LE RESPECT DE LA LOI INFORMATIQUE ET LIBERTÉS DANS LES

LE RESPECT DE LA LOI INFORMATIQUE ET LIBERTÉS DANS LES
COMMUNES
Fichier de population, gestion de l’état civil, fichier à caractère social et de santé, fichier de gestion des
ressources humaines, fichier de police municipale, fichier de gestion du territoire, fichier de vidéo protection.
De plus en plus, les services municipaux collectent, traitent et conservent pour les besoins de leurs activités
et pour des finalités qu’ils déterminent, des données à caractère personnel concernant notamment les
administrés, les élus et le personnel communal.
La loi « informatique et libertés » du 6 janvier 1978 modifiée fixe de nombreuses obligations et des principes
de protection à l'égard des personnes dans le traitement de ces données.
Le maire doit veiller au respect de l’application de cette loi en tant que responsable des traitements de
données mis en oeuvre pour la gestion de sa commune.
Ce qui peut arriver...
Les traitements automatisés d'informations nominatives, effectués sans avoir procédé aux formalités préalables à la
Commission Nationale Informatique et Libertés (CNIL) prévue par la loi, constituent une infraction pouvant entraîner la
condamnation de la commune.
Quelle est la réglementation ?
Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par :
La loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de
données à caractère personnel modifie la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers
et aux libertés.
La loi n°2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses
relatives à la sécurité et aux contrôles frontaliers.
La loi n°2008-696 du 15 juillet 2008 relative aux archives.
La loi n°2009-526 du 12 mai 2009 de simplification et de clarification du droit et d'allègement des procédures.
La loi n°3011-334 du 29 mars 2011 relative au Défenseur des droits.
La loi n°2011-525 du 17 mai 2011 de simplification et d'amélioration de la qualité du droit.
L'ordonnance n°2011-1012 du 24 août 2011 relative aux communications électroniques.
Décret n°2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux
Dernière mise à jour : 04.04.2013
LE RESPECT DE LA LOI INFORMATIQUE ET LIBERTÉS DANS LES
COMMUNES
fichiers et aux libertés.
La loi « informatique et libertés » pose en son article 1er le principe suivant : « L'informatique doit être au service de chaque
citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à
l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques. »
Cette loi tend ainsi à protéger les libertés individuelles des personnes physiques. Ce texte a institué la Commission Nationale
de l'Informatique et des Libertés (CNIL) chargée de veiller à la protection des données personnelles et à leur usage conforme à
la loi.
Les notions de la loi « informatique et libertés »
Donnée à caractère personnel : il s'agit de toute information relative à une personne physique identifiée ou qui peut être
identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont
propres.
Par exemple: données d'état civil (nom, prénom, date de naissance, adresse ...) ainsi que photographies ou images des
personnes, numéro de sécurité sociale (RNIPP), plaque d'immatriculation ...
Traitement de données à caractère personnel : il s'agit de toute opération ou tout ensemble d'opérations portant sur
de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation,
l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute
autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la
destruction.
Il s'agit ainsi d'une notion large comprenant toute manipulation d'informations quel qu'en soit le support de collecte (fichier
excel, bases de données, calsseur papier ...).
Fichier de données à caractère personnel : il s'agit de tout ensemble structuré et stable de données à caractère
personnel accessibles selon des critères déterminés.
La règlementation s'applique aux traitements de données automatisés ainsi qu'aux traitements non automatisés : les fichiers et
dossiers papiers sont donc également concernés dès lors qu'ils sont classés et ordonnés.
Le Code Pénal, les articles 226-16 à 226-24 relatifs aux atteintes aux droits de la personne résultant des fichiers ou des traitements
informatiques.
Article 226-16 : « Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de
données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en œuvre
prévues par la loi est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende».
Article 226-19 : « Le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée,
sans le consentement exprès de l'intéressé, des données à caractère personnel qui, directement ou
indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou
religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l'orientation
sexuelle de celles-ci, est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende. »
Dernière mise à jour : 04.04.2013
LE RESPECT DE LA LOI INFORMATIQUE ET LIBERTÉS DANS LES
COMMUNES
Quels sont les principes d’usage à respecter pour la protection des données ?
