Cahier n47 - Septembre2011 - No249 - www.courrierdesmaires.

fr

QUESTIONS

LA LOI
INFORMATIOUE
ET LIBERTES

LOGO_CDM_50Q.indd 1

4/12/06 15:31:02

et les collectivits locales

De 1 12

De 13 27

De 28 35

De 36 50

Le cadre lgislatif,
laCommission,
sespouvoirs.
Lescontrles

La cration dun fichier.

Les interdictions. Droits
des personnes.
Prcautions prendre

Fichiers administratifs,
tat civil, liste
lectorale,donnes
durecensement

Comment etque
dclarer. Procdures
simplifies. Personnels.
Police municipale

LA LOI, LA CNIL
ETLE CIL

P.III

LES DONNES
PERSONNELLES

P.VI

LUTILISATION
DESFICHIERS

P.X

LES FORMALITS
DEDCLARATION

P.XII

 Les sites et documents consulter

Sur www.cnil.fr, consultez:

la page ddie aux collectivits locales/citoyen (www.cnil.fr/dossiers/collectivites-locales);

le guide pratique rdig lattention des collectivits locales;
le guide technique relatif la scurit des donnes personnelles.

Contacter la CNIL, au 01.53.73.22.22:

la permanence de renseignements juridiques: du lundi au vendredi, 10h 12h - 14h 16h;

le standard de la CNIL, du lundi au vendredi sans interruption, 9h 18h30 (18h le vendredi).

Les chiffres cls de la CNIL en 2010

Dclarations, demandes dautorisation et avis sur des projets de texte:

71410 nouveaux fichiers enregistrs (88% des dclarations sont faites en ligne);
68262 rcpisss (dlai moyen de dlivrance du rcpiss: 48heures pour une dclaration
simplifie et 5 jours calendaires pour les dclarations normales);
2905 transferts hors de lUnion europenne;
706 autorisations biomtrie;
4376 dclarations concernant la vidoprotection.
Contrle a posteriori:
4821 plaintes reues;
1877 demandes de droit daccs indirect aux fichiers de police et de renseignement;
308 contrles;
111 mises en demeure;
3 avertissements:
5 sanctions financires.
NB. Afin dtre lisibles pour la publication papier, les renvois au site de la CNIL
de ce 50questions mentionnent les adresses internet in extenso. Toutefois, dans sa version
numrique (FAQ), des hyperliens insrs renvoient au site de la CNIL ou de Lgifrance.

Les rfrences
Loi n78-17 du 6janvier 1978 relative linformatique, aux fichiers et aux liberts
(JO du 7janvier 1978)
Loi n2004-801 du 6aot 2004 relative la protection des personnes physiques
lgard des traitements de donnes caractre personnel et modifiant la loi du 6janvier 1978
(JO du 7aot 2004, p.14063)
Ordonnance n2005-1516 du 8dcembre 2005 relative aux changes lectroniques
entre les usagers et les autorits administratives et entre les autorits administratives
(JO du 9dcembre 2005, p.18986)
Loi n2009-526 du 12mai 2009 de simplification et de clarification du droit et dallgement
des procdures (JO du 13mai 2009, p.7920)
Loi n2011-267 du 14mars 2011 dorientation et de programmation pour la performance
de la scurit intrieure (LOPPSI) modifiant le rgime juridique relatif la vidoprotection
(JO du 15mars 2011, p.4582)
Loi n2011-334 du 29mars 2011 relative au Dfenseur des droits (JO du 30mars 2011,
p.5504)
Loi n2011-525 du 17mai 2011 de simplification et damlioration de la qualit du droit
(JO du 18mai 2011, p.8537)
Dcret n2010-112 portant le rfrentiel gnral de scurit RGS (JO du 4fvrier 2010,
p.2072)

Principal actionnaire: Groupe Moniteur Holding. Socit ditrice: Groupe Moniteur SAS au capital de 333900euros.
RCS: Paris 403 080 823 - Sige social: 17, rue dUzs 75108 Paris cedex 02. Numro de commission paritaire: 1008T83807 ISSN: 0769-3508 - Prsident / Directeur de la publication: Guillaume Prot - Directeur gnral: Olivier de la Chaise.
Impression: Imprimerie de Champagne, ZI Les Franchises, 52200 Langres - Dpt lgal: septembre2011.

II

Le Courrier des maires N249 Septembre2011

l

DE 1 12 LA LOI, LA CNIL ET LE CIL

LA LOI INFORMATIQUE
ETLIBERTES ET LES
COLLECTIVITES LOCALES
Par les services juridiques de la Commission nationale de linformatique et des liberts (CNIL)

La loi informatique et liberts du 6janvier 1978 (modifie en aot2004) dfinit

lesprincipes respecter lors de la collecte, du traitement et de la conservation
desinformations relatives des personnes physiques. Cette loi a un champ
dapplication trs large qui concerne la majorit des traitements ou fichiers qui sont
mis en uvre par les collectivits locales. Ce 50 questions rappelle lensemble
des obligations qui leur incombent.

1
De quand date cette loi?
La loi dite informatique et liberts a t adopte
le6janvier 1978, suite une polmique dclenche
en 1974 par la rvlation du projet du gouvernement
franais dnomm SAFARI (Systme automatis
pourles fichiers administratifs et le rpertoire des
individus). Ce systme avait pour objet dinterconnecter tous les grands fichiers administratifs sur la base
dunnumro didentification unique attribu
chaque Franais (le numro de Scurit sociale),
cequi aurait permis de retrouver facilement toutes
lesinformations disponibles concernant une personne. Le prsident de la Rpublique de lpoque
adonc mis en place une Commission charge de proposer des mesures tendant garantir que le
dveloppement de linformatique se raliserait dans
le respect de la vie prive et des liberts individuelles
et publiques. Les travaux de cette Commission ont
conduit ladoption de la loi n78-17 du 6janvier
1978 relative linformatique, aux fichiers et aux
liberts, et linstitution de la CNIL comme organisme charg de veiller lapplication de ce texte.
Desmodifications sont rgulirement apportes
laloi informatique et liberts.

Le Courrier des maires N249 Septembre2011

l

2
En quoi une collectivit
locale est-elle concerne?
La loi informatique et liberts a pour principal
objectif de protger les informations concernant
une personne enregistres dans des fichiers,
dansla mesure o leur divulgation ou mauvaise
utilisation peut porter atteinte ses liberts ou
sa vie prive. Cette loi a un champ dapplication trs large. Est concerne la majorit des
traitements ou fichiers mis en uvre par lescollectivits locales pour grer les nombreux
services qui relvent de leur comptence: tat
civil, listes lectorales, inscriptions scolaires,
action sociale et autres services la population,
systmes dinformation gographique, etc.
ATTENTION
Sont galement concerns les dispositifs de contrle
lis aux nouvelles technologies (vidoprotection,
applications biomtriques, golocalisation), et bien
sr lutilisation dInternet, tant par les agents
municipaux que pour faciliter les services aux usagers
(par exemple, les tlservices de ladministration
lectronique lire la question 27).

