Cahier n 47 - Septembre 2011 - No 249 - www.courrierdesmaires.

fr

QUESTIONS

LOGO_CDM_50Q.indd 1

LA LOI INFORMATIOUE ET LIBERTES

4/12/06 15:31:02

et les collectivits locales

De 1 12

LA LOI, LA CNIL ET LE CIL

Le cadre lgislatif, la Commission, ses pouvoirs. Les contrles
P.III

De 13 27

LES DONNES PERSONNELLES

De 28 35

La cration dun fichier. Les interdictions. Droits des personnes. Prcautions prendre
P.VI

LUTILISATION DES FICHIERS

De 36 50

Fichiers administratifs, tat civil, liste lectorale, donnes du recensement

P.X

LES FORMALITS DE DCLARATION

Comment et que dclarer. Procdures simplifies. Personnels. Police municipale

P.XII

 Les sites et documents consulter

Sur www.cnil.fr, consultez :
la page ddie aux collectivits locales/citoyen (www.cnil.fr/dossiers/collectivites-locales) ; le guide pratique rdig lattention des collectivits locales ; le guide technique relatif la scurit des donnes personnelles.

Contacter la CNIL, au 01.53.73.22.22 :

la permanence de renseignements juridiques : du lundi au vendredi, 10 h 12 h - 14 h 16 h ; le standard de la CNIL, du lundi au vendredi sans interruption, 9 h 18 h 30 (18 h le vendredi).

Les chiffres cls de la CNIL en 2010

Dclarations, demandes dautorisation et avis sur des projets de texte : 71 410 nouveaux fichiers enregistrs (88 % des dclarations sont faites en ligne) ; 68 262 rcpisss (dlai moyen de dlivrance du rcpiss : 48 heures pour une dclaration simplifie et 5 jours calendaires pour les dclarations normales) ; 2 905 transferts hors de lUnion europenne ; 706 autorisations biomtrie ; 4 376 dclarations concernant la vidoprotection. Contrle a posteriori : 4 821 plaintes reues ; 1 877 demandes de droit daccs indirect aux fichiers de police et de renseignement ; 308 contrles ; 111 mises en demeure ; 3 avertissements : 5 sanctions financires. NB. Afin dtre lisibles pour la publication papier, les renvois au site de la CNIL de ce 50 questions mentionnent les adresses internet in extenso. Toutefois, dans sa version numrique (FAQ), des hyperliens insrs renvoient au site de la CNIL ou de Lgifrance.

Les rfrences
Loin78-17du6janvier1978relative linformatique, aux fichiers et aux liberts (JO du 7 janvier 1978) Loin2004-801du6aot2004relative la protection des personnes physiques lgard des traitements de donnes caractre personnel et modifiant la loi du 6 janvier 1978 (JO du 7 aot 2004, p. 14063) Ordonnancen2005-1516du8dcembre2005relative aux changes lectroniques entre les usagers et les autorits administratives et entre les autorits administratives (JO du 9 dcembre 2005, p. 18986) Loin2009-526du12mai2009de simplification et de clarification du droit et dallgement des procdures (JO du 13 mai 2009, p. 7920) Loin2011-267du14mars2011dorientation et de programmation pour la performance de la scurit intrieure (LOPPSI) modifiant le rgime juridique relatif la vidoprotection (JO du 15 mars 2011, p. 4582) Loin2011-334du29mars2011relative au Dfenseur des droits (JO du 30 mars 2011, p. 5504) Loin2011-525du17mai2011de simplification et damlioration de la qualit du droit (JO du 18 mai 2011, p. 8537) Dcretn2010-112portant le rfrentiel gnral de scurit RGS (JO du 4 fvrier 2010, p. 2072)

Principalactionnaire:Groupe Moniteur Holding. Socitditrice:Groupe Moniteur SAS au capital de 333 900 euros. RCS : Paris 403 080 823 - Sigesocial:17, rue dUzs 75108 Paris cedex 02. Numrodecommissionparitaire:1008 T 83807 ISSN : 0769-3508 - Prsident/Directeurdelapublication:Guillaume Prot - Directeurgnral:Olivier de la Chaise. Impression:Imprimerie de Champagne, ZI Les Franchises, 52200 Langres - Dptlgal:septembre 2011.

II

Le Courrier des maires N249 Septembre2011

l l

DE 1 12 LA LOI, LA CNIL ET LE CIL

LA LOI INFORMATIQUE ET LIBERTES ET LES COLLECTIVITES LOCALES

ParlesservicesjuridiquesdelaCommissionnationaledelinformatiqueetdesliberts(CNIL)

Laloiinformatiqueetlibertsdu6janvier1978(modifieenaot2004)dfinit lesprincipesrespecterlorsdelacollecte,dutraitementetdelaconservation desinformationsrelativesdespersonnesphysiques.Cetteloiaunchamp dapplicationtrslargequiconcernelamajoritdestraitementsoufichiersquisont misenuvreparlescollectivitslocales.Ce50questionsrappellelensemble desobligationsquileurincombent.

1
De quand date cette loi ?
La loi dite informatique et liberts a t adopte le 6 janvier 1978, suite une polmique dclenche en 1974 par la rvlation du projet du gouvernement franais dnomm SAFARI (Systme automatis pour les fichiers administratifs et le rpertoire des individus). Ce systme avait pour objet dinterconnecter tous les grands fichiers administratifs sur la base dun numro didentification unique attribu chaque Franais (le numro de Scurit sociale), ce qui aurait permis de retrouver facilement toutes les informations disponibles concernant une personne. Le prsident de la Rpublique de lpoque a donc mis en place une Commission charge de proposer des mesures tendant garantir que le dveloppement de linformatique se raliserait dans le respect de la vie prive et des liberts individuelles et publiques . Les travaux de cette Commission ont conduit ladoption de la loi n 78-17 du 6 janvier 1978 relative linformatique, aux fichiers et aux liberts, et linstitution de la CNIL comme organisme charg de veiller lapplication de ce texte. Des modifications sont rgulirement apportes la loi informatique et liberts.

2
En quoi une collectivit locale est-elle concerne ?
La loi informatique et liberts a pour principal objectif de protger les informations concernant une personne enregistres dans des fichiers, dans la mesure o leur divulgation ou mauvaise utilisation peut porter atteinte ses liberts ou sa vie prive. Cette loi a un champ dapplication trs large. Est concerne la majorit des traitements ou fichiers mis en uvre par les collectivits locales pour grer les nombreux services qui relvent de leur comptence : tat civil, listes lectorales, inscriptions scolaires, action sociale et autres services la population, systmes dinformation gographique, etc.
ATTENTION Sontgalementconcernslesdispositifsdecontrle lisauxnouvellestechnologies(vidoprotection, applicationsbiomtriques,golocalisation),etbien srlutilisationdInternet,tantparlesagents municipauxquepourfaciliterlesservicesauxusagers (parexemple,lestlservicesdeladministration lectroniquelirelaquestion27).

Modifications
Ces volutions lgislatives apportes en 2004, 2005, 2006, puis rcemment par les lois n 2009-526, n 2011-334 et n 2011-525, apprhendent les volutions numriques et les nouveaux usages ou encore, tendent la sphre de comptence de la Commission ou renforcent son pouvoir de sanction.

