gerer securiser et valoriser les donnees personnelles des collectivites territoriales

L’essentieL sur

CS 40215 - 38516 VOIRON Cedex - Tél. : 04 76 65 87 17 - Fax : 04 76 05 01 63www.territorial-editions.fr [ISBN : ]Illustration couverture : © Elena R - Fotolia.com

L’essentieL sur

J. Le

fort

, M. H

aine

z, M

. Cha

tele

t

Gérer, sécuriser et valoriser

les données personnelles des collectivités

territoriales

À l'heure de la ville intelligente et de la digitalisation des services publics, l'appli-cation de la loi « Informatique et libertés » est d'autant plus complexe pour les collectivités territoriales que les fichiers contenant des données personnelles ne cessent de s'accroître. Gérer, sécuriser et valoriser les données personnelles est devenu un réel enjeu pour les collectivités territoriales, face aux évolutions juri-diques et technologiques.Après un rappel du cadre juridique du droit à la protection des données person-nelles applicable aux collectivités territoriales, cet « Essentiel sur » recense les principales formalités à effectuer auprès de la Cnil et propose une véritable poli-tique de gestion des données personnelles par les collectivités, à travers les mesures juridiques à mettre en place et la valorisation des données personnelles d'un point de vue juridique.L'approche pratique de l'ouvrage permettra aux collectivités territoriales de satis-faire aux exigences de la loi « Informatique et libertés », de sécuriser en interne et en externe la gestion des données personnelles et de valoriser ces données en conformité avec la législation applicable.

Marine Chatelet est juriste TIC au sein du bureau de Paris du groupe LLC et Associés. Elle est spécialiste des sujets liés à la protection des données personnelles, au droit informatique, au droit de l'Internet et à la cybersécurité. Elle intervient sur ces sujets transversaux dans les domaines public et privé.

Gér

er, s

écur

iser

et v

alor

iser

les

donn

ées

pers

onne

lles

des

colle

ctiv

ités

terr

itor

iale

s

Gérer, sécuriser et valoriser les données personnelles des collectivités territoriales

Avocat au barreau de Nice, Marion Hainez exerce une activité de conseil et de représentation en justice en droit de la propriété intellectuelle, droit des technologies de l'information et de la communication et droit des contrats. Elle est titulaire d'un DESS « Droit de la propriété industrielle » (université Paris II Panthéon-Assas).

Avocat au barreau de Paris, Jérôme Lefort préside le groupe LLC et Associés. Il exerce une activité de conseil et de représentation en justice en droit public des affaires. Il intervient notamment auprès d'une clientèle de personnes morales de droit public et d'opérateurs privés sur les questions des smart cities et smarts grids.

978-2-8186-1006-0

Jérôme Lefort Marion Hainez

Marine Chatelet

Gérer, sécuriser et valoriser

les données personnelles des collectivités territoriales

Jérôme LefortAvocat au barreau de Paris, président du groupe LLC et Associés

marion Hainez

Avocat au barreau de Nice et

marine CHateLetJuriste TIC, groupe LLC et Associés

Groupe territorialCS 40215 - 38516 Voiron Cedex - Tél. : 04 76 65 87 17 - Fax : 04 76 05 01 63

Retrouvez tous nos ouvrages sur www.territorial-editions.fr

Collection « L’essentiel sur » - réf. : BK 301 - Décembre 2015

Ce pictogramme mérite une explication. Son objet est d’alerter le lecteur sur la menace que représente pour l’auteur de l’écrit, particulièrement dans le domaine de l’édition tech-nique, le développement massif du photocopillage.

Nous rappelons donc que toute reproduction, partielle ou totale, de la présente publication est interdite sans autorisation du Centre français d’exploi-tation du droit de copie (CFC, 20 rue des Grands-Augustins, 75006 Paris).

Avertissement de l’éditeur :La lecture de cet ouvrage ne peut en aucun cas dispenser le lecteur

de recourir à un professionnel du droit.