Modifications
Ces volutions
lgislatives apportes en 2004, 2005,
2006, puis rcemment par les lois
n2009-526,
n2011-334
etn2011-525,
apprhendent
lesvolutions
numriques et
lesnouveaux
usages ou encore,
tendent la sphre
de comptence
dela Commission
ou renforcent
sonpouvoir
desanction.

III

DE 1 12 LA LOI, LA CNIL ET LE CIL

Textes

A la suite de la
publication des lois
organique et ordinaire relatives
auDfenseur
desdroits au JO
du30mars 2011,
lorganisation et
lefonctionnement
de la formation
contentieuse
de la Commission
ont t modifis.
Eneffet, le lgislateur a formellement
consacr par cette
rforme les rgles
du procs quitable
en exigeant une
stricte sparation
des phases
denqute et dinstruction dune part,
et de jugement,
dautre part.
Ainsi,les mises
endemeure sont
dsormais adoptes par le seul
prsident de
laCNIL. Enfin,
grce cette
rforme, la Com
mission dispose
dune plus grande
libert de publicit
de ses dcisions.

Quest-ce que la CNIL?

Quels sont ses pouvoirs?

La Commission nationale de linformatique et des

liberts, la CNIL, est une autorit administrative
indpendante compose de 17 membres (parlementaires, hauts fonctionnaires, magistrats,
personnalits qualifies), cre par la loi du 6janvier 1978. La CNIL lit son prsident parmi ses
membres. Elle ne reoit dinstruction daucune
autorit et dispose de son propre budget.
La Commission est charge de veiller ce que
linformatique ne porte atteinte ni lidentit
humaine, ni aux droits de lhomme, ni la vie
prive, ni aux liberts individuelles ou publiques.
Elle a pour principales missions, dune part,
decontrler que la mise en uvre de traitements
automatiss de donnes caractre personnel
seffectue dans le respect des dispositions
de la loi informatique et liberts. Dautre part,
dinformer les personnes des droits et obligations
qui leur sont reconnus par la mme loi.

La Commission vrifie que les traitements qui lui sont

dclars sont conformes la loi et autorise la mise en
uvre des traitements qui ncessitent une attention
particulire du fait des informations enregistres ou
des finalits poursuivies. Elle rend galement des avis
sur des projets de textes lgislatifs ou rglementaires.
La CNIL dispose dun pouvoir de contrle qui permet
ses membres et agents daccder tous les locaux
professionnels et de demander, sur place, communication de tout document ncessaire, quel que soit
lesupport, et en prendre copie, recueillir tout renseignement utile et accder aux programmes
informatiques et aux informations enregistres.
La CNIL est dote, depuis lentre en vigueur de la loi
du 6aot 2004, de pouvoirs de sanctions administratives et pcuniaires importants. Au-del de
lavertissement, elle peut, aprs une mise en demeure
infructueuse, infliger des sanctions financires atteignant 300000. Par ailleurs, en cas datteinte grave
etimmdiate aux droits et liberts, le prsident de
laCNIL peut demander en rfr au juge dordonner
toute mesure de scurit utile. Par exemple, loccasion de lorganisation dun scrutin via Internet,
silsavre que les oprations ne se droulent pas
dans le respect des droits des personnes.

Les collectivits locales

peuvent-elles faire lobjet
decontrle?
Oui. La CNIL peut contrler une collectivit locale
aumme titre que nimporte quel organisme, public
ou priv. Les collectivits locales, notamment autravers des dispositifs de vidoprotection, font dailleurs
partie, pour la quatrime anne conscutive,
du programme annuel de contrle de la Commission.
Les contrles raliss montrent que de nombreuses
collectivits ne respectent pas certaines rgles de base
de la loi informatique et liberts. Dans la majorit
descas, ces manquements rsultent dune
mconnaissance de la loi ou de ngligence, mais
lesinfractions nen restent pas moins constitues.
Lesdcideurs et responsables locaux doivent
enprendre conscience car leur responsabilit
juridique, y compris pnale, peut tre engage.

IV

Quels sont les risques

encourus en cas de nonrespect de la loi
informatique et liberts?
Les maires, les prsidents de conseils gnraux
ou rgionaux ainsi que dtablissements publics
de coopration intercommunale sont responsables des traitements informatiques mis en
uvre par leurs services et de la scurit des donnes personnelles quils contiennent. A ce titre,
ils peuvent voir leur responsabilit, notamment
pnale, engage en cas de non-respect des dispositions de la loi.
Par exemple, ne pas avoir dclar un fichier
quiaurait d ltre, ne pas prendre toutes
lesmesures de scurit pour garantir la confidentialit des informations ou bien encore, utiliser
les informations dautres fins, est susceptible
dtre pnalement sanctionn (peine de cinq ans
demprisonnement et 300000 damende).

Le Courrier des maires N249 Septembre2011

l

DE 1 12 LA LOI, LA CNIL ET LE CIL

Quest-ce quune donne

caractre personnel?

Quest-ce quun traitement

de donnes?

Une donne caractre personnel est une

information relative une personne identifie,
ouqui permet didentifier une personne,
directement ou indirectement. Cela concerne
donc aussi bien les informations directement
nominatives (lenom et le prnom), que les informations quipermettent didentifier,
indirectement, unepersonne physique.
Cest le cas dun numro detlphone (qui
permet didentifier le titulaire de la ligne tl
phonique), dun numro de plaque minralogique
(qui renvoie au titulaire de la carte grise)
ouencore dun numro de parcelle immobilire
(qui renvoie au propritaire). Cestgalement
lecas dlments du corps humain tels que
lempreinte digitale ou lADN dune personne.
Il sagit aussi de toutes les donnes qui sont
rattaches une personne. Par exemple:
lenombre de repas de cantine facturs aux
parents dun enfant.

Un traitement de donnes caractre personnel

estune notion trs large. Il sagit de toute opration
portant sur ces donnes, quel que soit le procd
technique utilis, notamment la collecte, lenregistrement, la conservation, la modification, lextraction,
laconsultation, la communication, le transfert,
linterconnexion mais aussi le verrouillage, leffacement oula destruction. Cela recouvre aussi bien
laconstitution dune base de donnes que lutilisationdunautocommutateur tlphonique,
un systme daccs par badge ou un site internet.
Ilsagit detoutes les utilisations qui peuvent tre
faites desdonnes caractre personnel.

