LE RESPECT DE LA LOI INFORMATIQUE ET LIBERTÉS DANS LES
Transcription
LE RESPECT DE LA LOI INFORMATIQUE ET LIBERTÉS DANS LES
LE RESPECT DE LA LOI INFORMATIQUE ET LIBERTÉS DANS LES COMMUNES Fichier de population, gestion de l’état civil, fichier à caractère social et de santé, fichier de gestion des ressources humaines, fichier de police municipale, fichier de gestion du territoire, fichier de vidéo protection. De plus en plus, les services municipaux collectent, traitent et conservent pour les besoins de leurs activités et pour des finalités qu’ils déterminent, des données à caractère personnel concernant notamment les administrés, les élus et le personnel communal. La loi « informatique et libertés » du 6 janvier 1978 modifiée fixe de nombreuses obligations et des principes de protection à l'égard des personnes dans le traitement de ces données. Le maire doit veiller au respect de l’application de cette loi en tant que responsable des traitements de données mis en oeuvre pour la gestion de sa commune. Ce qui peut arriver... Les traitements automatisés d'informations nominatives, effectués sans avoir procédé aux formalités préalables à la Commission Nationale Informatique et Libertés (CNIL) prévue par la loi, constituent une infraction pouvant entraîner la condamnation de la commune. Quelle est la réglementation ? Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par : La loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel modifie la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. La loi n°2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers. La loi n°2008-696 du 15 juillet 2008 relative aux archives. La loi n°2009-526 du 12 mai 2009 de simplification et de clarification du droit et d'allègement des procédures. La loi n°3011-334 du 29 mars 2011 relative au Défenseur des droits. La loi n°2011-525 du 17 mai 2011 de simplification et d'amélioration de la qualité du droit. L'ordonnance n°2011-1012 du 24 août 2011 relative aux communications électroniques. Décret n°2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux Dernière mise à jour : 04.04.2013 LE RESPECT DE LA LOI INFORMATIQUE ET LIBERTÉS DANS LES COMMUNES fichiers et aux libertés. La loi « informatique et libertés » pose en son article 1er le principe suivant : « L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » Cette loi tend ainsi à protéger les libertés individuelles des personnes physiques. Ce texte a institué la Commission Nationale de l'Informatique et des Libertés (CNIL) chargée de veiller à la protection des données personnelles et à leur usage conforme à la loi. Les notions de la loi « informatique et libertés » Donnée à caractère personnel : il s'agit de toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Par exemple: données d'état civil (nom, prénom, date de naissance, adresse ...) ainsi que photographies ou images des personnes, numéro de sécurité sociale (RNIPP), plaque d'immatriculation ... Traitement de données à caractère personnel : il s'agit de toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction. Il s'agit ainsi d'une notion large comprenant toute manipulation d'informations quel qu'en soit le support de collecte (fichier excel, bases de données, calsseur papier ...). Fichier de données à caractère personnel : il s'agit de tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés. La règlementation s'applique aux traitements de données automatisés ainsi qu'aux traitements non automatisés : les fichiers et dossiers papiers sont donc également concernés dès lors qu'ils sont classés et ordonnés. Le Code Pénal, les articles 226-16 à 226-24 relatifs aux atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques. Article 226-16 : « Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende». Article 226-19 : « Le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l'intéressé, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l'orientation sexuelle de celles-ci, est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende. » Dernière mise à jour : 04.04.2013 LE RESPECT DE LA LOI INFORMATIQUE ET LIBERTÉS DANS LES COMMUNES Quels sont les principes d’usage à respecter pour la protection des données ? Respecter les formalités préalables à la mise en œuvre des traitements de données à caractère personnel : Les traitements automatisés de données à caractère personnel doivent être déclarés auprès de la CNIL (voire autorisées par celle-ci lorsqu'ils traitent d'informations sensibles). La loi « informatique et libertés » prévoit toutefois des exceptions à ce principe de déclaration pour certains traitements courants (exemples: dispense de déclaration pour les traitements de comptabilité, de paie). Il revient au maire de veiller à effectuer ces formalités. Le principe : tout traitement automatisé de données à caractère personnel doit être déclaré, par voie électronique, à la CNIL qui délivre immédiatement un récépissé. La mise en œuvre du traitement peut être effective dès réception de ce récépissé. Ce récépissé ne vaut toutefois pas conformité. La procédure de déclaration simplifiée : la loi permet à la CNIL de mettre en place des normes destinées à simplifier la procédure de déclaration. Cette procédure concerne les catégories les plus courantes de traitement de données à caractère personnel, dont la mise en œuvre n'est pas susceptible de porter atteinte à la vie privée ou aux libertés. La CNIL a ainsi publié diverses normes simplifiées pour les fichiers les plus courants, par exemple : norme simplifiée relative à la gestion de l'état civil, norme simplifiée relative à la gestion du personnel, norme simplifiée relative au fichier de population des communes de moins de 2000 habitants … Lorsque la collectivité a désigné un Correspondant Informatique et Libertés (CIL), elle est exonérée de formalités déclaratives auprès de la CNIL dès lors que les traitements ne collectent pas d'informations sensibles. Le traitement est dans ce cas porté au registre des traitements tenu par le CIL. La procédure d'autorisation : la mise en œuvre de certains traitements automatisés est soumise à autorisation de la CNIL. Sont par exemple soumis à autorisation : les traitements automatisés ayant pour objet l'interconnexion de fichiers relevant d'une ou de plusieurs personnes morales gérant un service public et dont les finalités correspondent à des intérêts publics différents ; les traitements automatisés de données comportant des appréciations sur les difficultés sociales des personnes. La procédure exceptionnelle : la mise en œuvre de certains traitements de données à caractère personnel nécessite au préalable une autorisation