ISBN version numérique :ISBN : © Groupe Territorial, Voiron

978-2-8186-1006-0978-2-8186-1007-7

Vous souhaitez être informé de la prochaine actualisation

de cet ouvrage ?

C’est simple !Il vous suffit d’envoyer un mail

nous le demandant à :

[email protected]

Au moment de la sortie de la nouvelle édition de l’ouvrage, nous vous ferons une offre commerciale préférentielle.

Imprimé par Reprotechnic, à Bourgoin-Jallieu (38) - Janvier 2016Dépôt légal à parution

3

« L’

esse

ntie

l sur

... »

Gér

er, s

écur

iser

et v

alor

iser

les

donn

ées

pers

onne

lles

Sommaire

Sommaire

Partie 1 Les obligations en matière de protection des données personnelles

I • Le cadre juridique général de mise en conformité des traitements de données personnelles ..............................................p. 10

A - Le contrôle de légalité du traitement de données personnelles et sa mise en œuvre ...........................................................................................................................p. 10

1. Le principe de loyauté et de licéité de la collecte, ou le principe de transparence .. p. 10

2. Le principe de finalité .......................................................................................................................p. 11

3. Le principe de proportionnalité ..................................................................................................p. 14

4. Le principe de durée de conservation limitée ......................................................................p. 15

5. Le principe de sécurité et de confidentialité .........................................................................p. 17

6. Le principe du respect du droit de personnes ......................................................................p. 20

B - Le principe de déclaration des traitements de données personnelles................p. 26

1. Les dispenses de déclaration..........................................................................................................p. 27

2. Les déclarations simplifiées .............................................................................................................p. 28

3. La déclaration normale.....................................................................................................................p. 29

4. L’autorisation ou demande d’avis ................................................................................................p. 29

II • Le cadre juridique applicable aux collectivités territoriales ..p. 31

A - La gestion interne de la collectivité territoriale ...............................................................p. 31

1. Ressources humaines .........................................................................................................................p. 31

2. Rémunérations des agents ..............................................................................................................p. 32

3. Services téléphoniques sur les lieux de travail .......................................................................p. 32

4. Contrôle d’accès des agents ..........................................................................................................p. 32

5. Géolocalisation des agents .............................................................................................................p. 33

6. Contrôle d’accès par un dispositif biométrique ....................................................................p. 34

7. Vidéosurveillance des agents .........................................................................................................p. 36

8. Gestion des activités sociales et culturelles par les délégués du personnel ..............p. 37

9. Comptabilité générale ......................................................................................................................p. 37

10. Fournisseurs ........................................................................................................................................p. 37

11. Marchés publics ..............................................................................................................................p. 38

12. Télétransmission des actes soumis au contrôle de légalité ............................................p. 38

13. Archives ................................................................................................................................................p. 39

4

« L’

esse

ntie

l sur

... »

Gér

er, s

écur

iser

et v

alor

iser

les

donn

ées

pers

onne

lles

Sommaire

B - La gestion des administrés des collectivités territoriales ...........................................p. 39

1. État civil ...................................................................................................................................................p. 39

2. Fichiers relatifs aux élections et communication politique ...............................................p. 41

3. Communication externe ..................................................................................................................p. 43

4. Fiscalité ....................................................................................................................................................p. 45

5. Administration ......................................................................................................................................p. 49

6. Gestion des risques ............................................................................................................................p. 53

7. Le cadastre .............................................................................................................................................p. 54

8. La sécurité municipale ......................................................................................................................p. 59

9. L’accompagnement des familles en difficulté ........................................................................p. 62

Partie 2 La mise en œuvre d’une politique de gestion des données personnelles

I • Les mesures juridiques à mettre en place ............................................p. 64

A - La désignation d’un CIL dans une collectivité territoriale .......................................p. 64

1. Les missions et les moyens mis à disposition des correspondants informatique et libertés ...............................................................................................................................................p. 65

2. Le correspondant informatique et libertés : comment le nommer et qui nommer . p. 68

3. La responsabilité du CIL dans le cadre de la réalisation de ses missions....................p. 71

4. Le CIL à l’aune du futur règlement européen ........................................................................p. 73

