administratives et pénales, la responsabilité et la réputation de la collectivité pourraient être mises en cause.

 

François-Xavier Boulin et Nelsie Bergès, counsels chez BCTG Avocats

 


Notes :

1. Projet de Règlement général relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
2. Projet de loi n° 3318 pour une République numérique
3. Loi n° 78-17 dite « Informatique, Fichiers et Libertés » du 6 janvier 1978, modifiée notamment par la loi n° 2004-801 du 6 août 2004
4. Article 7, 3°) de la loi n° 78-17 précitée
5. Commission nationale de l’Informatique et des Libertés
6. Norme simplifiée n° 27 : Délibération n° 85-02 du 15 janvier 1985 modifiée par la délibération n° 91-039 du 28 mai 1991 concernant les traitements automatisés d’informations nominatives relatifs aux différents services offerts par les collectivités territoriales (gestion des transports scolaires, des restaurants scolaires, des centres aérés, des garderies, des écoles municipales de musique)
7. Article de la CNIL « Bilan 2014 : les données personnelles au cœur du débat public et des préoccupations des français »
8. Articles 35 à 37 du projet de Règlement
9. Article 33 du projet de Règlement
10. Article 27 du projet de loi pour une République numérique portant modification de l’article 32 de la loi du 6 janvier 1978
11. Article 31 du projet de Règlement

Posté le par François-Xavier Boulin et Nelsie Bergès, counsels chez BCTG Avocats

Recommander cet article

Réagissez à cet article sur le forum