Le Courrier des maires N249 Septembre2011

l l

III

DE 1 12 LA LOI, LA CNIL ET LE CIL

3
Quest-ce que la CNIL ?
La Commission nationale de linformatique et des liberts, la CNIL, est une autorit administrative indpendante compose de 17 membres (parlementaires, hauts fonctionnaires, magistrats, personnalits qualifies), cre par la loi du 6 janvier 1978. La CNIL lit son prsident parmi ses membres. Elle ne reoit dinstruction daucune autorit et dispose de son propre budget. La Commission est charge de veiller ce que linformatique ne porte atteinte ni lidentit humaine, ni aux droits de lhomme, ni la vie prive, ni aux liberts individuelles ou publiques. Elle a pour principales missions, dune part, de contrler que la mise en uvre de traitements automatiss de donnes caractre personnel seffectue dans le respect des dispositions de la loi informatique et liberts. Dautre part, dinformer les personnes des droits et obligations qui leur sont reconnus par la mme loi.

4
Quels sont ses pouvoirs ?
La Commission vrifie que les traitements qui lui sont dclars sont conformes la loi et autorise la mise en uvre des traitements qui ncessitent une attention particulire du fait des informations enregistres ou des finalits poursuivies. Elle rend galement des avis sur des projets de textes lgislatifs ou rglementaires. La CNIL dispose dun pouvoir de contrle qui permet ses membres et agents daccder tous les locaux professionnels et de demander, sur place, communication de tout document ncessaire, quel que soit le support, et en prendre copie, recueillir tout renseignement utile et accder aux programmes informatiques et aux informations enregistres. La CNIL est dote, depuis lentre en vigueur de la loi du 6 aot 2004, de pouvoirs de sanctions administratives et pcuniaires importants. Au-del de lavertissement, elle peut, aprs une mise en demeure infructueuse, infliger des sanctions financires atteignant 300 000 . Par ailleurs, en cas datteinte grave et immdiate aux droits et liberts, le prsident de la CNIL peut demander en rfr au juge dordonner toute mesure de scurit utile. Par exemple, loccasion de lorganisation dun scrutin via Internet, sil savre que les oprations ne se droulent pas dans le respect des droits des personnes.

Textes

A la suite de la publication des lois organique et ordinaire relatives au Dfenseur des droits au JO du 30 mars 2011, lorganisation et le fonctionnement de la formation contentieuse de la Commission ont t modifis. En effet, le lgislateur a formellement consacr par cette rforme les rgles du procs quitable en exigeant une stricte sparation des phases denqute et dinstruction dune part, et de jugement, dautre part. Ainsi, les mises en demeure sont dsormais adoptes par le seul prsident de la CNIL. Enfin, grce cette rforme, la Commission dispose dune plus grande libert de publicit de ses dcisions.

5
Les collectivits locales peuvent-elles faire lobjet de contrle ?
Oui. La CNIL peut contrler une collectivit locale au mme titre que nimporte quel organisme, public ou priv. Les collectivits locales, notamment au travers des dispositifs de vidoprotection, font dailleurs partie, pour la quatrime anne conscutive, du programme annuel de contrle de la Commission. Les contrles raliss montrent que de nombreuses collectivits ne respectent pas certaines rgles de base de la loi informatique et liberts. Dans la majorit des cas, ces manquements rsultent dune mconnaissance de la loi ou de ngligence, mais les infractions nen restent pas moins constitues. Les dcideurs et responsables locaux doivent en prendre conscience car leur responsabilit juridique, y compris pnale, peut tre engage.

6
Quels sont les risques encourus en cas de nonrespect de la loi informatique et liberts ?
Les maires, les prsidents de conseils gnraux ou rgionaux ainsi que dtablissements publics de coopration intercommunale sont responsables des traitements informatiques mis en uvre par leurs services et de la scurit des donnes personnelles quils contiennent. A ce titre, ils peuvent voir leur responsabilit, notamment pnale, engage en cas de non-respect des dispositions de la loi. Par exemple, ne pas avoir dclar un fichier qui aurait d ltre, ne pas prendre toutes les mesures de scurit pour garantir la confidentialit des informations ou bien encore, utiliser les informations dautres fins, est susceptible dtre pnalement sanctionn (peine de cinq ans demprisonnement et 300 000 damende).

IV

Le Courrier des maires N249 Septembre2011

l l

DE 1 12 LA LOI, LA CNIL ET LE CIL

7
Quest-ce quune donne caractre personnel ?
Une donne caractre personnel est une information relative une personne identifie, ou qui permet didentifier une personne, directement ou indirectement. Cela concerne donc aussi bien les informations directement nominatives (le nom et le prnom), que les informations qui permettent didentifier, indirectement, une personne physique. Cest le cas dun numro de tlphone (qui permet didentifier le titulaire de la ligne tlphonique), dun numro de plaque minralogique (qui renvoie au titulaire de la carte grise) ou encore dun numro de parcelle immobilire (qui renvoie au propritaire). Cest galement le cas dlments du corps humain tels que lempreinte digitale ou lADN dune personne. Il sagit aussi de toutes les donnes qui sont rattaches une personne. Par exemple : le nombre de repas de cantine facturs aux parents dun enfant.

8
Quest-ce quun traitement de donnes ?
Un traitement de donnes caractre personnel est une notion trs large. Il sagit de toute opration portant sur ces donnes, quel que soit le procd technique utilis, notamment la collecte, lenregistrement, la conservation, la modification, lextraction, la consultation, la communication, le transfert, linterconnexion mais aussi le verrouillage, leffacement ou la destruction. Cela recouvre aussi bien la constitution dune base de donnes que lutilisation dun autocommutateur tlphonique, un systme daccs par badge ou un site internet. Il sagit de toutes les utilisations qui peuvent tre faites des donnes caractre personnel.
ATTENTION Laloiviselestraitementsinformatiquesmaisgalement lestraitementsnonautomatiss.Ellesappliquedonc auxfichiersmanuels,quisontdesensemblesdefiches, listesoudossiers,structursparunsystmedeclassement oudindexationpermettantdaccderfacilementaux donnes.Lesmeilleursexemplesdefichiermanuelsont lannuairetlphoniquepapier;ouencorelensemble desdossierspapierdupersonnel.

9
Qui est le responsable de traitement ?
Cest la personne ou lorganisme qui dcide la cration du traitement, qui en dtermine lobjet et dfinit les moyens mis en uvre cet effet. Il sagira du maire pour une commune, du prsident du dpartement, de la rgion ou de lEPCI concern. Il convient de distinguer le responsable du traitement du prestataire de services (ou sous-traitant ). Ce dernier intervient pour le compte du responsable du traitement selon les objectifs qui lui ont t assigns, dfinis dans le contrat de prestation de service. Par exemple, les diteurs de logiciels et les bureaux dtudes auxquels les collectivits locales font appel sont des prestataires de services. La responsabilit du traitement nen incombe pas moins la collectivit (cf. question 18).
ATTENTION Danslecadredesschmasdpartementauxdecoopration intercommunalemettreenplacediciau31dcembre 2011(cf.loin2010-1563du16dcembre2010portantrformedescollectivitsterritoriales),certainescomptences communalessontsusceptiblesdtretransfreslintercommunalitalorscre.Ilconviendraderflchirauxmutationsdesfichiersdedonnespersonnellesexistantset deffectuerlesmodificationsdesdclarationsaffrentesen casdetransfertderesponsabilitduntraitement.

10
Quelles prcautions prendre avec les logiciels des diteurs ?
Les logiciels en tant que tels ne sont pas soumis la loi informatique et liberts. Cest lutilisation dun logiciel pour traiter des donnes caractre personnel qui doit respecter les prescriptions de la loi. Les diteurs de logiciels nont pas lobligation lgale de proposer des produits paramtrs cet effet. Lorsquelles acquirent un logiciel, les collectivits locales doivent tre trs vigilantes sur ses fonctionnalits pour ne pas tre en infraction avec la loi. En particulier, il convient de vrifier que le logiciel dispose dune fonction permettant la suppression et/ou larchivage des donnes personnelles. De plus, il est utile dexaminer les champs de saisie de loutil afin de vrifier que les donnes collectes sont pertinentes au regard de la finalit du traitement. Par exemple : ne pas proposer un champ de saisie n de Scurit sociale si son utilisation nest pas prvue par un texte. A terme, la CNIL envisage de labelliser des produits informatiques, ce qui permettra dattester de leur conformit la loi.