10

Qui est le responsable

detraitement?
Cest la personne ou lorganisme qui dcide la cration
du traitement, qui en dtermine lobjet et dfinit les
moyens mis en uvre cet effet. Il sagira du maire
pour une commune, du prsident du dpartement,
dela rgion ou de lEPCI concern. Il convient de distinguer le responsable du traitement du prestataire
deservices (ou sous-traitant). Ce dernier intervient
pour le compte du responsable du traitement selon
lesobjectifs qui lui ont t assigns, dfinis dans
lecontrat de prestation de service. Par exemple, les
diteurs de logiciels et les bureaux dtudes auxquels
les collectivits locales font appel sont des prestataires
de services. La responsabilit du traitement nen
incombe pas moins la collectivit (cf. question 18).
ATTENTION
Dans le cadre des schmas dpartementaux de coopration
intercommunale mettre en place dici au 31dcembre
2011 (cf. loi n2010-1563 du 16dcembre 2010 portant rforme des collectivits territoriales), certaines comptences
communales sont susceptibles dtre transfres lintercommunalit alors cre. Il conviendra de rflchir aux mutations des fichiers de donnes personnelles existants et
deffectuer les modifications des dclarations affrentes en
cas de transfert de responsabilit dun traitement.

Le Courrier des maires N249 Septembre2011

l

ATTENTION
La loi vise les traitements informatiques mais galement
les traitements non automatiss. Elle sapplique donc
auxfichiers manuels, qui sont des ensembles de fiches,
listes ou dossiers, structurs par un systme de classement
ou dindexation permettant daccder facilement aux
donnes. Les meilleurs exemples de fichier manuel sont
lannuaire tlphonique papier; ou encore lensemble
desdossiers papier du personnel.

Quelles prcautions
prendre avec les logiciels
des diteurs?
Les logiciels en tant que tels ne sont pas soumis
la loi informatique et liberts. Cest lutilisation
dun logiciel pour traiter des donnes caractre
personnel qui doit respecter les prescriptions
dela loi. Les diteurs de logiciels nont pas lobligation lgale de proposer des produits paramtrs
cet effet. Lorsquelles acquirent un logiciel,
lescollectivits locales doivent tre trs vigilantes
sur ses fonctionnalits pour ne pas tre en infraction avec la loi. En particulier, ilconvient de
vrifier que le logiciel dispose dune fonction
permettant la suppression et/ou larchivage
desdonnes personnelles. De plus, ilest utile
dexaminer les champs de saisie deloutil afin
devrifier que les donnes collectes sont pertinentes au regard de la finalit dutraitement.
Parexemple: ne pas proposer unchamp de saisie
nde Scurit sociale si son utilisation nest
pas prvue par un texte. A terme, la CNIL envisage de labelliser des produits informatiques, ce
qui permettra dattester deleur conformit la loi.

Donnes
personnelles
Lutilisation
dunlogiciel doit
seffectuer dans
des conditions
garantissant
lascurit (cf.
dcret n2010-112
portant lerfrentiel gnral de
scurit-RGS).
Enparticulier,
lacollectivit doit
limiter laccs
auxdonnes personnelles aux
seules personnes
habilites.

DE 1 12 LA LOI, LA CNIL ET LE CIL

11
Le CIL

Il est la fois
unvecteur de scurit juridique,
uninterlocuteur
privilgi de la
CNIL, une source
de scurit informatique, le signe
dun engagement
thique et citoyen,
un facteur
de simplification
des formalits
administratives
etun lment
devalorisation
dupatrimoine
informationnel.

Finalit

Exemple de respect
de ce principe:
lefichier des
demandeurs demploi ne peut tre
utilis pour
delacommunication politique.

Propor
tionnalit

Exemple: le recueil
du numro de
Scurit sociale
des parents nest
pas justifi pour
lefichier des inscriptions scolaires.

Dure

Par exemple: un
mois pour les enregistrements de
vidoprotection.

Scurit
etconfidentialit

Le maire ou tout
autre reprsentant
lgal doit par
exemple veiller
mettre en place et
grer le renouvellement des mots de
passe, ou encore,
dterminer diffrentes rgles
daccs aux donnes et grer les
habilitations.

VI

A quoi le correspondant
informatique et
liberts(CIL) sert-il?
Le CIL a t cr en 2004. Cette innovation
majeure constitue un tournant dans lapplication
de la loi: laccent est mis sur la pdagogie et
leconseil en amont. Le correspondant contribue
une meilleure application de la loi au sein
delorganisme et sassure que les fichiers sont
utiliss dans le respect des droits des usagers.
Illimite ainsi les risques lis la mconnaissance
des rgles de protection de la vie prive qui peuvent aboutir engager la responsabilit
personnelle, civile et pnale des reprsentants
des collectivits locales.
Son profil nest pas dfini par les textes, mais
ildoit sagir dune personne disposant des qualifications requises pour exercer ses missions.
Aucun agrment nest prvu et aucune exigence
de diplme nest fixe. En pratique, il sagit
leplus souvent dinformaticiens ou de juristes.
Son action prend plusieurs formes: le conseil,
lasensibilisation, la mdiation et lalerte en cas
de dysfonctionnement.

13
Quelles sont les rgles
respecter lors de la cration
dun fichier comportant des
informations personnelles?
Cinq principes doivent tre respects:
le principe de finalit: les informations ne peuvent
tre recueillies et traites que pour un usage
dtermin et lgitime qui doit correspondre aux
missions de la collectivit responsable du traitement;
le principe de proportionnalit: seules doivent tre
traites les informations pertinentes et ncessaires
pour la gestion des services municipaux;
le principe dune dure limite de conservation
desinformations;
le principe de scurit et de confidentialit
desinformations;
le principe du respect des droits des personnes: lors
du recueil des informations, les administrs doivent
tre informs de la finalit du traitement, du caractre
obligatoire ou facultatif des rponses, des destina
taires des informations et de lexistence des droits
decommunication, de correction, deffacement, voire
dans certains cas du droit de sopposer ce que des
informations soient enregistres.

12
Une collectivit territoriale
peut-elle dsigner un CIL?
Oui. Tout responsable detraitements, quil soit public
ou priv, peut sedoter dun correspondant interne
ouexterne. Le choix duCIL est libre si lorganisme
regroupe moins de50personnes charges de la mise
en uvre destraitements ou qui y ont accs: il peut
tre soit unagent de la collectivit, soit un tiers (ex.:
avocat, consultant). En revanche, lorsque plus de
50personnes sont charges de la mise en uvre des
traitements ou y ont directement accs, la personne
choisie pour occuper la fonction de CIL doit obligatoirement tre un agent de la collectivit (CIL interne).
Par ailleurs, les responsables de traitements dun
mme secteur dactivit peuvent dcider demutualiser la fonction de correspondant. Cela peut tre le cas
pour les syndicats de communes ou dagglomration.
Sachant que le CIL dsign par unsyndicat de communes pourra aussi tre celui de chaque commune.
A NOTER
La procdure de dsignation dun CIL figure sur le site
internet dela CNIL (www.cnil.fr/la-cnil/nos-relais/
correspondants/designez-un-cil). La dsignation prend
effet un mois aprs la date de rception de la notification
par laCNIL.