Respecter les formalités préalables à la mise en œuvre des traitements de données à caractère personnel :
Les traitements automatisés de données à caractère personnel doivent être déclarés auprès de la CNIL (voire autorisées par
celle-ci lorsqu'ils traitent d'informations sensibles). La loi « informatique et libertés » prévoit toutefois des exceptions à ce
principe de déclaration pour certains traitements courants (exemples: dispense de déclaration pour les traitements de
comptabilité, de paie). Il revient au maire de veiller à effectuer ces formalités.
Le principe : tout traitement automatisé de données à caractère personnel doit être déclaré, par voie électronique, à la CNIL
qui délivre immédiatement un récépissé. La mise en œuvre du traitement peut être effective dès réception de ce récépissé. Ce
récépissé ne vaut toutefois pas conformité.
La procédure de déclaration simplifiée : la loi permet à la CNIL de mettre en place des normes destinées à simplifier
la procédure de déclaration. Cette procédure concerne les catégories les plus courantes de traitement de données à caractère
personnel, dont la mise en œuvre n'est pas susceptible de porter atteinte à la vie privée ou aux libertés.
La CNIL a ainsi publié diverses normes simplifiées pour les fichiers les plus courants, par exemple : norme simplifiée relative
à la gestion de l'état civil, norme simplifiée relative à la gestion du personnel, norme simplifiée relative au fichier de
population des communes de moins de 2000 habitants …
Lorsque la collectivité a désigné un Correspondant Informatique et Libertés (CIL), elle est exonérée de formalités déclaratives
auprès de la CNIL dès lors que les traitements ne collectent pas d'informations sensibles. Le traitement est dans ce cas porté au
registre des traitements tenu par le CIL.
La procédure d'autorisation : la mise en œuvre de certains traitements automatisés est soumise à autorisation de la
CNIL. Sont par exemple soumis à autorisation :
les traitements automatisés ayant pour objet l'interconnexion de fichiers relevant d'une ou de plusieurs
personnes morales gérant un service public et dont les finalités correspondent à des intérêts publics différents ;
les traitements automatisés de données comportant des appréciations sur les difficultés sociales des personnes.
La procédure exceptionnelle : la mise en œuvre de certains traitements de données à caractère personnel nécessite au
préalable une autorisation par décret pris en Conseil d'Etat après avis de la CNIL. Il s'agit par exemple de fichiers mis en
œuvre pour le compte d'une personne morale de droit public ou d'une personne morale de droit privé gérant un service public
qui portent sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification
des personnes physiques.
Par ailleurs, il est interdit de collecter ou de traiter toutes données à caractère personnel qui font apparaître, directement ou
indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance
syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci.
Respecter le droit des personnes à l'égard des traitements des données à caractère personnel :
L'information de l'usager sur ses droits
Dernière mise à jour : 04.04.2013
LE RESPECT DE LA LOI INFORMATIQUE ET LIBERTÉS DANS LES
COMMUNES
L'usager auprès duquel sont recueillies des données à caractère personnel doit être informé par le responsable de traitement, ou
son représentant, des éléments suivants :
l'identité du responsable du traitement ;
la finalité poursuivie par le traitement auquel les données sont destinées ;
le caractère obligatoire ou facultatif des réponses ;
les conséquences éventuelles, à son égard, d'un défaut de réponse ;
les destinataires ou catégories de destinataires des données ;
les droits dont il dispose et les modalités d'exercice de ceux-ci ;
le cas échéant, les transferts de données à caractère personnel envisagés à destination d'un Etat non membre de
la Communauté européenne.
L'usager possède les droits suivants :
- le droit d'information rappelé ci-dessus,
- le droit d'opposition, pour des motifs légitimes, au traitement des données à caractère personnel le concernant,
- le droit d'accès, de rectification et de suppression aux données le concernant. Il peut ainsi demander:
la communication des données à caractère personnel qui le concernent ainsi que de toute information
disponible quant à l'origine de celles-ci,
la délivrance d'une copie des données à caractère personnel traitées,
la rectification, la mise à jour, la suppression des données à caractère personnel le concernant, qui sont
inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la
conservation est interdite.