Donnes personnelles
Lutilisation dun logiciel doit seffectuer dans des conditions garantissant la scurit (cf. dcret n 2010-112 portant le rfrentiel gnral de scurit - RGS). En particulier, la collectivit doit limiter laccs aux donnes personnelles aux seules personnes habilites.

Le Courrier des maires N249 Septembre2011

l l

DE 1 12 LA LOI, LA CNIL ET LE CIL

11
Le CIL
Il est la fois un vecteur de scurit juridique, un interlocuteur privilgi de la CNIL, une source de scurit informatique, le signe dun engagement thique et citoyen, un facteur de simplification des formalits administratives et un lment de valorisation du patrimoine informationnel.

12
Une collectivit territoriale peut-elle dsigner un CIL ?
Oui. Tout responsable de traitements, quil soit public ou priv, peut se doter dun correspondant interne ou externe. Le choix du CIL est libre si lorganisme regroupe moins de 50 personnes charges de la mise en uvre des traitements ou qui y ont accs : il peut tre soit un agent de la collectivit, soit un tiers (ex. : avocat, consultant). En revanche, lorsque plus de 50 personnes sont charges de la mise en uvre des traitements ou y ont directement accs, la personne choisie pour occuper la fonction de CIL doit obligatoirement tre un agent de la collectivit (CIL interne). Par ailleurs, les responsables de traitements dun mme secteur dactivit peuvent dcider de mutualiser la fonction de correspondant. Cela peut tre le cas pour les syndicats de communes ou dagglomration. Sachant que le CIL dsign par un syndicat de communes pourra aussi tre celui de chaque commune.
A NOTER LaprocdurededsignationdunCILfiguresurlesite internetdelaCNIL(www.cnil.fr/la-cnil/nos-relais/ correspondants/designez-un-cil).Ladsignationprend effetunmoisaprsladatederceptiondelanotification parlaCNIL.

A quoi le correspondant informatique et liberts (CIL) sert-il ?

Le CIL a t cr en 2004. Cette innovation majeure constitue un tournant dans lapplication de la loi : laccent est mis sur la pdagogie et le conseil en amont. Le correspondant contribue une meilleure application de la loi au sein de lorganisme et sassure que les fichiers sont utiliss dans le respect des droits des usagers. Il limite ainsi les risques lis la mconnaissance des rgles de protection de la vie prive qui peuvent aboutir engager la responsabilit personnelle, civile et pnale des reprsentants des collectivits locales. Son profil nest pas dfini par les textes, mais il doit sagir dune personne disposant des qualifications requises pour exercer ses missions. Aucun agrment nest prvu et aucune exigence de diplme nest fixe. En pratique, il sagit le plus souvent dinformaticiens ou de juristes. Son action prend plusieurs formes : le conseil, la sensibilisation, la mdiation et lalerte en cas de dysfonctionnement.

Finalit

Exemple de respect de ce principe : le fichier des demandeurs demploi ne peut tre utilis pour de la communication politique.

13
Quelles sont les rgles respecter lors de la cration dun fichier comportant des informations personnelles ?
Cinq principes doivent tre respects : le principe de finalit : les informations ne peuvent tre recueillies et traites que pour un usage dtermin et lgitime qui doit correspondre aux missions de la collectivit responsable du traitement ; le principe de proportionnalit : seules doivent tre traites les informations pertinentes et ncessaires pour la gestion des services municipaux ; le principe dune dure limite de conservation des informations ; le principe de scurit et de confidentialit des informations ; le principe du respect des droits des personnes : lors du recueil des informations, les administrs doivent tre informs de la finalit du traitement, du caractre obligatoire ou facultatif des rponses, des destinataires des informations et de lexistence des droits de communication, de correction, deffacement, voire dans certains cas du droit de sopposer ce que des informations soient enregistres.

14
Quelles informations personnelles peuvent tre enregistres ?
Lun des principes de base de la loi informatique et liberts est que les informations personnelles enregistres dans un fichier doivent tre adquates, pertinentes et non excessives au regard des finalits pour lesquelles elles sont collectes (article 6-3). Cela signifie quelles doivent tre en rapport avec les finalits du fichier et tre ncessaires leur ralisation (principe de proportionnalit). Par exemple, la situation de famille ou la date de naissance dune personne sont des informations qui sont souvent demandes alors mme quelles ne sont pas ncessaires. Les coordonnes de lemployeur dun parent ne sont pas forcment une information adquate si ce qui est recherch est un contact en cas durgence (cas dune inscription scolaire ou en crche).
ATTENTION Lanationalitestrarementuneinformationpertinente. Parexemple:recueillirlanationalitpourinscrire lesenfantsaucentredeloisirsnestpasjustifi.

Proportionnalit

Exemple : le recueil du numro de Scurit sociale des parents nest pas justifi pour le fichier des inscriptions scolaires.

Dure

Par exemple : un mois pour les enregistrements de vidoprotection.

Scurit et confidentialit

Le maire ou tout autre reprsentant lgal doit par exemple veiller mettre en place et grer le renouvellement des mots de passe, ou encore, dterminer diffrentes rgles daccs aux donnes et grer les habilitations.

VI

Le Courrier des maires N249 Septembre2011

l l

DE 13 27 LES RGLES APPLICABLES AUX DONNES PERSONNELLES

15
Existe-t-il des informations dont lenregistrement dans un fichier est interdit ?
Oui. Il est par principe interdit de collecter et de conserver des informations personnelles qui, directement ou indirectement, font apparatre les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, les appartenances syndicales, ou encore les donnes relatives la sant ou la vie sexuelle des personnes (art. 8 de la loi informatique et liberts). Ce sont des donnes dites sensibles . Par exception, on peut enregistrer de telles donnes dans un fichier condition : quelles soient pertinentes par rapport la finalit du traitement (exemple : lappartenance syndicale des agents de la mairie, qui ont droit des dlgations dheures, peut tre enregistre dans le fichier de gestion du personnel) ; et si la personne concerne a donn son accord crit pralablement lenregistrement de cette information, ou si la CNIL a autoris le traitement de cette donne.

16
Dans quels cas le numro de Scurit sociale peut-il tre enregistr ?
Le numro de Scurit sociale, nom usuel du numro dinscription au rpertoire (le NIR ), est issu du rpertoire national didentification des personnes physiques (RNIPP) gr par lINSEE. Ce numro est signifiant (il permet de dterminer le sexe, la date (sauf le jour) et le lieu de naissance de la personne concerne), unique (un seul numro attribu chaque individu ds sa naissance), et fiable (certifi par lINSEE). Cest pourquoi, le considrant comme une donne sensible, la loi informatique et liberts soumet son enregistrement une procdure particulire. Si la CNIL a admis lutilisation de ce numro dans lensemble des fichiers des organismes en relation avec la Scurit sociale (employeurs autoriss lenregistrer pour la gestion de la paie ; professionnels de sant pour la tenue des dossiers des patients ; organismes dassurance maladie obligatoires et complmentaires ; Ple emploi), elle souhaite que son enregistrement, en tant quidentifiant dans les fichiers, ne soit ni systmatique ni gnralis. Les collectivits locales ne sont pas autorises utiliser ce numro comme identifiant dans leurs fichiers.