14
Quelles informations
personnelles peuvent
tre enregistres?
Lun des principes de base de la loi informatique
et liberts est que les informations personnelles
enregistres dans un fichier doivent tre adquates, pertinentes et non excessives au regard
des finalits pour lesquelles elles sont collectes
(article6-3). Cela signifie quelles doivent tre
enrapport avec les finalits du fichier et tre
ncessaires leur ralisation (principe de proportionnalit). Par exemple, la situation de famille
ou la date de naissance dune personne sont des
informations qui sont souvent demandes alors
mme quelles ne sont pas ncessaires. Les coordonnes de lemployeur dun parent ne sont pas
forcment une information adquate si ce qui
estrecherch est un contact en cas durgence
(cas dune inscription scolaire ou en crche).
ATTENTION
La nationalit est rarement une information pertinente.
Par exemple: recueillir la nationalit pour inscrire
lesenfants au centre de loisirs nest pas justifi.

Le Courrier des maires N249 Septembre2011

l

DE 13 27 LES RGLES APPLICABLES AUX DONNES PERSONNELLES

15

16

Existe-t-il des informations

dont lenregistrement dans
un fichier est interdit?

Dans quels cas le numro

deScurit sociale
peut-il tre enregistr?

Oui. Il est par principe interdit de collecter

et de conserver des informations personnelles
qui, directement ou indirectement, font apparatre les origines raciales ou ethniques, les
opinions politiques, philosophiques ou religieuses, les appartenances syndicales, ou encore
les donnes relatives la sant ou la vie
sexuelle des personnes (art.8 de la loi informatique et liberts). Ce sont des donnes dites
sensibles.
Par exception, on peut enregistrer de telles donnes dans un fichier condition:
quelles soient pertinentes par rapport la finalit dutraitement (exemple: lappartenance
syndicaledes agents de la mairie, qui ont droit
des dlgations dheures, peut tre enregistre
dans lefichier de gestion du personnel);
et si la personne concerne a donn son accord
crit pralablement lenregistrement de cette
information, ou si la CNIL a autoris le traitement
de cette donne.

Le numro de Scurit sociale, nom usuel du numro

dinscription au rpertoire (le NIR), est issu du
rpertoire national didentification des personnes
physiques (RNIPP) gr par lINSEE. Ce numro est
signifiant (il permet de dterminer le sexe, la date
(sauf le jour) et le lieu de naissance de la personne
concerne), unique (un seul numro attribu chaque
individu ds sa naissance), et fiable (certifi par
lINSEE). Cest pourquoi, le considrant comme une
donne sensible, la loi informatique et liberts soumet
son enregistrement une procdure particulire.
Si la CNIL a admis lutilisation de ce numro dans
lensemble des fichiers des organismes en relation
avec la Scurit sociale (employeurs autoriss lenregistrer pour la gestion de la paie; professionnels
desant pour la tenue des dossiers des patients;
organismes dassurance maladie obligatoires et complmentaires; Ple emploi), elle souhaite que son
enregistrement, en tant quidentifiant dans les
fichiers, ne soit ni systmatique ni gnralis. Les collectivits locales ne sont pas autorises utiliser
cenumro comme identifiant dans leurs fichiers.

17

18

Combien de temps peut-on

conserver les informations
personnelles dans un fichier?

Quelles sont les rgles

respecter lors de lappel
un sous-traitant?

La loi informatique et liberts prvoit que les donnes

caractre personnel ne peuvent tre conserves dans
un fichier, sous une forme permettant lidentification
des personnes concernes, que pendant la dure
ncessaire aux finalits pour lesquelles elles ont t
collectes. Ces informations ne peuvent donc pas tre
conserves de manire illimite: la dure de conservation doit tre dfinie lavance et, dans tous les cas,
adapte la finalit du traitement. Cette dure peut
tre trs variable en fonction des fichiers.
Par exemple, certaines informations prsentes dans
les fichiers du personnel doivent tre conserves
jusqu la liquidation des droits la retraite; dautres
juste pendant le temps de prsence de lagent dans
lorganisme (gestion de carrire); dautres encore pendant quelques mois seulement (donnes de pointage
des badges daccs et de contrle du temps de travail).

Nombre de prcautions doivent tre prises

lorsquune collectivit fait appel un prestataire
de services (prestataire informatique, bureau
dtudes, ou encore un service intercommunal
qui ralise une mission pour une commune).
En effet, la collectivit reste responsable juridiquement de toutes les oprations qui seront
ralises par le sous-traitant sur les donnes
caractre personnel. Elle doit donc sassurer
quele sous-traitant prsente des garanties
suffisantes pour assurer la scurit du traitement
etla confidentialit des donnes. Elle doit prvoir, dans la convention qui la lie au prestataire,
une clause spcifique prcisant le cadre dintervention de ce dernier et lui rappeler ses
obligations: interdiction dutiliser les donnes
fournies dautres fins que la mission pour
laquelle elles lui sont confies, interdiction
de les divulguer des tiers, obligation en fin
decontrat de restituer les donnes au commanditaire ou de les dtruire.

ATTENTION
Il faut diffrencier la dure de conservation de la notion
darchivage des donnes sur un support distinct, dans
lerespect des dispositions du Code du patrimoine et des
rgles fixes par les services des archives.

Le Courrier des maires N249 Septembre2011

l

Prestataire

Dans les cahiers

des charges destination des
prestataires, doit
tre rappele lobligation de respecter
le rfrentiel gnral de scurit
(RGS) publi
surle site de
lAgence nationale
pour la scurit
dessystmes
dinformation
(www.ssi.gouv.fr/fr/
reglementation-ssi/
referentiel-generalde-securite/).
Parailleurs,
ilconviendra dtre
galement vigilant
sur la proprit
intellectuelle.

Clause

Un modle
declause contractuelle pour
lerecours un
sous-traitant
estmis disposition sur le site
internet de la CNIL
(www.cnil.fr/vosresponsabilites/
transferer-des-donnees-a-letranger/
contrats-types-dela-commissioneuropeenne/).

