Les collectivités locales et la protection des données personnelles François GILBERT Directeur des opérations Juriste spécialisé en TIC Aquitaine Europe Communication 25 septembre 2008
CONTEXTE Utilisation des moyens informatiques par les collectivités locales pour accomplir leurs missions. Les applications comportent des informations sur les administrés et sur les agents. Ces informations sont protégées par la loi informatique et libertés pour éviter toute utilisation susceptible de porter atteinte aux droits et libertés des personnes ou à leur vie privée. Les acteurs publics impliqués dans la mise en œuvre de traitements de données personnelles sont soumis au respect de la loi informatique et libertés.
ORIGINES Dans les années 70, la révélation d’un projet d’identification de chaque citoyen par un numéro unique et d’interconnecter sur la base de cet identifiant tous les fichiers de l’administration créa une vive émotion dans l’opinion publique. La CNIL a été instituée par la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés pour veiller à ce que l’informatique soit au service des citoyens et qu’elle ne porte atteinte ni aux libertés individuelles, ni à la vie privée, ni aux droits de l’homme.
MISSIONS La Commission Nationale de l’informatique et des libertés: Informe d’une part les responsables de traitements de leurs obligations et d’autre part les citoyens de leurs droits; Garantie le droit d’accès des citoyens aux données contenues dans les traitements qui les concernent; Recense les fichiers déclarés dans une liste tenue à disposition du public et reçoit les déclarations de traitement; Contrôle les traitements sur place et surveille la sécurité des systèmes d’information. Elle peut prononcer des sanctions en cas de manquement à la loi; Réglemente par le biais de normes simplifiées visant à alléger les formalités pour les traitements courants et de dispenses pour les traitements sans risques.
Relation CNIL-Collectivités Depuis 2005, le Tour de France des régions, permettent à la CNIL de développer une relation de proximité avec les régions et rencontrer entre autres des administrations, collectivités locales, élus et associations dans le cadre de conférences, colloques, séminaires ou animation de formations sur la loi informatique et libertés. Contrôles effectués dans les collectivités locales en 2007: Conseil Général du Calvados (CAEN) Conseil Régional de Basse Normandie (CAEN) Mairie d’Emerainville Mairie de Noisy-le-Sec Publication d’un guide collectivités locales en 2008 pour aider les agents à appliquer la loi informatique et libertés dans l’exercice de leurs missions.
Exemple 1: Doit-on déclarer un site Internet ? Plus de déclaration systématique Suppression en 2006 par la CNIL de la déclaration systématique de création de site Internet. Cependant, si le site comporte un traitement de données à caractère personnel, il faut vérifier s’il faut ou non le déclarer à la CNIL. Sites institutionnels Les sites vitrines purement institutionnels et non commerciaux, sont dispensés de déclaration à la condition qu’ils soient conformes à la dispense dont ils relèvent (dispense no.7)
Exemple 2 : Le fichier d’état civil La tenue du registre est une obligation pour les mairies et ne peuvent faire l’objet d’une opposition de la part des administrés. Une liste de bonnes pratiques fournie par la CNIL, sur le respect des grands principes de la loi dans la gestion de cette compétence. Ex: les administrés doivent être informés de l’informatisation des données qui les concernent et des conditions d’exercice de leur droit d’accès et de rectification. Comment déclarer ? Les fichiers informatiques mis en œuvre par les services d’état civil peuvent faire l’objet d’une déclaration simplifiée de la part de la commune (norme simplifiée No. 43). Les données peuvent être légalement communiquées notamment à l’INSEE et les services pour les informations relatives au décès.
L’équilibre entre les droits et les devoirs La mise en conformité à la loi prend en compte les droits des administrés d’une part et les devoirs des responsables de traitement d’autre part. Administrés Responsables de traitements Droit à l’information Information des personnes concernées Droit d’opposition Déterminer la finalité du traitement Droit de rectification Fixer une durée de conservation raisonnable Droit d’accès Assurer la sécurité et la confidentialité des données Qui est responsable en cas de manquement à la loi? Sont responsables les personnes qui président les organismes publics visés ex. maires, présidents d’établissements publics de coopération intercommunale, qui pourront voir leur responsabilité pénale engagée.
Trop de déclarations ? La solution CIL La désignation du Correspondant Informatique et Libertés: Pourquoi? Exonération de déclaration pour la majorité de fichiers Mieux faire comprendre et respecter la loi I&L dans la collectivité et donc diminuer les risques de sanctions Assurer le lien entre la CNIL et la collectivité SES OBLIGATIONS : Tenir la liste de tous les traitements mis en œuvre dans les différents services. Assurer le respect des droits des personnes (accès, modification/suppression et opposition) et des grands principes de la loi. CONSEIL Il sera consulté avant la création de tout traitement RECOMMANDATION Traduit les dispositions de la loi en règles internes PEDAGOGIE Diffuse la culture I&L MEDIATION Reçoit et donne suite aux demandes des usagers ALERTE Fait part de ses constats au responsable INFORMATION Dresse le bilan annuel de son activité
Les collectivités locales et la protection des données personnelles François GILBERT Directeur des opérations Juriste spécialisé en TIC Aquitaine Europe Communication 25 septembre 2008