Prestataire

17
Combien de temps peut-on conserver les informations personnelles dans un fichier ?
La loi informatique et liberts prvoit que les donnes caractre personnel ne peuvent tre conserves dans un fichier, sous une forme permettant lidentification des personnes concernes, que pendant la dure ncessaire aux finalits pour lesquelles elles ont t collectes. Ces informations ne peuvent donc pas tre conserves de manire illimite : la dure de conservation doit tre dfinie lavance et, dans tous les cas, adapte la finalit du traitement. Cette dure peut tre trs variable en fonction des fichiers. Par exemple, certaines informations prsentes dans les fichiers du personnel doivent tre conserves jusqu la liquidation des droits la retraite ; dautres juste pendant le temps de prsence de lagent dans lorganisme (gestion de carrire) ; dautres encore pendant quelques mois seulement (donnes de pointage des badges daccs et de contrle du temps de travail).
ATTENTION Ilfautdiffrencierladuredeconservationdelanotion darchivagedesdonnessurunsupportdistinct,dans lerespectdesdispositionsduCodedupatrimoineetdes rglesfixesparlesservicesdesarchives.

18
Quelles sont les rgles respecter lors de lappel un sous-traitant ?
Nombre de prcautions doivent tre prises lorsquune collectivit fait appel un prestataire de services (prestataire informatique, bureau dtudes, ou encore un service intercommunal qui ralise une mission pour une commune). En effet, la collectivit reste responsable juridiquement de toutes les oprations qui seront ralises par le sous-traitant sur les donnes caractre personnel. Elle doit donc sassurer que le sous-traitant prsente des garanties suffisantes pour assurer la scurit du traitement et la confidentialit des donnes. Elle doit prvoir, dans la convention qui la lie au prestataire, une clause spcifique prcisant le cadre dintervention de ce dernier et lui rappeler ses obligations : interdiction dutiliser les donnes fournies dautres fins que la mission pour laquelle elles lui sont confies, interdiction de les divulguer des tiers, obligation en fin de contrat de restituer les donnes au commanditaire ou de les dtruire.

Dans les cahiers des charges destination des prestataires, doit tre rappele lobligation de respecter le rfrentiel gnral de scurit ( RGS ) publi sur le site de lAgence nationale pour la scurit des systmes dinformation (www.ssi.gouv.fr/fr/ reglementation-ssi/ referentiel-generalde-securite/). Par ailleurs, il conviendra dtre galement vigilant sur la proprit intellectuelle.

Clause

Un modle de clause contractuelle pour le recours un sous-traitant est mis disposition sur le site internet de la CNIL (www.cnil.fr/vosresponsabilites/ transferer-des-donnees-a-letranger/ contrats-types-dela-commissioneuropeenne/).

Le Courrier des maires N249 Septembre2011

l l

VII

DE 13 27 LES RGLES APPLICABLES AUX DONNES PERSONNELLES

19
Confidentialit
Il ne faut pas rpondre aux demandes manant de particuliers ou de socits prives telles que les agences de recouvrement de crances, de gnalogie ou de recherche dhritiers. De mme, les communes ne sont pas habilites diligenter des enqutes pour rpondre des demandes extrieures y compris celles manant de tiers autoriss. Enfin, lorsquun organisme demande communication de donnes concernant une personne, il est indispensable de vrifier que le demandeur est fond juridiquement obtenir ces donnes.

20
Quels sont les droits des personnes fiches ?
Le responsable de traitement doit informer les personnes concernes lors du recueil des donnes caractre personnel (cest--dire lorsquelles sinscrivent ou rpondent un questionnaire) : de son identit, de lobjet du fichier cr, du caractre obligatoire ou facultatif des rponses, des destinataires des informations, et des droits qui leur sont offerts par la loi informatique et liberts (art. 32). Lorsque les informations ne sont pas collectes directement auprs de lintress, linformation est fournie lors de lenregistrement des donnes ou du premier contact avec lui (par courrier, par exemple). Les personnes fiches , quelles soient usagers ou agents de la collectivit, peuvent demander communication des informations les concernant figurant dans un fichier gr par la collectivit. Elles ont le droit dexiger la correction ou leffacement des informations inexactes ou primes. Enfin, toute personne a le droit de sopposer, pour des motifs lgitimes, ce que des donnes la concernant soient enregistres dans un fichier informatique, sauf si celui-ci prsente un caractre obligatoire, comme le fichier dtat civil.

La collectivit peut-elle donner des renseignements sur ses administrs ?

Rpondre des demandes de renseignements peut engager la responsabilit du maire ou du dirigeant de la collectivit. Le responsable du traitement doit donc prendre toutes prcautions utiles pour prserver la scurit des donnes et, notamment, empcher quelles soient dformes, endommages ou que des tiers non autoriss y aient accs. Le non-respect de cette obligation est puni de cinq ans demprisonnement et 300 000 damende. La confidentialit des informations personnelles implique de ne pas les communiquer dautres personnes ou organismes que ceux habilits en connatre (les personnes charges de traiter les donnes et les autres destinataires numrs dans la dclaration). Toutefois, certaines personnes sont autorises accder aux informations de faon ponctuelle et en vertu dun texte particulier : ce sont les tiers autoriss. Aprs vrification, la collectivit peut rpondre sans risque leurs demandes.

Les tiers autoriss

Il sagira par exemple de ladministration fiscale pour le recouvrement de crances fiscales, de condamnations pcuniaires ou de crances des collectivits locales ; des magistrats et des officiers de police judiciaire agissant en flagrant dlit ou sur commission rogatoire ; des organismes dbiteurs de prestations familiales

21
Comment respecter lobligation dinformation des personnes ?
Lorsque la collecte des donnes se fait directement auprs de la personne concerne par questionnaire, ce dernier doit comporter les mentions dinformation prvues par larticle 32 de la loi informatique et liberts. Doivent tre prciss : lidentit du responsable du traitement, la finalit du traitement (ex. : gestion de ltat civil), le caractre obligatoire ou facultatif des informations collectes, les destinataires de ces informations, lexistence de droits offerts aux personnes concernes et les services auprs desquels elles peuvent les exercer. Si elle seffectue auprs dun guichet de la collectivit, linformation peut tre diffuse au moyen daffiches apposes dans les services ou par remise dune plaquette dinformation. Le site internet de la collectivit est galement le moyen dinformer les personnes de leurs droits.
A NOTER Desmodlesdementionsdinformationfairefigurer surlesformulaires,questionnaires,bulletinsdinscription sontdisponiblessurlesitedelaCNIL(www.cnil.fr/vosresponsabilites/informations-legales,rubriqueDclarer).

22
Dans quel cadre le maire peut-il constituer un fichier de demandeurs demploi ?
En application de larticle L.5322-3 du Code du travail, le maire peut demander recevoir de Ple emploi la liste des demandeurs demploi domicilis dans sa commune, et ce exclusivement pour les besoins du placement ou pour la dtermination davantages sociaux. Il peut de mme obtenir auprs des entreprises en liquidation ou mettant en uvre un plan social, la liste des salaris domicilis dans sa commune condition que les personnes concernes aient t pralablement informes et ne sy soient pas opposes. Le fichier des demandeurs demploi ainsi constitu par la commune pour aider les intresss se rinsrer professionnellement ne peut pas tre utilis dautres fins par le maire. Les informations enregistres (nom, prnom et adresse du demandeur, qualification professionnelle, et, le cas chant, indication du versement dun revenu de remplacement) ne peuvent tre conserves au-del dun an aprs le dernier contact avec la personne.

Demandeurs demploi

Rappel : les demandeurs demploi doivent tre informs de lexistence de ce fichier. Une dclaration du traitement doit tre adresse la CNIL sauf si la commune a dsign un CIL.

