• Home  / 
  • DELIBERATION 2006-056

DELIBERATION 2006-056

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés,

Vu la convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu le code général des collectivités territoriales, et notamment ses articles L. 2131-1, L. 2131-2, L 3131-1, L. 3131-2, L. 4141-1, L. 4141-2, L. 5211-3 et R. 2131-1 à R. 2131-4 ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et notamment ses articles 23 et 24 ;

Vu l'arrêté du 26 octobre 2005 portant approbation d'un cahier des charges des dispositifs de télétransmission des actes soumis au contrôle de légalité et fixant une procédure d'homologation de ces dispositifs ;

Vu la circulaire du ministre de l'Intérieur et de l'Aménagement du territoire et du ministre délégué aux collectivités locales du 17 janvier 2006 sur la modernisation du contrôle de légalité ;

Après avoir entendu M. Jean-Marie Cotteret, commissaire, en son rapport, et Mme Pascale Compagnie, commissaire du gouvernement, en ses observations ;

Formule les observations suivantes :

Le principe du contrôle de légalité des actes des collectivités territoriales obéit, s'agissant de ses modalités d'application à chaque niveau de collectivité, à un cadre juridique précis fixé par la Constitution et par la loi. Il en est de même de la télétransmission des actes des collectivités territoriales concernées, qui doit également satisfaire aux conditions juridiques et techniques déterminées de manière stricte par l'arrêté susvisé.

Les traitements de données à caractère personnel mis en oeuvre par les collectivités territoriales qui feront le choix de transmettre par voie électronique les actes soumis au contrôle de légalité, d'une part, et ceux mis en oeuvre par le représentant de l'Etat afin de permettre le contrôle des actes des collectivités territoriales, quel que soit leur mode de transmission, ne paraissent pas susceptibles de porter atteinte à la vie privée ou aux libertés dans le cadre de leur utilisation régulière. En conséquence et eu égard à leurs finalités, leurs destinataires, aux données à caractère personnel traitées, à la durée de conservation de celles-ci et aux catégories de personnes concernées, la Commission estime qu'il y a lieu de faire application des dispositions de l'alinéa premier de l'article 24-II de la loi du 6 janvier 1978 modifiée et de dispenser ces traitements de toute formalité déclarative préalable.

Décide :

Article 1er : Objet de la dispense

Sont dispensés de déclaration les traitements de données à caractère personnel mis en oeuvre par les collectivités territoriales afin d'assurer la dématérialisation du contrôle de légalité des actes qu'elles transmettent au représentant de l'Etat à ce titre et ceux mis en oeuvre par les préfectures et sous-préfectures aux mêmes fins, dès lors que ces traitements satisfont aux conditions posées par la présente délibération.

Article 2 : Finalités des traitements

Les traitements doivent avoir pour seules fonctions :

. La télétransmission des actes des collectivités territoriales, que ces actes soient soumis obligatoirement au contrôle de légalité ou qu'ils relèvent du pouvoir d'évocation du préfet ;

. La gestion automatisée par les préfectures de l'ensemble des actes transmis soit par voie électronique, soit par courrier papier. Cette gestion recouvre :

- la réception et l'enregistrement des actes par les agents des préfectures ;

- la délivrance d'accusés de réception ;

- le suivi des actes identifiés comme étant illégaux ;

- le calcul et la computation automatique des délais de recours contentieux ;

- l'élaboration de statistiques non nominatives ;

- le recours à des moteurs de recherche afin de gérer les flux générés tant par les actes eux-mêmes que par les documents et courriers qui s'y rapportent, à l'exclusion de toute possibilité de tri ou de recherche sur des données à caractère personnel.

Article 3 : Catégories de données traitées

Peuvent seules être collectées et traitées pour les finalités décrites à l'article 2 les catégories de données à caractère personnel strictement nécessaires à la rédaction et la transmission des actes visés au code général des collectivités territoriales qui sont soumis au contrôle de légalité ou qui peuvent être évoqués dans ce cadre par le représentant de l'Etat.

