Urbanisme et SIG - La Cnil adopte une nouvelle décision unique d'autorisation
Les systèmes d'information géographique (SIG) utilisant des données cadastrales ou d'urbanisme bénéficient depuis décembre 2004 d'une procédure destinée à simplifier les formalités des traitements informatiques, la Commission nationale de l'informatique et des libertés (Cnil) considérant qu'ils peuvent faire l'objet d'une seule et unique autorisation.
Par une délibération du 5 décembre 2006, la Cnil vient d'adopter une nouvelle décision unique d'autorisation qui permet d'englober les SIG utilisés par les collectivités pour la gestion, non seulement de l'urbanisme, mais aussi du service public de l'assainissement non collectif (Spanc). Rappelons que ces SIG constituent des traitements relevant de l'article 25-I (3°) et (5°) de la loi du 6 janvier 1978 modifiée et doivent, à ce titre, être autorisés par la Cnil. Ils comportent en effet des interconnexions de fichiers correspondant à des intérêts publics différents et sont susceptibles de comporter des données relatives aux infractions en matière d'urbanisme.
Les responsables de traitement n'ont plus qu'à adresser à la Cnil un engagement de conformité, dès l'instant où leur SIG respecte le cadre fixé dans la nouvelle décision unique d'autorisation. Cette décision unique d'autorisation couvre uniquement les traitements répondant aux mêmes finalités et portant sur des catégories de données et des catégories de destinataires identiques. Elle exclut de son champs d'application les traitements mis en oeuvre par les communes se limitant à la consultation de la matrice cadastrale et à l'édition de relevés, sans possibilité d'enrichissement ni de retraitement des données, notamment l'utilisation des cédéroms VisDGI, de même que les traitements mis en oeuvre à partir des données cadastrales, comportant ou non un SIG, ne correspondant pas en tout point à la présente décision, de par ses finalités ou destinataires. Ces traitements devront donc faire l'objet d'une demande d'autorisation distincte.
Mesures de protection
En ce qui concerne ces "finalités", la Cnil en a expressément visé une dizaine, telles que l'établissement d'un inventaire du patrimoine foncier de la collectivité ou du plan local d'urbanisme, l'instruction des demandes de permis de construire ou encore la délivrance par les communes au propriétaire foncier du relevé de ses propriétés.
Les catégories de données à caractère personnel qui peuvent être enregistrées et traitées sont également limitées. Elles doivent bien entendu se rapporter au territoire de la collectivité ou du groupement de collectivités et ne peuvent pas, dans le cadre de la présente décision unique d'autorisation, faire l'objet d'autres traitements, ni être intégrées dans d'autres fichiers, ni faire l'objet d'interconnexions, de rapprochements ou de toute autre forme de mise en relation avec d'autres traitements que ceux correspondant aux finalités énumérées par la Cnil.
Les seules personnes autorisées à accéder directement au traitement sont le maire, le président de la collectivité, le président de l'EPCI. Mais aussi, pour les données dont ils font un usage habituel, les agents habilités des services en charge des études foncières ou d'aménagement, de l'instruction des dossiers de droit des sols, de l'urbanisme, des travaux de voirie et de l'assainissement non collectif. Dans l'hypothèse d'un SIG départemental ou intercommunal, les collectivités ou groupements de collectivités n'ont communication que des informations concernant leur territoire et relevant de leur compétence.
En cas de recours à un prestataire de service pour la réalisation d'études en matière d'urbanisme et d'aménagement du territoire, seules les données pertinentes pour la réalisation de l'étude peuvent être transmises par le responsable du traitement au prestataire, sous forme chiffrée et dans les conditions prévues par une convention signée à cet effet. Elles doivent être détruites ou restituées à la fin du contrat.
La Cnil donne également la liste des mesures de protection qui doivent être prises pour préserver la sécurité du traitement et des informations, empêcher toute utilisation détournée ou frauduleuse des informations, notamment par des tiers non autorisés, et en préserver l'intégrité (moyens d'authentification, chiffrement, journalisation des connexions...). Cette délibération du 5 décembre vient abroger celle du 14 décembre 2004.
Isabelle Pottier / Cabinet Alain Bensoussan
Référence : Délibération n° 2006-257 du 5 décembre 2006 portant autorisation unique de traitements de données à caractère personnel mis en oeuvre par les collectivités locales ou leurs groupements à des fins de gestion de l'urbanisme ou du service public de l'assainissement non collectif (et pouvant comporter un système d'information géographique).