VII

DE 13 27 LES RGLES APPLICABLES AUX DONNES PERSONNELLES

19
Confiden
tialit

Il ne faut pas
rpondre aux
demandes manant
de particuliers
oude socits prives telles que
lesagences
derecouvrement
decrances,
degnalogie
oude recherche
dhritiers.
Demme, les communes ne sont pas
habilites diligenter des enqutes
pour rpondre
des demandes
extrieures y compris celles manant
de tiers autoriss.
Enfin, lorsquun
organisme
demande communication de donnes
concernant une
personne, il est
indispensable
devrifier que
ledemandeur est
fond juridiquement obtenir
cesdonnes.

Les tiers
autoriss

Il sagira par
exemple de ladministration fiscale
pour lerecouvrement decrances
fiscales, de
condamnations
pcuniaires
oudecrances
descollectivits
locales; des
magistrats et
desofficiers
depolice judiciaire
agissant en flagrantdlit ou
surcommission
rogatoire;
desorganismes
dbiteurs
de prestations
familiales

Demandeurs
demploi

Rappel: les demandeurs demploi

doivent tre informs de lexistence
de ce fichier. Une
dclaration du traitement doit tre
adresse la CNIL
sauf si la commune
a dsign un CIL.

VIII

La collectivit peut-elle
donner des renseignements
sur ses administrs?
Rpondre des demandes de renseignements
peut engager la responsabilit du maire ou
dudirigeant de la collectivit. Le responsable
dutraitement doit donc prendre toutes prcautions utiles pour prserver la scurit des
donnes et, notamment, empcher quelles soient
dformes, endommages ou que des tiers non
autoriss y aient accs. Le non-respect de cette
obligation est puni de cinq ans demprisonnement et 300000 damende.
La confidentialit des informations personnelles
implique de ne pas les communiquer dautres
personnes ou organismes que ceux habilits
en connatre (les personnes charges de traiter
les donnes et les autres destinataires numrs
dans la dclaration).
Toutefois, certaines personnes sont autorises
accder aux informations de faon ponctuelle
eten vertu dun texte particulier: ce sont les tiers
autoriss. Aprs vrification, la collectivit peut
rpondre sans risque leurs demandes.

21

20
Quels sont les droits
despersonnes fiches?
Le responsable de traitement doit informer les personnes concernes lors du recueil des donnes
caractre personnel (cest--dire lorsquelles sinscrivent ou rpondent un questionnaire): de son
identit, de lobjet du fichier cr, du caractre obligatoire ou facultatif des rponses, des destinataires
desinformations, et des droits qui leur sont offerts
parla loi informatique et liberts (art.32). Lorsque
lesinformations ne sont pas collectes directement
auprs de lintress, linformation est fournie
lorsdelenregistrement des donnes ou du premier
contact avec lui (par courrier, par exemple).
Les personnes fiches, quelles soient usagers
ouagents de la collectivit, peuvent demander communication des informations les concernant figurant
dans un fichier gr par la collectivit. Elles ont
ledroit dexiger la correction ou leffacement
desinformations inexactes ou primes. Enfin, toute
personne a le droit de sopposer, pour des motifs
lgitimes, ce que des donnes la concernant soient
enregistres dans un fichier informatique, sauf
sicelui-ci prsente un caractre obligatoire, comme
lefichier dtat civil.

22

Comment respecter
lobligation dinformation
despersonnes?

Dans quel cadre le maire

peut-il constituer un fichier
de demandeurs demploi?

Lorsque la collecte des donnes se fait directement

auprs de la personne concerne par questionnaire,
ce dernier doit comporter les mentions dinformation
prvues par larticle 32 de la loi informatique et liberts. Doivent tre prciss: lidentit du responsable
du traitement, la finalit du traitement (ex.: gestion
deltat civil), le caractre obligatoire ou facultatif
desinformations collectes, les destinataires
de ces informations, lexistence de droits offerts aux
personnes concernes et les services auprs desquels
elles peuvent les exercer.
Si elle seffectue auprs dun guichet de la collectivit, linformation peut tre diffuse au moyen
daffiches apposes dans les services ou par remise
dune plaquette dinformation. Lesite internet
de la collectivit est galement lemoyen dinformer
les personnes de leurs droits.

En application de larticle L.5322-3 du Code

dutravail, le maire peut demander recevoir
dePle emploi la liste des demandeurs demploi
domicilis dans sa commune, et ce exclusivement pour les besoins du placement ou pour
ladtermination davantages sociaux. Il peut
demme obtenir auprs des entreprises en liquidation ou mettant en uvre un plan social,
laliste des salaris domicilis dans sa commune
condition que les personnes concernes aient
t pralablement informes et ne sy soient pas
opposes. Le fichier des demandeurs demploi
ainsi constitu par la commune pour aider les
intresss se rinsrer professionnellement ne
peut pas tre utilis dautres fins par le maire.
Les informations enregistres (nom, prnom et
adresse du demandeur, qualification professionnelle, et, le cas chant, indication du versement
dun revenu de remplacement) ne peuvent tre
conserves au-del dun an aprs le dernier
contact avec la personne.

A NOTER
Des modles de mentions dinformation faire figurer
surles formulaires, questionnaires, bulletins dinscription
sont disponibles sur le site de la CNIL (www.cnil.fr/vosresponsabilites/informations-legales, rubrique Dclarer).

Le Courrier des maires N249 Septembre2011

l

DE 13 27 LES RGLES APPLICABLES AUX DONNES PERSONNELLES

23

24

Dans quel cadre le maire

peut-il grer un fichier
desenfants scolariss?

Comment grer un dispositif

de golocalisation pour les
vhicules de la collectivit?

La loi n2007-297 du 5mars 2007 sur la prvention dela dlinquance (art. L.131-6 du Code
delducation) lui permet de mettre en uvre
untraitement de donnes caractre personnel
concernant les enfants enge scolaire domicilis
dans la commune, quelui transmettent les organismes chargs duversement des prestations
familiales, les chefs dtablissement scolaire et
linspecteur dacadmie.
Un tel fichier peut tre cr selon quatre finalits:
recenser lesenfants dela commune soumis
lobligation scolaire;
prendre connaissance desinformations relatives tout dfaut dassiduit scolaire;
connatre detoute exclusion temporaire
oudfinitive deltablissement;
connatre du fait quun lve quitte untablissement encours ou en fin danne.
Lesfamilles concernes doivent tre informes
des modalits de mise en uvre du traitement.