Article 4 : Destinataires des données

Dans les limites de leurs attributions respectives, peuvent seuls être destinataires des informations :

- les agents habilités des préfectures et des sous-préfectures chargés du contrôle de légalité des actes des collectivités territoriales ;

- les agents habilités des collectivités territoriales en charge de la rédaction, de la transmission et du suivi des actes soumis au contrôle de légalité.

Article 5 : Recours à un prestataire

Les préfectures ou les collectivités territoriales peuvent avoir recours à un prestataire externe technique pour assurer la télétransmission des actes vers les préfectures. Cette prestation doit être strictement conforme au cadre légal et technique défini par le ministère de l'Intérieur. Les opérations que le prestataire est autorisé à réaliser à partir des données à caractère personnel qui lui sont transmises, ainsi que les engagements qu'il prend pour garantir leur sécurité et leur confidentialité sont définies par l'arrêté du 26 octobre 2005 et par le cahier des charges précisant la procédure d'homologation des dispositifs de télétransmission.

En particulier, le prestataire s'engage à garantir la sécurité et la stricte confidentialité des données personnelles figurant dans les actes, les documents et les messages qu'ils transmettent. II est interdit à ces prestataires d'utiliser ou de diffuser les données contenues dans les actes soumis au contrôle de légalité à d'autres fins que la transmission des actes échangés entre les collectivités territoriales et le représentant de l'Etat.

Le prestataire doit procéder à la destruction ou à la restitution de tous les fichiers stockant les informations dès l'achèvement de son contrat.

Article 6 : Durée de conservation des données

Les actes télétransmis par les collectivités, les données issues de ces actes qui sont collectées et traitées par les services du représentant de l'Etat afin de les soumettre au contrôle de légalité, ainsi que les documents et messages échangés dans le cadre de ce contrôle et émanant de ces mêmes services sont conservés conformément aux recommandations de la circulaire AD 97-2 du 27 février 1997 relative au traitement et à la conservation des documents relatifs aux relations de l'Etat avec les collectivités territoriales, produits ou reçus par les services des préfectures et des sous-préfectures s'agissant des durées d'utilité administrative de ces différents documents et de leur sort à l'issue de ces durées.

La conservation des données et des actes par les prestataires à des fins purement techniques de vérification du bon acheminement et de l'intégrité des échanges dématérialisés et cryptés ne saurait excéder un mois.

Article 7 : Information des personnes concernées

Dans la mesure où les données à caractère personnel figurant dans les actes transmis ne sont pas collectées directement auprès de la personne concernée et où l'information des personnes concernées par l'ensemble des actes des collectivités locales soumis au contrôle de légalité se révèle impossible ou exige des efforts disproportionnés par rapport à l'intérêt de la démarche, la Commission décide de faire application des dispositions de l'article 32-III de la loi du 6 janvier 1978.

La Commission observe en tout état de cause que les actes concernés feront l'objet d'une publication, d'un affichage ou d'une notification, permettant ainsi aux intéressés de contrôler les données à caractère personnel les concernant qui y figurent.

Article 8 : Sécurités

Le responsable du traitement est tenu de prendre toutes précautions utiles pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Le dispositif mis en place doit assurer l'identification et l'authentification de la collectivité territoriale émettrice, l'intégrité des flux de données relatives aux actes transmis, ainsi que la sécurité et la confidentialité de ces données.

Article 9 : Effets de la dispense de déclaration

Les traitements répondant aux conditions définies par la présente norme peuvent être mis en oeuvre sans délai et sans déclaration préalable auprès de la CNIL.

La dispense de déclaration n'exonère le responsable des traitements concernés d'aucune de ses autres obligations prévues par les textes applicables à la protection des données à caractère personnel.

Le président : Alex TURK.

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: