Fermer

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement

Menu

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement

Société numérique

Données personnelles : 5 règles à respecter pour protéger les citoyens

Publié le 04/09/2015 • Par Claire Chevrier • dans : Dossiers d'actualité

Les données à caractère personnel sont soumises à un régime juridique particulier et la Commission nationale de l’informatique et des libertés veille à sa bonne application. Le point de 5 règles à respecter par les collectivités pour un bon usage des données personnelles.

Ne pas être conforme aux exigences de la loi « informatique et libertés » expose toute collectivité à différents risques. La Cnil peut prononcer des sanctions, et la collectivité être poursuivie au pénal. Le plus gros risque est celui de dégrader son image, donc la confiance des administrés. C’est pourquoi, avant la mise en place de tout nouveau traitement, mieux vaut se demander si des données à caractère personnel seront utilisées. Si le type de traitement est répandu, il est probable que la Cnil aura publié une norme simplifiée ou une autorisation unique donnant les règles à respecter en fonction de la finalité. Pas besoin alors de faire une demande d’autorisation. Dans tous les cas, les grandes règles suivantes doivent être respectées…

1 – Finalité et proportionnalité

« Les données traitées doivent avoir un objectif clair et déterminé. On ne peut pas créer un fichier avec tous ses administrés parce que c’est plus facile. Les données sur l’état civil, le cadastre, les impôts locaux, la vidéosurveillance ne peuvent être une seule et même base », explique Emile Gabrié, chef du service du secteur régalien et des collectivités locales à la direction de la conformité à la Cnil.

C’est le principe de finalité : les données à caractère personnel sont recueillies et traitées pour un usage déterminé et légitime. « Le croisement de données entre différents services n’est pas autorisé. Il faut donc sensibiliser les agents sur le fait qu’ils ne peuvent transférer un fichier à un collègue d’un autre service », prévient Christophe Provot, chef du service « informatique, bureautique et communication » à Vitry-sur-Seine (88 100 hab., Val-de-Marne).

Par ailleurs, la collecte d’une donnée doit être justifiée : c’est la proportionnalité. Par méconnaissance, les agents ont souvent tendance à demander beaucoup trop d’informations. Ainsi, s’ils veulent faire des statistiques sur l’âge, pas besoin d’exiger la date de naissance, un système par tranches d’âge est largement suffisant.

2 – Durée de conservation

« La durée de conservation doit être adaptée à la finalité. On ne peut pas garder, par exemple, des données à caractère personnel sur la prévention de la délinquance pendant quarante ans ! En fonction du thème traité, nous avons des normes simplifiées ou des décisions qui précisent les durées adaptées », souligne Emile Gabrié.

La Cnil préconise une conservation d’un mois pour les enregistrements de vidéosurveillance et de deux ans à compter du versement de la dernière aide pour le fichier d’aide sociale. Ensuite, si besoin, les données seront archivées, et ne feront plus l’objet de traitements. Attention aux logiciels métiers qui ne prévoient pas la possibilité de purger le système régulièrement de ses données à caractère personnel…

3 – Sécurité et confidentialité

Au vu du nombre d’attaques pirates dont les collectivités sont victimes, l’enjeu de la sécurisation des données à caractère personnel est de plus en plus important. Cette sécurisation passe notamment par le respect du référentiel général de sécurité. De plus, seuls les agents habilités ont accès aux données. Et, pour être habilité, il faut participer à la finalité du traitement. Par ailleurs, en cas de partage de données avec un sous-traitant, il est recommandé de procéder à l’envoi par message crypté, sur une adresse email qui n’est pas générique.

Si la collectivité a recours au « cloud computing » pour héberger ses données, elle doit vérifier que les serveurs de son prestataire sont bien implantés dans l’Union européenne. Car, en dehors de cette zone, la notion de propriété des données peut différer.

Côté sécurité, la Cnil historiquement formulait des recommandations précises aux collectivités sur les dispositifs à mettre en œuvre. Mais, depuis l’arrêté « téléservices » du 4 juillet 2013, les moyens utilisés pour garantir cette sécurité sont laissés à l’appréciation des organismes publics. A eux de procéder à une analyse des risques et d’indiquer ce qu’ils mettent en place pour les réduire. Cela préfigure ce qui sera demandé par le nouveau règlement européen en cours d’adoption.

A lire aussi Plusieurs milliers de sites Internet de communes mal sécurisés

4 – Respect du droit des personnes

Les personnes auprès desquelles des données sont collectées doivent être informées de la finalité du traitement et savoir si le recueil des informations est obligatoire ou facultatif. Il faut également que les usagers et les agents puissent accéder à toutes les informations que détient la collectivité sur eux dans ses fichiers et, si besoin, aient la possibilité de demander leur rectification. Enfin, ils peuvent s’opposer à figurer dans des fichiers s’ils invoquent un « motif légitime ». Seule exception : les fichiers ayant un caractère obligatoire, comme celui de l’état civil.