VIII

Le Courrier des maires N249 Septembre2011

l l

DE 13 27 LES RGLES APPLICABLES AUX DONNES PERSONNELLES

23
Dans quel cadre le maire peut-il grer un fichier des enfants scolariss ?
La loi n 2007-297 du 5 mars 2007 sur la prvention de la dlinquance (art. L.131-6 du Code de lducation) lui permet de mettre en uvre un traitement de donnes caractre personnel concernant les enfants en ge scolaire domicilis dans la commune, que lui transmettent les organismes chargs du versement des prestations familiales, les chefs dtablissement scolaire et linspecteur dacadmie. Un tel fichier peut tre cr selon quatre finalits : recenser les enfants de la commune soumis lobligation scolaire ; prendre connaissance des informations relatives tout dfaut dassiduit scolaire ; connatre de toute exclusion temporaire ou dfinitive de ltablissement ; connatre du fait quun lve quitte un tablissement en cours ou en fin danne. Les familles concernes doivent tre informes des modalits de mise en uvre du traitement.

24
Comment grer un dispositif de golocalisation pour les vhicules de la collectivit ?
Les collectivits locales grant une flotte de vhicules professionnels (entretien despaces publics, interventions sur la voirie, transports scolaires) peuvent vouloir les quiper dun dispositif de golocalisation en temps rel. Ce qui permet de savoir o se trouvent le conducteur du vhicule et ses passagers, et de tracer ainsi les dplacements des personnes. La norme simplifie 51 prcise le cadre dun tel dispositif. Plusieurs objectifs sont envisageables : la scurit des personnes et des marchandises transportes ; la gestion des moyens en personnel et vhicules lorsquune prestation doit tre accomplie en des lieux disperss ; le suivi et la facturation dune prestation ; le suivi du temps de travail lorsque celui-ci ne peut tre ralis par dautres moyens. Lutilisation dun dispositif de golocalisation ne doit pas conduire un contrle permanent de lagent (dsactivation hors des horaires de travail et lors de la pause djeuner ; protection de lagent exerant son mandat lectif ou syndical). Les instances reprsentatives du personnel doivent tre consultes et les agents concerns informs individuellement.

Finalits

Si ce traitement comporte des apprciations sur les difficults sociales des personnes, il devra faire lobjet dune demande dautorisation. Dans le cadre du conseil pour les droits et les devoirs des familles (CDDF), des informations caractre confidentiel peuvent tre partages entre les professionnels de laction sociale, soumis au secret professionnel, le maire et le prsident du conseil gnral. (art. L.121-6-2 du CASF).

Donnes techniques

25
Quelles informations les espaces publics numriques (EPN) doivent-ils conserver ?
Un EPN, ds lors quil offre un accs au rseau internet au public, est considr par la loi comme un oprateur de communications lectroniques. A ce titre, le responsable de cet espace public est soumis une obligation de conserver les donnes de trafic . Ces donnes sont les informations techniques gnres par lutilisation des rseaux de communication tels quInternet, et notamment ladresse IP de lordinateur utilis (numro identifiant chaque ordinateur connect Internet) ; la date, lheure et la dure de chaque connexion ; ou encore les informations permettant didentifier le destinataire dune communication (ex. : le numro de tlphone appel). Conformment larticle L.34-1 du Code des postes et des communications lectroniques, lEPN doit conserver les donnes techniques (dtailles par larticle R.10-13 du Code des postes et des communications lectroniques) pendant une dure dun an compter de leur enregistrement. Toutefois, la CNIL considre que la collectivit fournissant un accs Internet ses employs nest pas concerne par cette obligation de conservation des donnes de trafic.
Le Courrier des maires N249 Septembre2011
l l

26
Quelles rgles sappliquent la vidoprotection ?
Lorsque le dispositif de vidoprotection est install dans un lieu public (sur le territoire dune commune) ou dans un lieu ouvert au public (le guichet dune mairie), il doit tre autoris par le prfet (art. 10 de la loi n 95-73 du 21 janvier 1995 modifie). Le dispositif doit faire lobjet dune formalit dclarative auprs de la CNIL si les images sont enregistres ou conserves dans des traitements informatiss ou des fichiers structurs qui permettent didentifier des personnes physiques . Dans un lieu priv de la collectivit (parking rserv aux agents municipaux), il doit faire lobjet dune dclaration normale auprs de la CNIL, qui doit alors prciser : la dure de conservation des images (maximum un mois) ; les destinataires des images (limits aux seules personnes habilites en fonction de leur besoin den connatre) ; les modalits dinformation des personnes filmes ou susceptibles de ltre (affiches apposes de faon permanente lentre des locaux), ainsi que les modalits dexercice du droit daccs ouvert aux personnes concernes.

Lutilisateur dun rseau de communication lectronique faisant lobjet dun dispositif de surveillance doit tre inform de la traabilit de sa navigation. Seules les personnes habilites par la loi peuvent demander la communication de ces donnes techniques, notamment les autorits judiciaires (exemple : lutte contre le tlchargement illgal, dcret n 2011-219 du 25 fvrier 2011). Aucune information relative au contenu des changes ne doit tre conserve. Il nexiste pas dobligation de relever et conserver lidentit des utilisateurs pour fournir une connexion.

Vidoprotection
La loi LOPPSI du 14 mars 2011 donne la CNIL la comptence de contrler tous les systmes de vidoprotection installs sur le territoire national.

IX

DE 28 35 LUTILISATION DES FICHIERS PAR LES COLLECTIVITS

27
Tlservice
Le tlservice doit satisfaire 3 critres (ordonnance n 2005-1516 du 8 dcembre 2005) : tre propos par Internet ; tre propos par lAdministration, y compris les organismes de droit priv chargs dune mission de service public ; et tre destination des usagers du service public, en leur permettant de procder en ligne des dmarches administratives. Comme pour lapplication mtier, bien souvent dj dclare, le tlservice devra galement faire lobjet de formalits pralables auprs de la CNIL. Sil sagit daccs un tlservice local via le portail mon.servicepublic ( MSP ), un engagement de conformit larrt portant extension aux collectivits locales du primtre de www.mon.servicepublic.fr suffira.

28
Les lus peuvent-ils utiliser les fichiers administratifs de la collectivit pour la communication politique ?
Non. Les fichiers mis en uvre par les collectivits locales tels que les registres dtat civil, les fichiers de taxes et redevances, les fichiers daide sociale, les fichiers des inscriptions scolaires, les adresses ventuellement collectes depuis un site web institutionnel et, dune faon gnrale, les fichiers dadministrs, ne peuvent pas tre utiliss des fins de communication politique.
ATTENTION Lutilisationdesdonnespersonnellespourdautres finalitsquecellespourlesquellesellesonttcollectes constitueundtournementdefinalit.Cequiestpuni decinqansdemprisonnementetde300000damende (cf.article34delaloiinformatiqueetlibertsetarticle22621duCodepnal).

Quelles rgles sappliquent aux tlservices ?

Le tlservice a pour but de simplifier laccomplissement des formalits administratives. Les informations recueillies doivent tre pertinentes ; ne servir qu la finalit prsente lors de leur collecte, et ntre stockes que le temps ncessaire la transmission vers le service comptent pour les traiter. En outre, les changes de donnes doivent tre scuriss (par exemple, recourir une liaison chiffre en HTTPS). Si le tlservice ncessite lemploi dun identifiant propre chaque utilisateur (compte utilisateur associ un mot de passe personnel), sa mise en uvre par une collectivit relve du rgime de lavis pralable de la CNIL sur un projet dacte rglementaire (arrt municipal, du conseil gnral ou rgional ; ou encore dlibration du conseil dadministration dun tablissement charg dune mission de service public) (cf. art. 27-II-4 de la loi informatique et liberts).