Les collectivits locales grant une flotte de vhicules

professionnels (entretien despaces publics, interventions sur la voirie, transports scolaires) peuvent
vouloir les quiper dun dispositif de golocalisation
en temps rel. Ce qui permet de savoir o se trouvent
le conducteur du vhicule et ses passagers, et de tracer ainsi les dplacements des personnes. La norme
simplifie51 prcise le cadre dun tel dispositif.
Plusieurs objectifs sont envisageables: la scurit des
personnes et des marchandises transportes; la gestion des moyens en personnel et vhicules lorsquune
prestation doit tre accomplie en des lieux disperss;
le suivi et la facturation dune prestation; le suivi
dutemps de travail lorsque celui-ci ne peut tre ralis par dautres moyens.
Lutilisation dun dispositif de golocalisation ne doit
pas conduire un contrle permanent de lagent
(dsactivation hors des horaires de travail et lors
de la pause djeuner; protection de lagent exerant
son mandat lectif ou syndical). Les instances
reprsentatives du personnel doivent tre consultes
et les agents concerns informs individuellement.

25

26

Quelles informations les

espaces publics numriques
(EPN) doivent-ils conserver?
Un EPN, ds lors quil offre un accs au rseau internet au public, est considr par la loi comme
unoprateur de communications lectroniques.
Acetitre, le responsable de cet espace public est soumis une obligation de conserver les donnes de
trafic. Ces donnes sont les informations techniques
gnres par lutilisation des rseaux de commu
nication tels quInternet, et notamment ladresse IP
delordinateur utilis (numro identifiant chaque
ordinateur connect Internet); la date, lheure et
ladure de chaque connexion; ou encore les informations permettant didentifier le destinataire dune
communication (ex.: le numro de tlphone appel).
Conformment larticle L.34-1 du Code des postes et
des communications lectroniques, lEPN doit conserver les donnes techniques (dtailles par larticle
R.10-13 du Code des postes et des communications
lectroniques) pendant une dure dun an compter
de leur enregistrement. Toutefois, la CNIL considre
que la collectivit fournissant un accs Internet
ses employs nest pas concerne par cette obligation de conservation des donnes de trafic.
Le Courrier des maires N249 Septembre2011
l

Quelles rgles sappliquent

la vidoprotection?
Lorsque le dispositif de vidoprotection est install dans un lieu public (sur le territoire dune
commune) ou dans un lieu ouvert au public
(leguichet dune mairie), il doit tre autoris par
le prfet (art. 10 de la loi n95-73 du 21janvier
1995 modifie). Le dispositif doit faire lobjet
dune formalit dclarative auprs de la CNIL
siles images sont enregistres ou conserves
dans des traitements informatiss ou des fichiers
structurs qui permettent didentifier des personnes physiques. Dans un lieu priv de la
collectivit (parking rserv aux agents municipaux), il doit faire lobjet dune dclaration
normale auprs de la CNIL, qui doit alors prciser: la dure de conservation des images
(maximum un mois); les destinataires des images
(limits aux seules personnes habilites en fonction de leur besoin den connatre); les modalits
dinformation des personnes filmes ou susceptibles de ltre (affiches apposes de faon
permanente lentre des locaux), ainsi que les
modalits dexercice du droit daccs ouvert aux
personnes concernes.

Finalits

Si ce traitement
comporte des
apprciations
surles difficults
sociales des personnes, il devra
faire lobjet dune
demande dautorisation. Dans le
cadre du conseil
pour les droits et
les devoirs des
familles (CDDF),
des informations
caractre confidentiel peuvent
tre partages
entre les professionnels de laction
sociale, soumis
ausecret professionnel, le maire
etle prsident
duconseil gnral.
(art. L.121-6-2
duCASF).

Donnes
techniques

Lutilisateur
dunrseau de
communication
lectronique faisant
lobjet dun dispositif de surveillance
doit tre inform
dela traabilit
desa navigation.
Seules les personnes habilites
par la loi peuvent
demander lacommunication de ces
donnes techniques, notamment
les autorits judiciaires (exemple:
lutte contre le tlchargement illgal,
dcret n2011-219
du 25fvrier 2011).
Aucune information
relative au contenu
des changes ne
doit tre conserve.
Il nexiste pas
dobligation de
relever et conserver
lidentit des utilisateurs pour fournir
une connexion.

Vidoprotection
La loi LOPPSI
du14mars 2011
donne la CNIL
lacomptence
decontrler tous
les systmes
devidoprotection
installs sur le territoire national.

IX

DE 28 35 LUTILISATION DES FICHIERS PAR LES COLLECTIVITS

27
Tlservice

Le tlservice doit
satisfaire 3 critres (ordonnance
n2005-1516 du
8dcembre 2005):
tre propos par
Internet; tre
propos par lAdministration,
ycompris les organismes de droit
priv chargs dune
mission de service
public; et tre
destination
desusagers du service public, en leur
permettant de procder en ligne
des dmarches
administratives.
Comme pour lapplication mtier,
bien souvent dj
dclare, le tlservice devra
galement faire
lobjet de formalits
pralables auprs
de la CNIL.
Silsagit daccs
un tlservice
local via le portail
mon.servicepublic (MSP),
un engagement
deconformit
larrt portant
extension aux collectivits locales
duprimtre de
www.mon.servicepublic.fr suffira.

Listes
lectorales

Les articles L.28

etR.16 du Code
lectoral permettent tout lecteur
dobtenir communication de toute
liste lectorale,
la seule condition
de ne pas en faire
un usage purement commercial.
Aucune disposition
ne subordonne
latransmission
desinformations
correspondantes
aurecueil du
consentement
dechaque lecteur,
ni ne lui permet
desy opposer
(ex.:organisation
des primaires
duparti socialiste).

X

Quelles rgles sappliquent

auxtlservices?
Le tlservice a pour but de simplifier laccomplissement des formalits administratives.
Lesinformations recueillies doivent tre pertinentes; ne servir qu la finalit prsente lors
deleur collecte, et ntre stockes que le temps
ncessaire la transmission vers le service comptent pour les traiter. En outre, les changes
dedonnes doivent tre scuriss (par exemple,
recourir une liaison chiffre en HTTPS).
Si le tlservice ncessite lemploi dun identifiant propre chaque utilisateur (compte
utilisateur associ un mot de passe personnel),
sa mise en uvre par une collectivit relve
durgime de lavis pralable de la CNIL sur
unprojet dacte rglementaire (arrt municipal,
du conseil gnral ou rgional; ou encore
dlibration du conseil dadministration
dun tablissement charg dune mission
de service public) (cf. art.27-II-4 de la loi
informatique et liberts).

