Les communes doivent suivre les recommandations de la CNIL en cas de traitement d’informations personnelles relatives à la prévention de la délinquance Abonnés
Auparavant, l’autorisation unique (AU 38) encadrait tous les traitements de données personnelles mis en œuvre dans le cadre de la prévention de la délinquance. Avec l’entrée en vigueur du règlement général sur la protection des données (RGPD), le régime de l’autorisation unique n’est plus applicable, mais reste néanmoins un cadre de référence très utile sur lequel les communes peuvent s’appuyer pour vérifier la conformité de leurs traitements.
La CNIL a mené récemment plusieurs contrôles de fichiers informatiques dans des communes. Ces contrôles ont mis en évidence la récurrence de certains manquements. La CNIL a donc mis en ligne une fiche pratique qui recense les illégalités constatées et, surtout, qui précise les bonnes pratiques à mettre en œuvre.
La commune doit s’assurer de la nécessité de collecter les données
La CNIL a constaté des collectes systématiques des données sensibles ou des données relatives à des infractions, des condamnations et des mesures de sûreté. Or, les communes doivent collecter ces données seulement lorsqu’elles sont indispensables pour le suivi de la personne concernée. Par exemple, pour l’examen de la situation d’un mineur condamné à effectuer des travaux d’intérêt général, le motif de la condamnation n’est pas nécessaire à la mise en œuvre du suivi. Dès lors, la commune doit s’assurer de la stricte nécessité de collecter chaque catégorie de données compte tenu des objectifs du suivi.
Privilégier les fiches individuelles de suivi aux fichiers collectifs
La CNIL a constaté l’insertion de champs « motif du signalement » ou des zones de commentaires libres dans les fiches de suivi, mais sans que leur contenu soit contrôlé. Or, l’usage de champs libres favorise la collecte excessive de données. Par exemple, la CNIL a constaté que les champs « motifs du signalement » entraînent parfois l’insertion de données issues de fichiers de police comme le Traitement d’antécédents judiciaires (TAJ) alors que les communes ne doivent pas avoir accès à ce traitement. La CNIL a également relevé, dans certains cas, des commentaires subjectifs ou inappropriés.
La CNIL recommande donc de privilégier les fiches individuelles de suivi aux fichiers collectifs (du type tableur), en déterminant un format unique de fiche individuelle. Ces fiches de suivi seront conçues pour minimiser la collecte d’informations. Le recours à des cases à cocher avec une liste de choix prédéfinis concernant l’origine du signalement (police nationale, bailleurs sociaux, établissement scolaire…) plutôt que des zones de commentaire libre est également une bonne pratique à adopter. Si le recours à des zones de commentaire libre est absolument nécessaire, leur contenu doit être strictement contrôlé, en rappelant régulièrement des consignes aux personnes chargées de les remplir.
La commune doit déterminer des durées très courtes de conservation des données
Dans certaines communes, les données sont conservées sans limitation de durée. Or, elles doivent être conservées le temps strictement nécessaire au suivi de la personne concernée.
La CNIL recommande donc de définir des durées de conservation très strictes, le cas échéant avec des mécanismes de purge automatique. La gestion des durées de conservation peut être facilitée en proscrivant le recours à des fichiers collectifs de suivi. Les fiches individuelles de suivi permettent également d’avoir une politique fine de gestion des durées de conservation en indiquant les dates de fin de suivi. Après la fin du suivi, les données peuvent être archivées avec des restrictions d’accès, pendant 3 ans maximum.
Prévenir les personnes concernées qu’elles font l’objet d’une collecte de données
La CNIL a également observé une absence d’information des personnes concernées du traitement de leurs données. Or, la commune doit informer toute personne qu’elle fait l’objet d’un traitement de données aux fins de prévention de la délinquance.
La CNIL recommande de prévoir un double niveau d’information. D’une part, le site internet de la commune peut comporter une rubrique spécifique relative aux dispositifs de prévention de la délinquance, qui informe de façon collective les administrés de l’existence de traitements de données à caractère personnel. D’autre part, la commune doit informer de manière individuelle les personnes concernées. Cette information doit intervenir avant la réunion d’examen de la situation de la personne ; une information au moment de la mise en place du suivi social est déjà trop tardive. Concrètement, il s’agit d’adresser un courrier à la personne concernée et, le cas échéant, à son représentant légal.
La commune doit sécuriser l’accès aux données
L’accès aux données est strictement limité aux personnes légitimes à en connaître compte tenu de leurs fonctions. Dès lors, il convient de définir des politiques de sécurité destinées à garantir la confidentialité des données. Le maire doit donc désigner les personnes habilitées à accéder aux données et mettre en œuvre des protections physiques (armoires sécurisées par exemple) et logiques (codes d’accès) adéquates. L’échange des informations entre les différents acteurs intervenant dans l’examen des situations individuelles doit également être sécurisé, en chiffrant ou en protégeant par mot de passe les fichiers échangés. Enfin, les communes doivent mettre en œuvre des mesures de traçabilité des accès aux données afin de détecter les accès illégitimes.
Important : réaliser une analyse d’impact sur la protection de ces données sensibles.
La fiche pratique de la CNIL peut être consultée sur le site www.cnil.fr. La CNIL délivre également des conseils juridiques téléphoniques gratuits tous les jours de 10h à 12h et de 14h à 16h. CNIL, 3, place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07, téléphone : 01 53 73 22 22.
Jean-Philippe Vaudrey le 01 avril 2020 - n°50 de Police municipale et Pouvoirs de police du maire
- Conserver mes publications au format pdf help_outline
- Recevoir par mail deux articles avant le bouclage de la publication.help_outline
- Créer mes archives et gérer mon fonds documentairehelp_outline
- Bénéficier du service de renseignements juridiqueshelp_outline
- Bénéficier du service InegralTexthelp_outline
- Gérer mon compte abonnéhelp_outline