29
Le maire peut-il utiliser la liste lectorale ?
Oui. Il peut mme lutiliser pour adresser des courriers des populations slectionnes en fonction de leur ge ou de leur adresse. En revanche, les tris oprs sur la consonance des noms des personnes sont susceptibles de faire apparatre les origines raciales, ethniques ou les appartenances religieuses, relles ou supposes, des intresss, ce qui est interdit (art. 226-19 du Code pnal). La CNIL considre de plus que les tris oprs sur le lieu de naissance des lecteurs ne sont pas justifis, car cette information figure sur les listes lectorales uniquement pour sassurer de lidentit de llecteur et viter toute fraude lors du scrutin. Les personnes concernes doivent tre informes de lorigine des informations ayant permis de les contacter et de la possibilit de se faire radier. Les traitements constitus partir des listes lectorales pour lenvoi dinformations municipales, lorsquils respectent le cadre fix par la dcision de dispense n 7, sont dispenss de dclaration. Sont galement dispenss de formalits pralables auprs de la CNIL, le fichier lectoral des communes et les listes complmentaires grs dans les conditions prvues par le Code lectoral et les textes spciaux rgissant les oprations lectorales (cf. dispense n 12).

30
Les communes peuventelles utiliser les donnes recueillies loccasion du recensement ?
Non. Les communes ou les tablissements publics de coopration intercommunale (EPCI) sont, depuis la loi du 27 fvrier 2002, chargs de la prparation et de la ralisation des enqutes de recensement. En liaison avec lINSEE, ils recrutent et forment les agents recenseurs, prparent sur le terrain la collecte des donnes, suivent lavancement de la collecte et participent au contrle de son exhaustivit. Ils ne sont pas pour autant habilits conserver et traiter pour leur propre compte, par exemple alimenter un fichier de population, les informations recueillies loccasion des oprations du recensement. Seul lINSEE peut tre destinataire de ces informations qui sont couvertes par le secret statistique.

Listes lectorales

Les articles L.28 et R.16 du Code lectoral permettent tout lecteur dobtenir communication de toute liste lectorale, la seule condition de ne pas en faire un usage purement commercial . Aucune disposition ne subordonne la transmission des informations correspondantes au recueil du consentement de chaque lecteur, ni ne lui permet de sy opposer (ex. : organisation des primaires du parti socialiste).

Le Courrier des maires N249 Septembre2011

l l

DE 28 35 LUTILISATION DES FICHIERS PAR LES COLLECTIVITS

31
Le maire peut-il utiliser le fichier dtat civil pour adresser flicitations ou condolances ?
Non. Le maire, en tant que reprsentant de lEtat, est responsable de la tenue des registres dtat civil dans sa commune. Les informations enregistres par les services dtat civil loccasion de ltablissement ou de lactualisation dun acte ne peuvent tre utilises que pour laccomplissement des missions dont sont investis les maires en leur qualit dofficier de ltat civil. Elles ne peuvent donc pas tre utilises par les lus municipaux pour adresser des flicitations ou des condolances.
A NOTER Cesinformationsnepeuventparailleurstrediffuses, danslapresseousurtoutautresupport,quesilespersonnesconcernesont,aumomentdeltablissement delacte,donnleuraccord.

32
Une commune peut-elle constituer un fichier de ses administrs ?
Il nexiste pas en France dobligation de dclarer son domicile ou de se faire recenser en mairie, sauf dans deux cas bien particuliers : les trangers, dune part, et les personnes rsidant en Alsace-Moselle, dautre part. La CNIL a par consquent toujours considr que la mise en place par une commune dun fichier visant recenser ses administrs devait respecter lensemble des conditions de la loi informatique et liberts : dfinition dune ou de finalits (ex. : communication municipale, recensement des besoins en quipements collectifs) ; collecte loyale et licite (ex. : utilisation de la liste lectorale ou du fichier des nouveaux voisins de La Poste, distribution de questionnaires) ; pertinence des donnes par rapport la finalit dfinie (limites en gnral lidentit, la date ou lanne de naissance et ladresse) ; information des personnes concernes et possibilit pour celles-ci dexercer leur droit dopposition. Linscription dans un tel fichier ne peut en effet constituer une obligation pour les administrs. Ainsi, un annuaire listant des habitants ne peut tre tabli et diffus quavec le consentement de chacun.

33
A quoi peut servir le fichier des logements vacants ?
Les informations relatives aux logements vacants (norme simplifie 49) recenss par ladministration fiscale pour ltablissement de la taxe dhabitation peuvent tre transmises aux collectivits territoriales afin de favoriser la politique sociale daide au logement. Les fichiers mis en place par les collectivits ne peuvent servir que pour lenvoi aux propritaires de logements inoccups de courriers les informant des aides la rhabilitation des logements et leur remise sur le march, ou bien de questionnaires pour dterminer les causes de la vacance ou son volution. Toute utilisation de ces informations dautres fins, notamment commerciales, est exclue. Les donnes ne sont pas conserves au-del de la phase dexpdition des courriers personnaliss, sauf si le responsable du traitement prvoit de demander plusieurs annes de suite la version actualise du fichier des logements vacants pour lenvoi de relances personnalises. Dans ce cas, seule la dernire version du fichier est conserve. Le courrier adress au propritaire doit comporter une information claire sur les objectifs poursuivis ainsi que sur les modalits dexercice des droits daccs, de correction et dopposition.

34
quoi sert le fichier des associations ?
Il permet la mairie de suivre loctroi des subventions aux associations bnficiaires et lutilisation quelles en font. Conformment larticle L.1611-4 du CGCT, toute association ayant reu une subvention durant lanne est tenue de transmettre la commune qui la subventionne la copie certifie de son budget, celles des comptes de lexercice coul, et de lui communiquer tout document faisant apparatre les rsultats de lactivit de lassociation. Le Conseil dEtat a en revanche jug, dans un arrt du 28 mars 1997, quun maire ne peut pas demander une association la liste nominative de ses adhrents, mme si cette transmission est assortie de linterdiction faite la commune den garder copie. Une telle pratique mconnatrait en effet le principe constitutionnel de la libert dassociation. Toutefois, la commune peut, dans le cadre dun contrat dobjectifs pass avec lassociation, dfinir des modalits de certification du nombre dadhrents ou de leur origine gographique (commune ou hors commune) sans communication des noms des personnes.

Associations

Le fichier des associations de la commune doit faire lobjet dune dclaration normale la CNIL sauf si un CIL a t dsign ou sil se limite au recensement des associations de la commune (dans ce dernier cas : dispense de dclaration n 8).

Le Courrier des maires N249 Septembre2011

l l

XI

DE 36 50 LES FORMALITS DE DCLARATION LA CNIL

35
Quelles prcautions prendre avant de diffuser les PV dun organe dlibrant ?
Diffusion sur Internet par la collectivit. Selon larticle 7 de la loi CADA du 17 juillet 1978, ces documents administratifs ne peuvent tre rendus publics quaprs avoir fait lobjet dun traitement destin occulter les donnes caractre personnel qui sy trouvent ou rendre impossible lidentification des personnes qui y sont nommes (tat de sant dun fonctionnaire territorial, situation personnelle, contentieux administratif en cours). Ces mmes prcautions sappliquent dans lhypothse o serait diffus sur Internet un enregistrement vido dune sance de lorgane dlibrant. Diffusion sur Internet par un tiers. Le CGCT (art. L.2121-18), et la jurisprudence administrative reconnaissent aux conseillers municipaux comme aux membres de lassistance le droit denregistrer les dbats de lorgane dlibrant. Le maire notamment ne peut sopposer lenregistrement ds lors quil nest pas de nature troubler le bon ordre des travaux.