29
Le maire peut-il utiliser
laliste lectorale?
Oui. Il peut mme lutiliser pour adresser des courriers des populations slectionnes en fonction
deleur ge ou de leur adresse. En revanche, les tris
oprs surla consonance des noms des personnes
sont susceptibles de faire apparatre les origines
raciales, ethniques ou les appartenances religieuses,
relles ousupposes, des intresss, ce qui est interdit
(art.226-19 du Code pnal). La CNIL considre de
plus que les tris oprs sur le lieu de naissance des
lecteurs ne sont pas justifis, car cette information
figure sur les listes lectorales uniquement pour sassurer de lidentit de llecteur et viter toute fraude
lors du scrutin. Les personnes concernes doivent
tre informes de lorigine des informations ayant
permis de les contacter et de la possibilit de se faire
radier. Les traitements constitus partir des listes
lectorales pour lenvoi dinformations municipales,
lorsquils respectent le cadre fix par la dcision de
dispense n7, sont dispenss de dclaration. Sont galement dispenss de formalits pralables auprs de
la CNIL, le fichier lectoral des communes et les listes
complmentaires grs dans les conditions prvues
par le Code lectoral et les textes spciaux rgissant
les oprations lectorales (cf. dispense n12).

28
Les lus peuvent-ils utiliser
les fichiers administratifs
dela collectivit pour
la communication politique?
Non. Les fichiers mis en uvre par les collectivits
locales tels que les registres dtat civil, les fichiers
detaxes et redevances, les fichiers daide sociale,
lesfichiers des inscriptions scolaires, les adresses
ventuellement collectes depuis un site web
institutionnel et, dune faon gnrale, les fichiers
dadministrs, ne peuvent pas tre utiliss des fins
de communication politique.
ATTENTION
Lutilisation des donnes personnelles pour dautres
finalits que celles pour lesquelles elles ont t collectes
constitue un dtournement de finalit. Ce qui est puni
decinq ans demprisonnement et de 300000 damende
(cf.article34 de la loi informatique et liberts et article22621 du Code pnal).

30
Les communes peuventelles utiliser les donnes
recueillies loccasion
durecensement ?
Non. Les communes ou les tablissements
publics de coopration intercommunale (EPCI)
sont, depuis la loi du 27fvrier 2002, chargs
dela prparation et de la ralisation des enqutes
de recensement. En liaison avec lINSEE,
ilsrecrutent et forment les agents recenseurs,
prparent sur le terrain la collecte des donnes,
suivent lavancement de la collecte et participent
au contrle de son exhaustivit. Ils ne sont pas
pour autant habilits conserver et traiter
pourleur propre compte, par exemple alimenter
unfichier de population, les informations
recueillies loccasion des oprations durecen
sement. Seul lINSEE peut tre destinataire
de ces informations qui sont couvertes par
lesecret statistique.

Le Courrier des maires N249 Septembre2011

l

DE 28 35 LUTILISATION DES FICHIERS PAR LES COLLECTIVITS

31
Le maire peut-il utiliser
lefichier dtat civil
pouradresser flicitations
ou condolances?
Non. Le maire, en tant que reprsentant de lEtat,
est responsable de la tenue des registres dtat
civil dans sa commune. Les informations enregistres par les services dtat civil loccasion
deltablissement ou de lactualisation dun acte
ne peuvent tre utilises que pour laccomplissement des missions dont sont investis les maires
en leur qualit dofficier de ltat civil.
Ellesnepeuvent donc pas tre utilises par
leslus municipaux pour adresser des flicitations ou des condolances.
A NOTER
Ces informations ne peuvent par ailleurs tre diffuses,
dans la presse ou sur tout autre support, que si les personnes concernes ont, au moment de ltablissement
de lacte, donn leur accord.

33

32
Une commune peut-elle
constituer un fichier
de ses administrs?
Il nexiste pas en France dobligation de dclarer son
domicile ou de se faire recenser en mairie, sauf
dans deux cas bien particuliers: les trangers, dune
part, et les personnes rsidant en Alsace-Moselle,
dautre part. La CNIL a par consquent toujours considr que la mise en place par une commune dun
fichier visant recenser ses administrs devait respecter lensemble des conditions de la loi informatique
etliberts: dfinition dune ou de finalits (ex.: communication municipale, recensement des besoins
enquipements collectifs); collecte loyale et licite
(ex.: utilisation de la liste lectorale ou du fichier des
nouveaux voisins de La Poste, distribution de questionnaires); pertinence des donnes par rapport
lafinalit dfinie (limites en gnral lidentit,
ladate ou lanne de naissance et ladresse); information des personnes concernes et possibilit pour
celles-ci dexercer leur droit dopposition. Linscription dans un tel fichier ne peut en effet constituer une
obligation pour les administrs. Ainsi, un annuaire
listant deshabitants ne peut tre tabli et diffus
quavec le consentement de chacun.

34

A quoi peut servir le fichier

des logements vacants?

quoi sert le fichier

desassociations?

Les informations relatives aux logements vacants

(norme simplifie 49) recenss par ladministration
fiscale pour ltablissement de la taxe dhabitation
peuvent tre transmises aux collectivits territoriales
afin de favoriser la politique sociale daide au logement. Les fichiers mis en place par les collectivits
nepeuvent servir que pour lenvoi aux propritaires
de logements inoccups de courriers les informant
des aides la rhabilitation des logements et leur
remise sur le march, ou bien de questionnaires pour
dterminer les causes de la vacance ou son volution.
Toute utilisation de ces informations dautres fins,
notamment commerciales, est exclue. Les donnes
nesont pas conserves au-del de la phase dexpdition des courriers personnaliss, sauf si le responsable
du traitement prvoit de demander plusieurs annes
de suite la version actualise du fichier des logements
vacants pour lenvoi de relances personnalises.
Dansce cas, seule la dernire version du fichier est
conserve. Le courrier adress au propritaire doit
comporter une information claire sur les objectifs
poursuivis ainsi que sur les modalits dexercice
desdroits daccs, de correction et dopposition.

Il permet la mairie de suivre loctroi des subventions aux associations bnficiaires et

lutilisation quelles en font. Conformment
larticle L.1611-4 du CGCT, toute association
ayant reu une subvention durant lanne est
tenue detransmettre la commune qui la subventionne la copie certifie de son budget,
celles descomptes de lexercice coul, et de lui
communiquer tout document faisant apparatre
lesrsultats de lactivit de lassociation.
Le Conseil dEtat a en revanche jug, dans un
arrt du 28mars 1997, quun maire ne peut pas
demander une association la liste nominative
de ses adhrents, mme si cette transmission est
assortie de linterdiction faite la commune
dengarder copie. Une telle pratique mconnatrait en effet le principe constitutionnel de la
libert dassociation. Toutefois, la commune peut,
dans le cadre dun contrat dobjectifs pass avec
lassociation, dfinir des modalits de certification du nombre dadhrents ou de leur origine
gographique (commune ou hors commune) sans
communication des noms des personnes.

Le Courrier des maires N249 Septembre2011

l

Associations

Le fichier des associations de la

commune doit
faire lobjet
dunedclaration
normale la CNIL
sauf si un CIL
a t dsign
ousil selimite
aurecensement
des associations
dela commune
(dans ce dernier
cas: dispense de
dclaration n8).