Respecter les principes de collecte des données à caractère personnel :
Lors de la collecte et du traitement des données à caractère personnel, les principes suivants doivent être respectés :
Les données sont collectées et traitées de manière loyale et licite ;
Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement
de manière incompatible avec ces finalités ;
Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées
et de leurs traitements ultérieurs ;
Dernière mise à jour : 04.04.2013
LE RESPECT DE LA LOI INFORMATIQUE ET LIBERTÉS DANS LES
COMMUNES
Elles sont exactes, complètes et, si nécessaire, mises à jour. Les mesures appropriées doivent être prises pour
que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou
traitées soient effacées ou rectifiées ;
Elles sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée
qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
Respecter les principes de sécurité des données :
Toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, doivent être prises par
le responsable de traitement pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées,
endommagées, ou que des tiers non autorisés y aient accès.
Qui est le responsable juridique des fichiers ?
Le maire est responsable des traitements mis en œuvre sur sa commune. C'est à lui que revient la charge de procéder aux formalités
préalables à la mise en œuvre des traitements auprès de la CNIL.
Il doit également veiller au respect des droits dont disposent les usagers.
Lorsque le traitement de données est mis en œuvre par les services d'un EPCI, l'autorité responsable sera fonction du mode d'organisation :
Si l'EPCI intervient comme un prestataire de services, le maire de la commune est seul responsable du fichier
et doit alors procéder aux formalités auprès de la CNIL.
Si l'EPCI effectue, dans le cadre des compétences transférées, les traitements, la responsabilité incombe au
président de l'EPCI qui doit alors procéder aux formalités auprès de la CNIL.
Le Correspondant Informatique et Libertés – le CIL :
Le maire peut désigner un correspondant à la protection des données à caractère personnel chargé d'assurer, d'une manière
indépendante, le respect des obligations prévues dans la loi « informatique et libertés ». Sa désignation doit être notifiée à la
CNIL.
La désignation d'un CIL a pour effet d'alléger les procédures préalables à la mise en œuvre de traitement de données à
caractère personnel.
Quelles sont les utilisations possibles des fichiers par la commune ?
L'utilisation par la commune des fichiers de l'état civil
Les informations recueillies pour assurer la tenue du registre de l'état civil ne peuvent être utilisées à d'autres fins, notamment
de communication personnalisée (envoi de félicitations à l'occasion d'une naissance par exemple) que dans la mesure où lors
de l'établissement de l'acte de l'état civil ou de sa transmission à la mairie de résidence, les personnes concernées sont
informées et consentent à cette publication et à tout envoi de messages personnalisés.
Dernière mise à jour : 04.04.2013
LE RESPECT DE LA LOI INFORMATIQUE ET LIBERTÉS DANS LES
COMMUNES
L'utilisation des fichiers de la liste électorale
Un maire peut utiliser la liste électorale pour adresser des courriers aux administrés, par exemple le bulletin de la commune, ou
les consulter sur un projet.
Les personnes concernées doivent avoir été informées conformément à ce qui est précédemment indiqué et doivent avoir eu la
possibilité de refuser toute publication.
Elles doivent connaître l'origine des informations utilisées pour constituer le fichier et doivent pouvoir faire supprimer leurs
coordonnées du fichier d'envoi si elles le souhaitent.
Par contre, les fichiers de population ne sont pas utilisables à des fins politiques (sauf pour l'envoi des listes électorales) ou
commerciales ou pour répondre à des enquêtes.
L'utilisation des fichiers pour répondre aux demandes de renseignements concernant les administrés
Les demandes proviennent de divers organismes (trésor public, URSSAF, opérateurs de téléphonie mobile, Caisses
d'Allocations Familiales, EDF...).
La CNIL souligne que « la communication à un tiers de renseignements sur un administré ne peut être effectuée qu'à titre
exceptionnel et fondée sur un texte législatif autorisant le demandeur à solliciter la commune pour obtenir les
informations. La demande doit être ponctuelle, écrite, précisant le texte législatif sur lequel elle se fonde, et ne concerner
qu'une personne nommément désignée, sans jamais porter sur un fichier ou une partie de fichier ».
Une liste de « tiers autorisés » par la loi à interroger ponctuellement les communes, est publiée par la CNIL (exemple : le trésor
public, les organismes débiteurs de prestations familiales).
Quelles sont vos responsabilités ?
Informations réservées aux sociétaires Groupama et visiteurs identifiés
Infos pratiques
Informations réservées aux sociétaires Groupama et visiteurs identifiés
Dernière mise à jour : 04.04.2013