36
Pourquoi, quand et qui doit dclarer les fichiers de donnes personnelles ?
La dclaration des fichiers comportant des donnes personnelles est une obligation lgale (art. 22 de la loi), qui a plusieurs objectifs : elle permet la CNIL de sassurer que le fichier mis en uvre est conforme la loi ; cest une mesure de transparence vis--vis des administrs ; la dclaration a une valeur pdagogique pour le responsable de traitement. En ce sens, elle participe la sensibilisation aux principes de protection des donnes ; cest un lment de scurit juridique, notamment pour les lus dont la responsabilit pnale peut tre engage. Le principe pos par la loi est que la dclaration doit tre pralable la mise en uvre du traitement. En pratique, une rgularisation est possible nimporte quel moment. Qui doit dclarer ? Le responsable juridique de lorganisme qui dcide de crer le fichier. Il sagit de lorgane excutif dune collectivit (ex. : maire ou prsident de lEPCI concern).

Droit denregistrer

Cette possibilit nemporte pas autorisation de diffusion sans respecter les dispositions de la loi informatique et libert. Ainsi, toute personne filme peut sopposer pour des motifs lgitimes ce que des donnes la concernant fassent lobjet dune telle diffusion en ligne.

37
Quel fichier dclarer la CNIL ?
Tout fichier informatis contenant des donnes qui concernent et permettent didentifier directement ou indirectement des personnes physiques (nom, adresse postale, adresse lectronique, numro de tlphone). La CNIL tient la disposition du public la liste des traitements automatiss qui lui ont t dclars et qui mentionne leurs principales caractristiques (cf. article 31 de la loi informatique et liberts). Cette liste peut tre demande par toute collectivit dsireuse de sassurer quelle a bien dclar tous ses fichiers, mais aussi par tout administr soucieux de vrifier que les informations qui lui sont demandes lors dune dmarche administrative vont alimenter un fichier dclar.
ATTENTION Poursimplifierlesprocdures,laloiadispenscertains fichierslespluscourantsdedclaration.Ainsi,avant deffectuerunedclaration,ilconvientdevrifierque lefichierconcernnestpasexonrdedclaration(www. cnil.fr,rubriqueDclarer).Cequinedispenseenriende respecterlesdispositionsdelaloiinformatiqueetliberts. Ladsignationduncorrespondantinformatiqueetliberts (CIL)dispensededclarerlaCommissionuncertain nombredefichiers.

38
Comment dclarer un fichier la CNIL ?
Depuis mars 2010, toutes les formalits auprs de la CNIL peuvent tre ralises en ligne depuis le site www.cnil.fr. Dsormais, un formulaire spcifique est propos pour chacune des procdures prvues par la loi informatique et liberts. Les dclarants peuvent obtenir des renseignements tlphoniques en contactant la permanence de renseignements juridiques du lundi au vendredi de 10 h 12 h et de 14 h 16 h au 01.53.73.22.22 pour obtenir toutes informations utiles.

XII

Le Courrier des maires N249 Septembre2011

l l

DE 36 50 LES FORMALITS DE DCLARATION LA CNIL

39
Les traitements non automatiss ou manuels doivent-ils tre dclars ?
Ces traitements ne sont pas en principe soumis lobligation de dclaration. Toutefois, certains traitements non automatiss ou manuels, jugs sensibles , doivent faire lobjet dune demande dautorisation. Il sagit des traitements de donnes relatives aux origines raciales ou ethniques, aux opinions politiques, philosophiques ou religieuses, lappartenance syndicale, la sant ou la vie sexuelle des personnes. Labsence de dclaration ne dispense pas le dtenteur dun traitement manuel de respecter les grands principes de la loi (lgitimit de la finalit ; pertinence des donnes, des destinataires, et de la dure de conservation ; information des personnes concernes de leurs droits).

40
Quels sont les principaux traitements soumis une autorisation de la CNIL ?
Lautorisation concerne trois catgories de fichiers : ceux qui enregistrent les catgories de donnes suivantes : de donnes dites sensibles (numres larticle 8 de la loi : origine raciale ou ethnique ; opinion philosophique, politique, syndicale, ou religieuse ; vie sexuelle ou sant des personnes), de donnes biomtriques, de donnes gntiques (ADN), dinfractions, de condamnations ou mesures de sret (traitements des services de police municipale), le numro de Scurit sociale, dapprciations sur les difficults sociales des personnes. ceux qui poursuivent des finalits spcifiques : enqutes statistiques de lINSEE, traitements susceptibles dexclure du bnfice dun droit, dune prestation ou dun contrat (fichiers de parents mauvais payeurs des factures de cantine scolaire), interconnexion de fichiers dont les finalits principales sont diffrentes ou correspondent des intrts publics diffrents, traitements de recherche mdicale et dvaluation des pratiques de soins. ceux qui comportent des transferts de donnes hors de lUnion Europenne.

Autorisation

41
Et ceux soumis un avis de la CNIL ?
Ce sont des traitements mis en uvre par des organismes, publics ou privs, grant un service public et concernant : la sret de lEtat, la dfense ou la scurit publique ; la prvention, la recherche, la constatation ou la poursuite dinfractions pnales ou lexcution des condamnations pnales ou des mesures de sret (ex. : un fichier de gestion des contentieux) ; lutilisation du NIR (numro de Scurit sociale) ou la consultation du rpertoire national didentification des personnes physiques (RNIPP) (lorsque les organismes ne sont pas dj habilits) ; le recensement de la population (par lINSEE) ; les tlservices de ladministration lectronique utilisant un identifiant des personnes physiques. La CNIL doit se prononcer dans un dlai de deux mois, renouvelable une fois, compter de la rception de la demande. En labsence de rponse dans ces dlais, lavis est rput favorable.
A NOTER Lestraitementssoumisunedemandedavis delaCNILdoiventfairelobjetdunepublication. Unmodleestdisponiblesurwww.cnil.fr.

42
Existe-t-il des procdures de dclaration simplifies ?
Oui. La CNIL prconise des mesures de simplification pour les traitements les plus courants, par le biais de dcisions dautorisation unique (AU) ou dactes rglementaires uniques (RU). Par exemple, lautorisation unique AU-001 des traitements mis en uvre par les collectivits locales ou leurs groupements partir des donnes cadastrales pour des finalits limitativement numres (gestion foncire et urbanisme, amnagement du territoire, gestion des services publics de lassainissement non collectif), dcision qui concerne notamment les systmes dinformation gographique (cf. question 43). La CNIL a galement adopt un acte rglementaire unique RU-009 (cf. arrt du 14 avril 2009) pour les fichiers concernant la recherche et la constatation des infractions pnales. Les fichiers mis en uvre pour lexercice des autres missions de police municipale ou qui visent simplement faciliter la gestion de lactivit de ces services font lobjet dune autorisation unique de la CNIL en date du 10 juillet 2008 (AU-016) (cf. question 49).

A ct de la procdure de dclaration (sous forme complte ou simplifie), la loi informatique et liberts a prvu certains cas o une autorisation pralable de la CNIL est exige (art. 25). Il sagit dun rgime plus protecteur sappliquant aux fichiers considrs comme sensibles ou comportant des risques pour la vie prive ou les liberts. La CNIL doit se prononcer dans un dlai de deux mois, renouvelable une fois, compter de la rception de la demande. En labsence de rponse dans ces dlais, lautorisation est rpute rejete. Plus dinformations : www. cnil.fr, rubrique Dclarer .

Traitements courants

Les traitements conformes ces textes rglementaires peuvent faire lobjet dune dclaration allge, limage de la dclaration de conformit une norme simplifie.