par décret pris en Conseil d'Etat après avis de la CNIL. Il s'agit par exemple de fichiers mis en œuvre pour le compte d'une personne morale de droit public ou d'une personne morale de droit privé gérant un service public qui portent sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques. Par ailleurs, il est interdit de collecter ou de traiter toutes données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci. Respecter le droit des personnes à l'égard des traitements des données à caractère personnel : L'information de l'usager sur ses droits Dernière mise à jour : 04.04.2013 LE RESPECT DE LA LOI INFORMATIQUE ET LIBERTÉS DANS LES COMMUNES L'usager auprès duquel sont recueillies des données à caractère personnel doit être informé par le responsable de traitement, ou son représentant, des éléments suivants : l'identité du responsable du traitement ; la finalité poursuivie par le traitement auquel les données sont destinées ; le caractère obligatoire ou facultatif des réponses ; les conséquences éventuelles, à son égard, d'un défaut de réponse ; les destinataires ou catégories de destinataires des données ; les droits dont il dispose et les modalités d'exercice de ceux-ci ; le cas échéant, les transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne. L'usager possède les droits suivants : - le droit d'information rappelé ci-dessus, - le droit d'opposition, pour des motifs légitimes, au traitement des données à caractère personnel le concernant, - le droit d'accès, de rectification et de suppression aux données le concernant. Il peut ainsi demander: la communication des données à caractère personnel qui le concernent ainsi que de toute information disponible quant à l'origine de celles-ci, la délivrance d'une copie des données à caractère personnel traitées, la rectification, la mise à jour, la suppression des données à caractère personnel le concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite. Respecter les principes de collecte des données à caractère personnel : Lors de la collecte et du traitement des données à caractère personnel, les principes suivants doivent être respectés : Les données sont collectées et traitées de manière loyale et licite ; Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités ; Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ; Dernière mise à jour : 04.04.2013 LE RESPECT DE LA LOI INFORMATIQUE ET LIBERTÉS DANS LES COMMUNES Elles sont exactes, complètes et, si nécessaire, mises à jour. Les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ; Elles sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. Respecter les principes de sécurité des données : Toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, doivent être prises par le responsable de traitement pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Qui est le responsable juridique des fichiers ? Le maire est responsable des traitements mis en œuvre sur sa commune. C'est à lui que revient la charge de procéder aux formalités préalables à la mise en œuvre des traitements auprès de la CNIL. Il doit également veiller au respect des droits dont disposent les usagers. Lorsque le traitement de données est mis en œuvre par les services d'un EPCI, l'autorité responsable sera fonction du mode d'organisation : Si l'EPCI intervient comme un prestataire de services, le maire de la commune est seul responsable du fichier et doit alors procéder aux formalités auprès de la CNIL. Si l'EPCI effectue, dans le cadre des compétences transférées, les traitements, la responsabilité incombe au président de l'EPCI qui doit alors procéder aux formalités auprès de la CNIL. Le Correspondant Informatique et Libertés – le CIL : Le maire peut désigner un correspondant à la protection des données à caractère personnel chargé d'assurer, d'une manière indépendante, le respect des obligations prévues dans la loi « informatique et libertés ». Sa désignation doit être notifiée à la CNIL. La désignation d'un CIL a pour effet d'alléger les procédures préalables à la mise en œuvre de traitement de données à caractère personnel. Quelles sont les utilisations possibles des fichiers par la commune ? L'utilisation par la commune des fichiers de l'état civil Les informations recueillies pour assurer la tenue du registre de l'état civil ne peuvent être utilisées à d'autres fins, notamment de communication personnalisée (envoi de félicitations à l'occasion d'une naissance par exemple) que dans la mesure où lors de l'établissement de l'acte de l'état civil ou de sa transmission à la mairie de résidence, les personnes concernées sont informées et consentent à cette publication et à tout envoi de messages personnalisés. Dernière mise à jour : 04.04.2013 LE RESPECT DE LA LOI INFORMATIQUE ET LIBERTÉS DANS LES COMMUNES L'utilisation des fichiers de la liste électorale Un maire peut utiliser la liste électorale pour adresser des courriers aux administrés, par exemple le bulletin de la commune, ou les consulter sur un projet. Les personnes concernées doivent avoir été informées conformément à ce qui est précédemment indiqué et doivent avoir eu la possibilité de refuser toute publication. Elles doivent connaître l'origine des informations utilisées pour constituer le fichier et doivent pouvoir faire supprimer leurs coordonnées du fichier d'envoi si elles le souhaitent. Par contre, les fichiers de population ne sont pas utilisables à des fins politiques (sauf pour l'envoi des listes électorales) ou commerciales ou pour répondre à des enquêtes. L'utilisation des fichiers pour répondre aux demandes de renseignements concernant les administrés Les demandes proviennent de divers organismes (trésor public, URSSAF, opérateurs de téléphonie mobile, Caisses d'Allocations Familiales, EDF...). La CNIL souligne que « la communication à un tiers de renseignements sur un administré ne peut être effectuée qu'à titre exceptionnel et fondée sur un texte législatif autorisant le demandeur à solliciter la commune pour obtenir les informations. La demande doit être ponctuelle, écrite, précisant le texte législatif sur lequel elle se fonde, et ne concerner qu'une personne nommément désignée, sans jamais porter sur un fichier ou une partie de fichier ». Une liste de « tiers autorisés » par la loi à interroger ponctuellement les communes, est publiée par la CNIL (exemple : le trésor public, les organismes débiteurs de prestations familiales). Quelles sont vos responsabilités ? Informations réservées aux sociétaires Groupama et visiteurs identifiés Infos pratiques Informations réservées aux sociétaires Groupama et visiteurs identifiés Dernière mise à jour : 04.04.2013