B - Une nécessaire sécurisation contractuelle des données personnelles.................p. 77

1. La mise en place de documents contractuels en interne ..................................................p. 77

2. Les clauses relatives à la protection des données dans les marchés publics .............p. 80

II • La valorisation des données personnelles ..........................................p. 85

A - Le développement de l’e-administration ..............................................................................p. 85

1. Les téléservices ...................................................................................................................................p. 86

2. L’articulation entre « droit Cnil » et « droit Cada » en matière numérique ............p. 89

B - L’open data au profit du développement des collectivités territoriales ...........p. 92

1. Vers une obligation d’ouverture et de partage des données publiques .....................p. 92

2. La valorisation économique et sociale des données ............................................................p. 97

Conclusion .............................................................................................................................................p. 101

Introduction

5

« L’

esse

ntie

l sur

... »

Gér

er, s

écur

iser

et v

alor

iser

les

donn

ées

pers

onne

lles

Au cours de ces dernières années, plusieurs contrôles de la Cnil (Commission nationale de l’informatique et des libertés) ont révélé les difficultés éprou-vées par les organismes quant à l’application de la loi Informatique et libertés du 6 janvier 1978, notamment les collectivités territoriales. Avec l’importance croissante de la dématérialisation de l’administration, la conformité des traitements de données devient une préoccupation incontournable. Définies par la loi Informatique et libertés comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement », les données personnelles font l’objet de nombreux traite-ments de la part des collectivités territoriales. La loi Informatique et libertés n° 17-78 du 6 janvier 1978, qui protège les personnes physiques des éventuelles atteintes à leurs libertés et à la vie pri-vée, pose les modalités de la collecte et de la conservation de ces données, les conditions d’accès ainsi que les modalités d’utilisation de ces données. L’objectif principal est de protéger les informations concernant une per-sonne physique enregistrées dans des fichiers, numériques ou non, dans la mesure où leur divulgation ou une mauvaise utilisation peut porter atteinte à ses libertés ou à sa vie privée. Cette loi s’applique à de nombreux traitements ou fichiers mis en œuvre par les collectivités territoriales tels que les fichiers d’état civil, les listes élec-torales, les inscriptions scolaires, les fichiers mis en œuvre pour la gestion foncière et l’urbanisme, etc. Par ailleurs, les dispositifs de contrôle liés aux nouvelles technologies sont également soumis à cette loi, tels que les systèmes de vidéosurveillance, de géolocalisation, de biométrie, le vote électronique, etc. En somme, autant de traitements de données personnelles mis en œuvre par les collectivités territoriales qui méritent une attention particulière. Il est à noter que le non-respect de la loi Informatique et libertés peut entraîner des sanctions de la part de la Cnil (Commission nationale de l’informatique et des libertés).

Introduction

6

« L’

esse

ntie

l sur

... »

Gér

er, s

écur

iser

et v

alor

iser

les

donn

ées

pers

onne

lles

En effet, la Cnil peut contrôler une collectivité territoriale au même titre que n’importe quel organisme, public ou privé. À cet égard, elle peut adresser des avertissements et des mises en demeure de faire cesser un manquement à la loi, prononcer une injonction de cesser le traitement ou un retrait de l’autorisation et, en cas d’urgence, décider l’interruption du traitement ou le verrouillage des données, prononcer des sanctions pécuniaires pouvant aller jusqu’à 300 000 euros en cas de réitération, ou encore dénoncer au parquet les infractions à la loi dont elle a connaissance. Ces sanctions sont adressées au responsable de traitement de données personnelles. Il est entendu par responsable d’un traitement de données à caractère personnel, « toute personne ou organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens à mettre en œuvre du traitement de données à caractère personnel »1. À ce titre, il se peut que la qualité du responsable de traitement ou les cri-tères spécifiques pour le désigner soient directement fixés par le droit. Ainsi, le droit détermine le responsable de traitement notamment lorsqu’une entité se voit confier certaines missions publiques ne pouvant être réalisées sans collecter des données à caractère personnel. Ainsi, les maires et les présidents d’établissements publics de coopération intercommunale sont responsables de ces traitements informatiques et de la sécurité des données personnelles qu’ils contiennent. Ils peuvent ainsi voir leur responsabilité, notamment pénale, engagée en cas de non-respect de la loi Informatique et libertés. Il convient de rappeler que ces derniers sont également responsables des « sous-traitants » avec lesquels ils traitent. Les maires et les présidents d’établissements publics peuvent se voir soumis à une sanction pécuniaire pouvant s’élever à 300 000 euros ainsi qu’à une peine de cinq ans d’emprisonnement en cas de traitement de données à