La grande majorité des collectivités ont intégré les mentions d’information sur leurs formulaires et leurs questionnaires. « Si l’usager refuse le traitement informatique de ses données, la collectivité se doit de lui expliquer l’impact de ce refus. Il en est de même pour les informations collectées quand certaines sont obligatoires. Si l’usager refuse, la collectivité ne pourra alors pas instruire sa demande. Ces cas sont très rares et, lorsque l’on explique les impacts sur l’instruction du dossier, les personnes comprennent », tempère Virginie Langlet, correspondante informatique et libertés du conseil départemental des Alpes-Maritimes.

A lire aussi [Carte] Protection des données personnelles : y a-t-il un CIL près de chez vous ?

5 – Le CIL

Nommer un correspondant informatique et libertés n’est pas encore obligatoire mais devrait le devenir dans le cadre du nouveau règlement européen. Cependant, disposer d’un CIL en interne, en externe ou mutualisé entre plusieurs collectivités permet d’avoir une personne clairement identifiée chargée de tous les aspects relatifs aux données à caractère personnel : le CIL mène l’inventaire de tous les traitements utilisés, vérifie leur conformité, sensibilise les agents et les élus aux grandes règles à respecter…

Par ailleurs, les organismes ayant nommé un CIL au sens du décret du 20 octobre 2005 n’ont quasiment plus aucune déclaration à faire et bénéficient d’un service dédié à la Cnil qui permet d’obtenir la position de la commission plus rapidement.

La Cnil a également lancé le label « Gouvernance informatique et libertés ». « Même si une collectivité locale n’est pas prête à le demander, ce label lui servira de guide voire de schéma directeur en vue de la conformité », estime Virginie Langlet. Il permettra aux collectivités qui l’obtiendront de convaincre les citoyens qu’ils peuvent leur faire confiance quant à leur manière d’appréhender les données à caractère personnel.

Bientôt un nouveau règlement européen

Un nouveau règlement européen en matière de protection des données à caractère personnel pourrait être adopté d’ici à la fin de l’année. Directement applicable dans les Etats membres, il prévoit la nomination de délégués à la protection des données, nouvelle mouture des correspondants informatique et libertés. On devrait aussi passer d’une logique de déclaration des traitements à une obligation de documenter la manière dont on assure la conformité au jour le jour. Le contrôleur n’aura pas à démontrer qu’il y a une défaillance, c’est l’organisme contrôlé qui devra prouver qu’il a réellement mis en place les dispositifs adéquats. Le Conseil des communes et régions d’Europe s’inquiète cependant « des coûts disproportionnés et des lourdeurs administratives » que ce règlement pourrait entraîner pour les collectivités et demande à ce qu’elles ne soient pas traitées comme les géants de l’internet.

 

Les contrats de DSP revus

Bordeaux métropole (Gironde) • 28 communes • 724 200 hab.

Etant propriétaire du système billettique de son réseau de transport, Bordeaux métropole est responsable de tous les traitements de données à caractère personnel issus de ce système, même s’ils sont effectués par son délégataire. En effet, « si la collectivité choisit librement le délégataire pour effectuer une prestation selon des modalités déterminées et avec un cahier des charges précis, on considère qu’elle est la responsable du traitement, le délégataire s’apparentant alors à un sous-traitant. A l’inverse, si le délégataire ne se voit pas imposer de contraintes particulières et détermine lui-même les modalités du traitement, il en est considéré comme responsable », explique Gurvan Quenet, correspondant informatique et libertés et responsable de la sécurité des systèmes d’information. Il a recensé avec son délégataire tous les traitements pour lesquels la métropole était responsable. Dès qu’un nouveau traitement est mis en œuvre, il est prévenu. « Nous mettons alors en place les mêmes processus qu’en interne pour voir si le traitement est proportionné et vérifier sa finalité. » De plus, la métropole a demandé à son délégataire d’établir un plan « assurance sécurité » pour ses données. Les mêmes procédures ont été négociées pour la délégation de service public (DSP) portant sur l’assainissement, il y a trois ans. Ce sera le tour de l’eau en 2022. Car, souvent, l’introduction des clauses spécifiques n’est possible que lorsque la DSP est remise en jeu.

A savoir : contrôles de la Cnil

Dans son programme de contrôles 2015, la commission prévoit notamment de regarder plus particulièrement les objets connectés de santé et de bien-être, mais aussi les outils de mesure de fréquentation des lieux publics basés sur les connexions aux bornes GSM et wifi. Ces contrôles aideront à donner de grandes règles.

Réagir à cet article

Nos offres d'emploi

Plus de 1000 offres d'emploi !

TOUTES LES OFFRES D'EMPLOI

Aujourd'hui sur les clubs experts gazette

Nos services

Prépa concours

CAP

Évènements

Gazette

Formations

Gazette

Commentaires

Données personnelles : 5 règles à respecter pour protéger les citoyens

Votre e-mail ne sera pas publié

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement
 
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d'intérêt. OK En savoir plus X