Formations et audits Informatique et Libertés

Des professionnels en conformité Informatique et Libertés : formation, audit, formalités cnil, contrôle cnil et l’application Data Privacy Manager dédiée au CIL

Dictionnaire juridique

Communes : autorisation unique de la Cnil pour les traitements concernant les politiques locales de prévention de la délinquance

Vous êtes ici : Accueil > Actualités

samedi 2 août 2014

Le 22 juillet dernier la Cnil a publié une autorisation unique n°38 (AU-038) concernant les traitements de données relatifs aux personnes faisant l’objet d’un suivi par le maire dans le cadre de ses missions de prévention de la délinquance.

En effet, en application des articles L. 132-1 à L. 132-7 du code de la sécurité intérieure, le maire concourt à l’exercice des missions de prévention de la délinquance.

A ce titre, le maire peut mettre en place des groupes de travail et désigner un coordonnateur chargé d’animer la politique de prévention de la délinquance sur le territoire de la commune, auquel il peut déléguer ses pouvoirs en la matière.

De fait, les traitements de données à caractère personnel mis en œuvre par les maires dans ce cadre sont susceptibles de porter sur des données « sensibles », au sens de l’article 8 de la loi Informatique et Libertés du 6 janvier 1978 modifiée, relatives à des infractions, condamnations ou mesures de sûreté, ainsi que sur des données comportant des appréciations sur les difficultés sociales des personnes.

Dès lors, de tels traitements, justifiés par l’intérêt public, doivent préalablement à leur mise en œuvre être autorisés par la CNIL.

C’est pourquoi, la Cnil a adopté cette AU-038 afin d’encadrer ces traitements à risques, tout en facilitant leurs formalités préalables.

En effet, les maires ou les personnes qu’ils désignent à cet effet qui adresseront à la Cnil un acte d’engagement de conformité à l’AU-038 pour les traitements de données personnelles répondant strictement aux conditions fixées par cette décision seront autorisés à les mettre en œuvre.

En revanche, tout traitement de données à caractère personnel qui excède le cadre ou les exigences définis par cette autorisation unique devra faire l’objet d’une demande d’autorisation spécifique auprès de la Cnil (délai minimum de 2 mois d’instruction pour obtenir l’autorisation).

Concrètement, cette AU-038 couvre les traitements nécessaires au fonctionnement :

  • des groupes de travail et d’échange d’information à vocation territoriale ou thématique constitués dans le cadre des conseils locaux de sécurité et de prévention de la délinquance (CLSPD), prévus par l’article L. 132-5 du code de la sécurité intérieure, au sein desquels les échanges peuvent concerner des cas précis et des situations individuelles ;
  • du conseil pour les droits et devoirs des familles (CDDF), prévu par l’article L. 141-1 du code de l’action sociale et des familles, créé à l’initiative du maire par délibération du conseil municipal, qui en approuve le principe et en définit la composition.

Ces traitements ne peuvent poursuivre que les finalités suivantes :

  • le suivi des personnes faisant l’objet d’une ou plusieurs mesures dans le cadre des politiques locales de prévention de la délinquance au niveau des CLSPD ;
  • le suivi des personnes faisant l’objet d’une ou plusieurs mesures dans le cadre de la préparation et l’organisation des décisions du CDDF, dans sa mission d’aide et de soutien à la parentalité.

Dès lors, les traitements encadrés par cette autorisation unique ne peuvent pas :

  • servir à alimenter d’autres traitements, notamment des fichiers de renseignement sur la personne et sa famille, des fichiers de police judiciaire ou administrative (sauf dans les cas prévus par la loi) ;
  • servir de support pour la prise de décisions qui n’entreraient pas dans le champ de la prévention de la délinquance au sens de l’AU-038 et qui conduiraient à exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire.

Au niveau des données dites « sensibles » de l’article 8 de la loi du 6 janvier 1978 modifiée, celles-ci peuvent être traitées uniquement si elles sont nécessaires au suivi des personnes prises en charge dans le cadre d’un programme relatif à la prévention de la délinquance. Ainsi, elles ne doivent en aucun cas être systématiquement collectées.

Il en est de même pour les données relatives à des infractions, condamnations et mesures de sûreté, qui peuvent être traitées dans la stricte mesure où elles sont nécessaires à la mise en œuvre du suivi et de l’accompagnement de la personne concernée.

Enfin pour les données comportant des appréciations sur les difficultés sociales des personnes concernées, et en particulier des informations sur leur environnement social et familial, celles-ci peuvent être collectées en vue des réunions du CDDF, qui a pour mission d’aider et de soutenir les familles confrontées à des difficultés pour exercer leur autorité parentale.

Concernant, la durée de conservation de ces données, l’autorisation unique de la Cnil précise qu’après la fin du suivi d’une personne, celles-ci doivent être archivées pendant 3 ans, c’est-à-dire qu’elles ne peuvent être consultées que de manière ponctuelle et motivée.

Ensuite, la Cnil rappelle que dans le cadre des programmes de prévention de la délinquance les personnes concernées ne peuvent être suivies que jusqu’à 25 ans. Dès lors aucune donnée ne doit être conservée au-delà de cette limite d’âge.

Ainsi, à l’expiration de ces délais, les données doivent être détruites de manière sécurisée, dans des conditions définies en conformité avec les dispositions du code du patrimoine relatives aux obligations d’archivage des informations du secteur public.

Pour conclure, l’AU-038 rappelle que le maire, responsable du traitement, doit prendre les mesures de protection physique et logique adéquates afin de préserver la sécurité du traitement et des informations, empêcher toute utilisation détournée ou frauduleuse des informations, notamment par des tiers non autorisés, et préserver la confidentialité et l’intégrité des données.

Il doit donc prendre les mesures nécessaires pour préserver la sécurité des données tant à l’occasion de leur recueil que de leur consultation, de leur communication et de leur conservation.

A ce titre, il s’assure notamment que les échanges d’informations avec le coordonnateur et, le cas échéant, le référent de la personne faisant l’objet d’une mesure de suivi s’effectuent de manière sécurisée et de façon à garantir la confidentialité des données ainsi transmises.

Le maire s’assure également que l’accès aux données fait l’objet d’une traçabilité effective et adaptée à leur sensibilité et que les utilisateurs des traitements en sont bien informés.

La commission rappelle aussi la nécessaire mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.

Nos partenaires

Réalisation : Clic Story ®

Plan du site