1 Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, JO 7 janvier 1978, article 4.

Introduction

7

« L’

esse

ntie

l sur

... »

Gér

er, s

écur

iser

et v

alor

iser

les

donn

ées

pers

onne

lles

caractère personnel non respectueux des formalités préalables imposées par la loi2. Diverses sanctions de la Cnil ont ainsi été rendues. À titre d’exemple, il peut être cité un avertissement rendu le 9 avril 2015 à l’encontre d’une commune ayant exploité des traitements de données contenant des données inadé-quates, non pertinentes et excessives au regard de la finalité du traitement. Devant la disparité tant des pratiques que de l’application des textes par les collectivités locales, la Cnil a dû dégager certains principes généraux à res-pecter dans le cadre de la loi Informatique et libertés, ce qui laisse supposer un nombre accru de contrôles de sa part dans les mois et les années à venir. En effet, la gestion des données personnelles par les collectivités territoriales est encadrée par la loi Informatique et libertés (partie 1). Ces collectivités doivent alors mettre en œuvre et mener une véritable politique de protec-tion des données personnelles adaptée à leurs missions (partie 2).

2 Article 226-16 du Code pénal.

9

« L’

esse

ntie

l sur

... »

Gér

er, s

écur

iser

et v

alor

iser

les

donn

ées

pers

onne

lles

9

Partie 1

Les obligations en matière de protection des données personnelles

10

« L’

esse

ntie

l sur

... »

Gér

er, s

écur

iser

et v

alor

iser

les

donn

ées

pers

onne

lles

10

Partie 1 : Les obligations en matière de protection des données personnelles

I • Le cadre juridique général de mise en conformité des traitements de données personnelles

A - Le contrôle de légalité du traitement de données personnelles et sa mise en œuvre

La collecte et le traitement de données personnelles imposent de respecter des principes piliers de la loi Informatique et libertés.

1. Le principe de loyauté et de licéité de la collecte, ou le principe de transparence

a) Définition et sanction

L’article 6 de la loi Informatique et libertés impose au responsable de traite-ment que « les données [soient] collectées et traitées de manière loyale et licite ». À cet égard, l’article 226-18 du Code pénal dispose que « le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende » (ou 1 500 000 euros lorsque l’auteur de l’infraction est une personne morale). Cette obligation fait notamment référence au devoir de transparence qui trouve sa consécration, par exemple, à l’occasion de l’information des per-sonnes lors de la collecte des données, mais aussi par le respect du droit d’opposition des personnes sur les données qui les concernent. À titre d’exemple, dans un arrêt du 14 mars 2006 (n° 05-83-423), la Cour de cassation a jugé déloyal le procédé consistant à recueillir des adresses e-mails personnelles sur Internet à l’insu des personnes concernées. Le responsable du traitement doit alors attacher une importance toute par-ticulière à l’information des personnes lors de la collecte des données, ainsi que dans le respect de l’exercice par les personnes de leur droit d’opposition.

11

« L’

esse

ntie

l sur

... »

Gér

er, s

écur

iser

et v

alor

iser

les

donn

ées

pers

onne

lles

11


b) L’application par les collectivités territoriales

Afin de garantir le respect de ce principe, une collectivité territoriale qui met en place un mécanisme de collecte de données à caractère personnel doit en informer les intéressés. À cet égard, il ne peut être effectué de collecte de données personnelles à l’insu des intéressés, sauf disposition légale contraire. Par ailleurs, lorsque le consentement préalable de la personne concernée est obligatoire, il convient de veiller aux conditions dans lesquelles le recueil du consentement a lieu.

