Prévention de la délinquance : conseils de la Cnil aux communes

Sécurité

Pour prévenir la délinquance, la commune a accès à de nombreuses données personnelles. La Cnil précise les manquements les plus fréquents et les bonnes pratiques qui permettent de les éviter.

Le Code de la sécurité intérieure confie au maire des missions de prévention de la délinquance sur son territoire. Certaines communes coordonnent ces actions et organisent des réunions d’information sur les violences faites aux femmes, la déscolarisation… Elles peuvent aussi créer des groupes de travail qui examinent les situations individuelles (signalées par les établissements scolaires, les bailleurs sociaux ou encore les services de police municipale et nationale) et déterminent si des actions de suivi individualisé sont appropriées. À cette occasion, les mairies traitent des données personnelles : dispositifs de prévention de la délinquance des mineurs primo-délinquants ou exposés à la délinquance, femmes victimes de violences, mineurs déscolarisés ou auteurs d’incivilités…

Ces fichiers relèvent aujourd’hui de la réglementation européenne sur la protection des données (RGPD). Toutefois, le cadre fixé auparavant par l’autorisation unique AU-38 peut encore servir de référence pour vérifier la conformité des traitements. À la suite d’une série de contrôles, la Cnil a jugé bon de préciser également les bonnes pratiques qui permettent d’éviter les manquements les plus fréquents. Ainsi, collecter systématiquement les données sensibles ou des données relatives à des infractions, condamnations et mesures de sûreté n’est pas de mise. La collecte doit être indispensable au suivi de la personne concernée. Par exemple, pour examiner la situation d’un mineur condamné à des travaux d’intérêt général, le motif de la condamnation n’est pas nécessaire à la mise en œuvre du suivi. Il convient donc de s’assurer systématiquement de la stricte nécessité de collecter chaque catégorie de données en fonction des objectifs du suivi.

Autre erreur : ne pas contrôler le contenu des commentaires remplis dans les fiches de suivi. En effet, constate la Cnil, l’usage de champs libres favorise la collecte excessive de données, à travers des commentaires subjectifs ou inappropriés. Idem pour l’insertion de données issues de fichiers de police (traitement d’antécédents judiciaires…) dans les champs « motifs du signalement », alors que les textes limitent leur communication à certaines personnes. La commune doit privilégier les fiches individuelles de suivi à format unique aux fichiers collectifs du type tableur. Ces fiches doivent être conçues pour minimiser la collecte d’information : cases à cocher avec liste de choix prédéfinis concernant l’origine du signalement (police nationale, bailleurs sociaux, établissement scolaire…)… Au cas où le recours aux commentaires libres est nécessaire, leur contenu doit être strictement contrôlé, avec rappel régulier des consignes aux personnes chargées de les remplir.

Il ne faut pas conserver les fiches individuelles ou collectives de suivi sans limite : les données doivent être conservées seulement le temps nécessaire au suivi d’une personne. Il faut donc définir des durées de conservation strictes, le cas échéant avec des mécanismes de purge automatique, et proscrire les fichiers collectifs de suivi. Les fiches individuelles doivent aussi comporter les dates de fin de suivi. Les données peuvent ensuite être archivées, avec des restrictions d’accès, pendant trois ans maximum.

La Cnil relève que, souvent, les personnes concernées ne sont pas informées du traitement de leurs données lié à la prévention de la délinquance. Il convient donc de prévoir un double niveau d’information, collective et individualisée. Sur le site municipal, une rubrique spécifique peut mentionner ces traitements de données. Préalablement à la réunion d’examen de la situation d’une personne, la mairie doit l’informer individuellement par courrier (et, le cas échéant, adresser un courrier à son représentant légal). Attention : une information au moment de la mise en place du suivi social est considérée comme tardive.

Enfin, l’accès aux données doit être limité aux personnes légitimes du fait de leurs fonctions ; or, un défaut de sécurité d’accès est fréquemment relevé. Il faut donc définir des politiques de sécurité pour garantir la confidentialité des données. Le maire doit désigner les personnes habilitées à y accéder, et prévoir des protections physiques (armoires sécurisées…) ainsi que des restrictions d’accès informatique. L’échange des informations entre les différentes personnes intervenant dans l’examen des situations individuelles doit également être sécurisé, en chiffrant ou en protégeant par mot de passe les fichiers échangés. Enfin, la traçabilité des accès aux données permettra de détecter les accès illégitimes.

Marie Gasnier

Posté le par

Recommander cet article