Le Courrier des maires N249 Septembre2011

l l

XIII

DE 36 50 LES FORMALITS DE DCLARATION LA CNIL

43
Formalits
Pour recevoir pour la premire fois le CD-ROM, la collectivit doit fournir la DGFiP la copie du rcpiss de : la dclaration de conformit la norme simplifie n 44 (cadastre) ou la norme simplifie n 45 (rles des impts locaux), si lutilisation des donnes respecte le cadre fix par ces textes ; la dclaration normale dans les autres cas (ex. : mise en place dun observatoire fiscal) ; la dclaration de conformit lautorisation unique n 1 (AU-001) pour lexploitation des fichiers bruts du cadastre ( Majic3 ) en relation avec dautres types de donnes. Ces dclarations se font par tlprocdure depuis le site www.cnil.fr ( Dclarer ). Le rcpiss dlivr, communiqu aux services fiscaux pour obtenir les mises jour annuelles, doit tre conserv par la collectivit. Sil a t gar, il est possible dobtenir un duplicata.

44
Le site internet de la collectivit doit-il tre dclar ?
Les sites vitrines institutionnels sont en principe dispenss de dclaration, sils ont un but dinformation ou de communication externe et quils respectent les rgles prvues dans la dispense de dclaration n 7 adopte par la CNIL (site www.cnil.fr). Les sites internet qui ont un champ plus large (ex. : inscriptions des services administratifs par simple tlformulaire, diffusion dannuaires, etc.) doivent faire lobjet dune dclaration dite normale la CNIL (tldclaration sur le site de la CNIL), sauf si la collectivit a dsign un correspondant informatique et liberts (CIL). Enfin, les sites internet offrant aux usagers un tlservice administratif doivent faire lobjet dune demande davis pralable auprs de la CNIL (cf. question 27).

Faut-il dclarer chaque anne les fichiers du cadastre ou des rles des impts locaux pour obtenir les mises jour de la DGFiP ?
Non. Ils doivent tre dclars la CNIL lors de leur premire acquisition. Leur mise jour annuelle nest soumise aucune formalit supplmentaire, et le rcpiss dlivr reste valable tant que lutilisation des donnes est inchange. De la mme manire, le fait que les CD-ROM VisDGI aient t rebaptiss Visu-DGFiP est sans incidence sur leur contenu. Ou encore, la modification des donnes Majic2 en Majic3 na pas non plus tre notifie la CNIL. Les collectivits qui reoivent pour la premire fois ces CD-ROM, ou qui nont pas dclar les versions prcdentes, doivent effectuer des formalits auprs de la CNIL, sauf si elles ont dsign un CIL.

45
Dans quel cas doit-on modifier une dclaration ?
Il faut signaler la CNIL toute modification substantielle du traitement. On considre comme substantielle une modification portant sur les coordonnes de lorganisme dclarant, la finalit du traitement, les informations enregistres ainsi que les destinataires. En revanche, le changement dun dirigeant de la collectivit nest pas considr comme substantiel. Cette modification se fait par courrier (cf. modle de courrier sur www.cnil.fr).

46
Faut-il dclarer la transmission informatique des actes de dcs ?
Le transfert par voie lectronique des actes de dcs la direction gnrale des finances publiques (DGFiP) est prvu par la norme simplifie n 43 adopte par la CNIL, relative la gestion de ltat civil. Ce texte prend acte de ce que cette transmission des actes de dcs est conforme larticle L.102 A du Livre des procdures fiscales. Les modalits du transfert des informations ntant pas prcises, la transmission dmatrialise est considre comme couverte. Doivent nanmoins tre respectes les exigences de scurit lies cette dmatrialisation, notamment lobligation de chiffrer les donnes transmises par Internet et didentifier les expditeurs et destinataires. Une dclaration simplifie, en rfrence la norme 43, devra tre effectue auprs de la CNIL, sauf si la collectivit a dsign un correspondant informatique et liberts (CIL).

XIV

Le Courrier des maires N249 Septembre2011

l l

DE 36 50 LES FORMALITS DE DCLARATION LA CNIL

47
Faut-il dclarer les traitements mis en uvre dans le cadre des systmes dalerte de la population ?
Lefficacit des dispositifs dalerte repose sur ladhsion du plus grand nombre : leur mise en uvre doit tre prcde dune campagne dinformation sur lintrt de cette dmarche, pour la commune comme pour les administrs. Il est recommand de collecter les informations ncessaires (composition du foyer, coordonnes notamment tlphoniques) directement auprs des personnes concernes pour disposer de numros de tlphone fiables et dinformer les administrs de la constitution du fichier ainsi que du caractre facultatif de ce dispositif.
A NOTER Unedclarationdufichier(dclarationnormale) recensantlespersonnesprvenirenparticulier encasderisquenaturelouindustrieldoittre effectueauprsdelaCNIL(www.cnil.fr,rubrique Dclarer),saufsilacollectivitadsignunCIL.

48
Les registres de recensement des personnes fragiles en cas de risques exceptionnels doivent-ils tre dclars ?
Les registres prvus par larticle L.121-6-1 du Code de laction sociale et des familles pour favoriser lintervention des services sociaux auprs des personnes fragiles (personnes ges ou handicapes) en cas de risques exceptionnels (par exemple, en cas de canicule) sont exonrs de dclaration. Toutefois, la dlibration n 04-058 de la CNIL (publie sur son site internet) prcise le cadre du traitement opr, et notamment la pertinence des informations collectes. Ce qui exclut toute donne de sant, tout au plus, la capacit de mobilit physique peut tre dcrite afin de prvoir les modes dvacuation et le matriel de premiers secours.

49
quel type de formalits sont soumis les fichiers grs par la police municipale ?
La mise en uvre de traitements de donnes caractre personnel par les services de police municipale obit un cadre juridique dfini conjointement par les ministres de lIntrieur, de la Justice et la CNIL. Larrt du 14 avril 2009* (RU-009) dfinit les rgles de fonctionnement des fichiers mis en uvre par les communes ds lors quils ont pour objet la recherche et la constatation des infractions pnales. Les fichiers des autres missions confies par les maires aux services de police municipale ou qui visent simplement faciliter la gestion de lactivit de ces services font lobjet dune autorisation unique de la CNIL, en date du 10 juillet 2008 (AU-016). Le dveloppement de logiciels mtier et, plus gnralement, la mise en place de tout traitement de donnes caractre personnel par les services de police municipale, sont donc subordonns lenvoi pralable la CNIL dun engagement de conformit aux dispositions du RU-009, dune part, et celles de lAU-016, dautre part. *Publi au JO du 5 juin 2009, p. 9233

50
Comment dclarer les traitements de gestion du personnel ?
Les traitements mis en place par une collectivit pour la gestion de son personnel doivent faire lobjet de dclarations auprs de la CNIL. Une exception : le fichier de la paie exonr de dclaration par la dispense n 1. La Commission a, pour les traitements les plus courants, adopt les normes simplifies suivantes : n 42 pour les contrles daccs aux locaux, des horaires et de la restauration ; n 46 pour la gestion courante des RH (gestion administrative, carrires et formation ; mise disposition doutils informatiques) ; n 47 pour la gestion des services de tlphonie fixe et mobile ; et n 51 pour la golocalisation des vhicules utiliss par les employs (cf. question 24). Lautorisation unique n 10 encadre le recouvrement des contraventions routires ; les autorisations uniques n 7, 8, 19 et 27 visent la biomtrie. Si les traitements respectent le cadre juridique fix par la norme concerne, un engagement de conformit de la collectivit suffit.

Personnel

Doivent faire lobjet dune dclaration normale les traitements mis en uvre dans le cadre de la cybersurveillance des salaris (contrle de lutilisation dInternet et/ou de la messagerie lectronique, contrle de lactivit du salari).

Le Courrier des maires N249 Septembre2011

l l

XV