2. Le principe de finalité

a) Définition

Le principe de finalité est au cœur de la loi Informatique et libertés du 6 janvier 1978 modifiée. La finalité du traitement des données personnelles s’entend par le fait de limiter l’utilisation de ces données, permettant ainsi de restreindre les usages malveillants. Conformément à l’article 6, 2° de la loi Informatique et libertés, il est nécessaire que : - la finalité soit déterminée, explicite et légitime ;- les données ne soient pas utilisées ultérieurement à d’autres fins que celles

prévues lors de la création du fichier.

> Déterminée

La détermination de la finalité a pour objectif de limiter la collecte et l’utili-sation des données personnelles aux seuls usages prévus lors de la création du fichier. La finalité déclarée initialement lors des formalités préalables devra être respectée tout au long de l’utilisation du fichier. Bien souvent, la tentation est grande de réutiliser les données collectées pour de nouvelles finalités. Or, le détournement des informations de leur finalité est punissable de cinq ans d’emprisonnement et de 300 000 euros

12

« L’

esse

ntie

l sur

... »

Gér

er, s

écur

iser

et v

alor

iser

les

donn

ées

pers

onne

lles

12


d’amende3, sanction pécuniaire pouvant être portée à 1 500 000 euros lorsque l’auteur de l’infraction est une personne morale.

> Explicite

Pour que la finalité soit explicite, cela suppose que l’information donnée soit claire, précise et sans équivoque. À cet égard, le Groupe 29 a affirmé que la finalité devait être exprimée en des termes intelligibles pour tous, et ce notamment au regard des éventuelles différences culturelles et linguistiques.

> Légitime

La finalité du traitement de données personnelles ne doit en aucun cas por-ter atteinte à la vie privée d’une personne. À ce titre, l’objectif du traitement de données à caractère personnel doit être proportionnel à l’intérêt de la personne concernée à ce que ses données soient collectées. Une finalité légitime implique nécessairement que le traitement de données personnelles mis en œuvre repose sur le consentement de l’intéressé ou sur l’une des hypothèses prévues par la loi Informatique et libertés ou d’autres dispositions légales et réglementaires permettant de recueillir les données personnelles sans le consentement de la personne concernée.

> Un principe à respecter pendant toute la durée d’utilisation du traitement

Ces trois critères cumulatifs doivent être scrupuleusement respectés lors de la mise en place du traitement de données personnelles, mais également lors de son utilisation. Il est alors essentiel de s’assurer que le traitement conserve la même finalité tout au long de son utilisation. Les traitements de données doivent donc avoir un objectif précis. À ce titre, les informations collectées ne peuvent être réutilisées de manière incompatible avec la finalité pour laquelle elles ont été collectées. Or, du fait de l’expansion des nouvelles technologies et de l’interconnexion croissante des différentes bases de données, le risque d’utiliser les fichiers pour une finalité autre que celle initialement prévue lors de sa création est devenu réel.


13

« L’

esse

ntie

l sur

... »

Gér

er, s

écur

iser

et v

alor

iser

les

donn

ées

pers

onne

lles

13


Il convient de rappeler que l’utilisation d’un traitement de données person-nelles pour une fin autre que celle prévue lors de sa création est soumise à de lourdes sanctions prévues notamment à l’article 226-21 du Code pénal

(peine d’emprisonnement de cinq ans et 300 000 euros d’amende, pouvant atteindre 1 500 000 euros lorsque le contrevenant est une personne morale).

À ce titre, plusieurs décisions de la Cnil ont été rendues. À titre d’exemple, il peut être cité la délibération de la Cnil du 20 janvier 20094 prononcée à l’encontre d’une société n’ayant pas respecté la finalité figurant dans l’autorisation unique.

