Traitements informatiques - Renforcement des contrôles sur place des traitements mis en oeuvre par les collectivités
L'année 2008 a vu l'augmentation des contrôles en direction des collectivités territoriales se confirmer, comme l'indique le communiqué de la Cnil publié le 24 novembre 2008. Il semble que cette tendance doive se renforcer en 2009. La Cnil constate que la réglementation Informatique et Libertés n'est pas parfaitement assurée au sein des collectivités territoriales qui ont été contrôlée cette année. Les collectivités locales sont amenées à recourir de façon croissante aux moyens informatiques pour gérer les nombreux services dont elles ont la compétence : listes électorales, état civil, cadastres, inscriptions scolaires, action sociale, gestion foncière et urbanisme... Simultanément, les dispositifs de contrôle liés aux nouvelles technologies se multiplient, applications biométriques, géolocalisation ou vidéosurveillance. Des projets concernant des espaces numériques de travail ont également vu le jour au sein des collectivités, facilités notamment par le recours à internet qui permet également un développement des téléservices locaux de l'administration électronique à destination des administrés. L'ensemble de ces applications recense des informations à caractère personnel sur les personnes, administrés de la collectivité ou autres usagers.
Les maires et les présidents d'établissements publics de coopération intercommunale sont responsables de ces traitements informatiques et de la sécurité des données personnelles qu'ils contiennent. Dès lors, ils peuvent ainsi voir leur responsabilité, notamment pénale, engagée en cas de non-respect des dispositions de la loi. Les maires, surtout de petites communes, peuvent en toute bonne foi se rendre coupables d'une "utilisation injustifiée de fichiers", argumente Alex Turk lorsqu'il a incité les communes à opter pour l'adoption d'un CIL en janvier dernier. Les informations traitées par les collectivités de manière informatique dans le cadre de leurs missions de service public, qu'elles agissent pour l'État ou comme entités locales, doivent être protégées parce qu'elles relèvent de la vie privée et que leur divulgation peut porter atteinte aux droits et libertés des personnes concernées. La Cnil précise notamment qu'au terme de ses missions de vérification, elle a pu observer notamment l'absence d'accomplissement de formalités préalables pour certains de traitements mis en oeuvre, absence de durée de conservation des données collectées, information insuffisante des administrés sur leurs droits, voire mise en oeuvre de fichiers contraires à la loi (par exemple, constitution d'un fichier de population à l'insu des personnes). Les suites apportées à ces contrôles précise-t elle, peuvent, le cas échéant, donner lieu à un avertissement, rendu public ou non, une mise en demeure, voire une sanction pécuniaire. Il faut ajouter que la Cnil a déjà fait remarquer certains écarts s'agissant notamment de la question de la pertinence des données collectées, parfois excessives comme le numéro de sécurité sociale qui reste parfaitement encadré dans un périmètre délimité. La Commission a eu l'occasion de relever aussi l'insuffisance de sécurité des systèmes informatiques, tant au plan interne (gestion des mots de passe, accès non limités aux applications), que vis-à-vis des risques d'intrusion extérieure. La durée de conservation des données, pourtant obligatoirement limitée par la loi, est aussi rarement définie.
Emmanuel Walle, avocat / cabinet Alain Bensoussan