En cas de modification ou d’extension de la finalité au cours de l’utili-sation du traitement de données personnelles, le responsable de traite-ment doit en informer la Cnil et accomplir les formalités éventuelle-

ment nécessaires.

Article 6 (loi n° 78-17 du 6 janvier 1978 modifiée) « Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes :

[…] 2° Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. Toutefois, un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scien-tifique ou historique est considéré comme compatible avec les finalités initiales de la collecte des données, s’il est réalisé dans le respect des principes et des procédures prévus au présent chapitre, au chapitre IV et à la section 1 du chapitre V ainsi qu’aux chapitres IX et X et s’il n’est pas utilisé pour prendre des décisions à l’égard des per-sonnes concernées ; […] »


Une collectivité territoriale, comme tout organisme privé ou public, a interdiction de recueillir des données à caractère personnel pour un usage qui ne serait pas déterminé, explicite et légitime. Ainsi, eu égard aux missions de la collectivité territoriale, seuls certains types de données à caractère personnel apparaissent comme susceptibles d’être collectés et utilisés à des fins dont seul le responsable de traitement de la collectivité en aura préalablement déterminé la finalité.

4 Délibération n° 2009-002 du 20 janvier 2009 de la formation restreinte prononçant un avertissement à l’encontre de la société Keolis Rennes.

14

« L’

esse

ntie

l sur

... »

Gér

er, s

écur

iser

et v

alor

iser

les

donn

ées

pers

onne

lles

14


De ce fait, lorsque la collectivité territoriale a pour projet de mettre en œuvre un traitement de données personnelles, celle-ci doit impérativement mener une étude en amont de sa mise en œuvre afin de déterminer une finalité prenant en compte les éventuelles évolutions que le traitement pourrait rencontrer. Par ailleurs, ce critère implique qu’un fichier utilisé à des fins de suivi du cadastre ne peut être utilisé à d’autres fins, telles que la communication politique, ou encore le fichier des demandeurs d’emploi, et ne peut être cédé à des fins commerciales.

3. Le principe de proportionnalité

a) Définition

Le principe de proportionnalité a été introduit dans la loi Informatique et libertés par la loi du 6 août 2004. Conformément à l’article 6-3° de la loi Informatique et libertés, tout trai-tement de données personnelles doit respecter le principe de proportion-nalité selon lequel les données doivent être « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ». À ce titre, les données collectives doivent être pertinentes et strictement nécessaires au regard de la finalité du traitement.


Les collectivités territoriales ayant pour mission la gestion des services municipaux, seules les données nécessaires à la gestion de ces missions peuvent être collectées. Ainsi, ne peuvent être collectées des données relatives à la situation familiale lorsque seules les coordonnées personnelles sont nécessaires à l’accomplis-sement de la mission. À titre d’exemple, le 9 avril 2015, une commune a reçu un avertissement non public de la Cnil, concernant le fichier relatif à la gestion des inscriptions scolaires, dont les données collectées étaient inadéquates, non pertinentes et excessives.

15

« L’

esse

ntie

l sur

... »

Gér

er, s

écur

iser

et v

alor

iser

les

donn

ées

pers

onne

lles

15


Ainsi, les communes doivent : - détenir uniquement des données pertinentes au regard des finalités des

fichiers, séparer les données entre les services pour ne pas détenir qu’une seule base de données contenant toutes les informations nominatives ;

- limiter les usages aux missions concernées.

4. Le principe de durée de conservation limitée

a) Définition

Conformément à l’article 6-5°, la durée de conservation des données col-lectées doit être limitée. Ce principe est plus communément appelé le principe de temporalité ou encore « droit à l’oubli ». Le principe de temporalité implique que les données collectées doivent être supprimées et/ou archivées au-delà d’un certain délai, eu égard à la finalité du fichier. À ce titre, l’article L.211-1 du Code du patrimoine s’applique.

Article 6-5 (loi n° 78-17 du 6 janvier 1978 modifiée) « 5° Elles sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée néces-

saire aux finalités pour lesquelles elles sont collectées et traitées. »

La loi n’apporte toutefois aucune indication quant à la durée de conserva-tion adéquate à appliquer en fonction du traitement de données person-nelles mis en œuvre. De rares exceptions sont prévues afin de conserver les données collectées :- lorsque les données sont collectées « en vue d’être traitées à des fins

historiques, statistiques ou scientifiques »5 ;- la personne concernée a expressément donné son consentement pour

le traitement ;- la Cnil a octroyé une autorisation. Le non-respect des durées de conservation applicables aux finalités des traitements de données ou correspondant aux formalités préalables est sanctionné pénalement par l’article 226-20 du Code pénal.

5 Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, JO 7 janvier 1978, article 36, al. 1.

16

« L’

esse

ntie

l sur

... »

Gér

er, s

écur

iser

et v

alor

iser

les

donn

ées

pers

onne

lles

16


Article 226-20 du Code pénal « Le fait de conserver des données à caractère personnel au-delà de la durée prévue, est puni de cinq ans d’emprisonnement et de 300 000 euros

d’amende, sauf si cette conservation est effectuée à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi […]. »


Il est important de préciser à titre de remarque liminaire que la durée de conservation des données est variable en fonction de la finalité du fichier.

Ce principe prend toute son importance dans son application relative aux collectivités territoriales dans la mesure où tout manquement est susceptible d’entraîner l’annulation de l’acte. À titre d’exemple, par une décision du 30 décembre 20096, le Conseil d’État a validé le décret7 portant création d’un traitement automatisé de données personnelles relatives aux étrangers faisant l’objet d’une mesure d’éloignement du territoire, dit fichier « Eloi », à l’exception de deux de ses dispositions, dont l’une prévoyant une durée de conservation de trois ans de certaines de ces données. Bien que la loi ne précise pas les durées de conservation exactes selon les traitements mis en œuvre, les collectivités territoriales peuvent s’appuyer sur différents documents : - déclaration simplifiée : chaque déclaration simplifiée précise une durée

de conservation ;- dispense de déclaration : chaque dispense précise une durée de conservation ;- autorisation unique : chaque autorisation unique précise une durée de

conservation ;- recommandation : les recommandations de la Cnil précisent bien souvent

une durée de conservation ;- les lois et les règlements : les lois et règlements peuvent préciser les durées

de conservation nécessaires au traitement de données.

6 CE, 30 décembre 2009, Association SOS Racisme, Gisti et autres, n° 312051 et n° 313760.

7 Décret n° 2007-1890 du 26 décembre 2007. Ce fichier ne pouvait être créé que par décret en Conseil d’État pris après avis de la Commission nationale de l’informatique et des libertés au regard des données personnelles qui devaient être collectées.

17

« L’

esse

ntie

l sur

... »

Gér

er, s

écur

iser

et v

alor

iser

les

donn

ées

pers

onne

lles

17


Par ailleurs, les décrets permettant de mettre en œuvre certains fichiers doivent nécessairement contenir des délais. À titre d’exemple, on peut citer la durée de conservation des fichiers sui-vants détenus par les collectivités territoriales :- durée de conservation du téléservice de demande d’actes d’état civil : un an ;- durée de conservation des fichiers électoraux : les données sont conservées

selon les dispositions du Code électoral et des lois spéciales régissant les opérations électorales visées. Elles ne peuvent être conservées pour une durée supérieure à la durée d’utilité administrative de ces documents, soit trois années (article 5 de la délibération n° 2008-116 du 20 mai 2008, dispense n° 12).

5. Le principe de sécurité et de confidentialité

a) Définition

La loi Informatique et libertés impose au responsable du traitement une obligation générale de sécurité et de confidentialité. En effet, « le responsable de traitement est tenu de prendre toutes précautions utiles au regard des données et des risques présentés par le traitement pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès »8. En fonction de la sensibilité de la donnée personnelle collectée, le responsable de traitement est alors tenu d’assurer un niveau de sécurité adapté à la nature des données. Il doit donc prendre toutes les mesures permettant de garantir : - la sécurité des données ;- la confidentialité des données. S’il est fait appel à un prestataire externe, des garanties contractuelles doivent nécessairement être envisagées.

8 Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, JO 7 janvier 1978, article 34.

18

« L’

esse

ntie

l sur

... »

Gér

er, s

écur

iser

et v

alor

iser

les

donn

ées

pers

onne

lles

18


> La sécurité des données

La sécurité des données s’entend par leur intégrité, leur authenticité et leur disponibilité. À cet égard, le responsable de traitement doit veiller à ce que les données ne soient pas déformées ou endommagées. Des mesures de sécurité doivent être établies compte tenu de la finalité, du volume d’informations traitées et de leur degré de sensibilité.

> La confidentialité

La confidentialité des données implique nécessairement une régulation des accès afin d’éviter que des « tiers non autorisés aient accès ».Seules les personnes habilitées en raison de leurs fonctions doivent avoir la possibilité d’accéder aux données. Afin de garantir la sécurité et la confidentialité des données, des mesures techniques et organisationnelles doivent être mises en place. À ce titre, la Cnil a mis à disposition un panel de recommandations géné-rales et sectorielles. Le non-respect de l’obligation de sécurité est sanctionné par une peine d’emprisonnement pouvant atteindre cinq ans et une amende de 300 000 euros9. À titre d’exemple, un responsable de traitement a été condamné pour la brièveté des mots de passe de ses salariés ainsi que de l’absence de modi-fication régulière de ces derniers10.

> Les sous-traitants

L’obligation de sécurité et de confidentialité imposée aux responsables de traitement est large. En effet, même lorsque le responsable de traitement fait appel à un prestataire de service, son obligation de sécurité et de confidentialité continue de peser sur lui. Le contrat liant le responsable de traitement et le sous-traitant doit prévoir des mesures permettant de garantir la sécurité du traitement mis en œuvre.


10 Délibération de la formation restreinte n° 2013-139 du 30 mai 2013, SAS Professional Service Consulting dite « PS Consulting ».

19

« L’

esse

ntie

l sur

... »

Gér

er, s

écur

iser

et v

alor

iser

les

donn

ées

pers

onne

lles

19


> Évolution avec le règlement européen

La cybercriminalité ne cessant d’augmenter, il est fort probable que les exigences en matière de sécurité et de confidentialité vont s’intensifier. À ce titre, la proposition de règlement européen prévoit un renforcement des exigences en la matière, notamment par une obligation d’évaluer les risques en amont de tout projet prévoyant la collecte de données personnelles. Par ailleurs, seuls les opérateurs de téléphonie et les fournisseurs d’accès Internet ont aujourd’hui pour obligation de notifier à la Cnil, sans délai, les failles de sécurité pouvant affecter un traitement de données personnelles et de notifier aux personnes concernées la violation qui est susceptible de porter atteinte à leurs données à caractère personnel ou à leur vie privée11. Il est à noter que la proposition de règlement européen prévoit d’élargir cette obligation de notification à l’ensemble des responsables de traitement.


L’obligation de sécurité et de confidentialité implique que le responsable de traitement de la collectivité prenne des mesures techniques et organisation-nelles permettant de garantir la sécurité et la confidentialité des données. D’un point de vue technique, la Cnil a édicté une recommandation le 21 juillet 198112 relative aux mesures générales de sécurité informatique. Ce document a été complété par un guide pratique en 201013. La Cnil préconise notamment de mettre en place des mesures dans diffé-rents domaines :- l’authentification des utilisateurs ;- la gestion des habilitations et la sensibilisation des utilisateurs ;- la sécurité des postes de travail ;- le développement informatique ;- la traçabilité et la gestion des incidents ;- l’anonymisation et le chiffrement des données.

11 Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, JO 7 janvier 1978, article 34 bis.

12 Délibération n° 81-094 du 21 juillet 1981 portant adoption d’une recommandation relative aux mesures générales de sécurité des systèmes informatiques.

13 Guide : La sécurité des données personnelles, Cnil, Éditions 2010.

gerer securiser et valoriser les donnees personnelles des collectivites territoriales

Documents