XI

DE 36 50 LES FORMALITS DE DCLARATION LA CNIL

35

Droit
denregistrer

Cette possibilit
nemporte pas
autorisation
dediffusion sans
respecter les dispositions de la loi
informatique et
libert. Ainsi, toute
personne filme
peut sopposer pour
des motifs lgitimes ce que des
donnes la concernant fassent lobjet
dune telle diffusion
en ligne.

36

Quelles prcautions prendre

avant de diffuser les PV
dun organe dlibrant?

Pourquoi, quand et qui doit

dclarer les fichiers
dedonnes personnelles?

Diffusion sur Internet par la collectivit. Selon

larticle 7 de la loi CADA du 17juillet 1978,
ces documents administratifs ne peuvent tre
rendus publics quaprs avoir fait lobjet
duntraitement destin occulter les donnes
caractre personnel qui sy trouvent ou rendre
impossible lidentification des personnes qui
ysont nommes (tat de sant dun fonctionnaire
territorial, situation personnelle, contentieux
administratif en cours). Ces mmes prcautions
sappliquent dans lhypothse o serait diffus
sur Internet unenregistrement vido dune
sance de lorgane dlibrant.
Diffusion sur Internet par un tiers. Le CGCT
(art.L.2121-18), et la jurisprudence administrative
reconnaissent aux conseillers municipaux
comme aux membres de lassistance le droit
denregistrer les dbats delorgane dlibrant.
Lemaire notamment nepeut sopposer
lenregistrement ds lors quil nest pas
denature troubler le bon ordre des travaux.

La dclaration des fichiers comportant des donnes

personnelles est une obligation lgale (art.22 de la
loi), qui a plusieurs objectifs:
elle permet la CNIL de sassurer que le fichier
mis en uvre est conforme la loi;
cest une mesure de transparence vis--vis
desadministrs;
la dclaration a une valeur pdagogique pour
le responsable de traitement. En ce sens, elle participe la sensibilisation aux principes de protection
des donnes;
cest un lment de scurit juridique, notamment
pour les lus dont la responsabilit pnale peut tre
engage.
Le principe pos par la loi est que ladclaration doit
tre pralable la mise en uvre du traitement.
Enpratique, une rgularisation est possible nimporte quel moment.
Qui doit dclarer? Le responsable juridique de lorganisme qui dcide de crer le fichier. Il sagit de
lorgane excutif dune collectivit (ex.: maire ou prsident de lEPCI concern).

37

38

Quel fichier dclarer

la CNIL?

Comment dclarer
unfichier la CNIL?

Tout fichier informatis contenant des donnes

qui concernent et permettent didentifier directement
ou indirectement des personnes physiques
(nom, adresse postale, adresse lectronique, numro
de tlphone). La CNIL tient la disposition
dupublic la liste des traitements automatiss qui
luiont t dclars et qui mentionne leurs principales
caractristiques (cf. article31 de la loi informatique
etliberts). Cette liste peut tre demande par toute
collectivit dsireuse de sassurer quelle a bien
dclar tous ses fichiers, mais aussi par tout
administr soucieux de vrifier que les informations
qui lui sont demandes lors dune dmarche
administrative vont alimenter un fichier dclar.

Depuis mars2010, toutes les formalits auprs

dela CNIL peuvent tre ralises en ligne depuis
le site www.cnil.fr. Dsormais, un formulaire
spcifique est propos pour chacune des procdures prvues par la loi informatique et liberts.
Les dclarants peuvent obtenir des renseignements tlphoniques en contactant
lapermanence de renseignements juridiques
dulundi au vendredi de 10h 12h et de 14h
16h au 01.53.73.22.22 pour obtenir toutes
informations utiles.

ATTENTION
Pour simplifier les procdures, la loi a dispens certains
fichiers les plus courants de dclaration. Ainsi, avant
deffectuer une dclaration, il convient de vrifier que
lefichier concern nest pas exonr de dclaration (www.
cnil.fr, rubrique Dclarer). Ce qui ne dispense en rien de
respecter les dispositions de la loi informatique et liberts.
La dsignation dun correspondant informatique et liberts
(CIL) dispense de dclarer la Commission un certain
nombre de fichiers.

XII

Le Courrier des maires N249 Septembre2011

l

DE 36 50 LES FORMALITS DE DCLARATION LA CNIL

39

40

Les traitements non

automatiss ou manuels
doivent-ils tre dclars?

Quels sont les principaux

traitements soumis une
autorisation de la CNIL?

Ces traitements ne sont pas en principe soumis

lobligation de dclaration. Toutefois, certains
traitements non automatiss ou manuels,
jugs sensibles, doivent faire lobjet dune
demande dautorisation.
Il sagit des traitements de donnes relatives
aux origines raciales ou ethniques, aux opinions
politiques, philosophiques ou religieuses,
lappartenance syndicale, lasant oulavie
sexuelle des personnes.
Labsence de dclaration ne dispense pas
ledtenteur dun traitement manuel de respecter
les grands principes de la loi (lgitimit
de la finalit; pertinence des donnes,
des destinataires, et de la dure de conservation;
information des personnes concernes de leurs
droits).

Lautorisation concerne trois catgories de fichiers:

ceux qui enregistrent les catgories de donnes
suivantes: de donnes dites sensibles (numres
larticle 8 de la loi: origine raciale ou ethnique;
opinion philosophique, politique, syndicale, ou religieuse; vie sexuelle ou sant des personnes),
dedonnes biomtriques, de donnes gntiques
(ADN), dinfractions, de condamnations ou mesures
de sret (traitements des services de police municipale), le numro de Scurit sociale, dapprciations
sur les difficults sociales des personnes.
ceux qui poursuivent des finalits spcifiques:
enqutes statistiques de lINSEE, traitements susceptibles dexclure du bnfice dun droit, dune
prestation ou dun contrat (fichiers de parents mauvais payeurs des factures de cantine scolaire),
interconnexion de fichiers dont les finalits principales sont diffrentes ou correspondent des intrts
publics diffrents, traitements de recherche mdicale
et dvaluation des pratiques de soins.
ceux qui comportent des transferts de donnes hors
de lUnion Europenne.

41

42

Et ceux soumis
un avis de la CNIL?

Existe-t-il des procdures

de dclaration simplifies?

Ce sont des traitements mis en uvre par des organismes, publics ou privs, grant un service public
etconcernant:
la sret de lEtat, la dfense ou la scurit
publique;
la prvention, la recherche, la constatation ou
lapoursuite dinfractions pnales ou lexcution
descondamnations pnales ou des mesures de sret
(ex.: un fichier de gestion des contentieux);
lutilisation du NIR (numro de Scurit sociale)
oula consultation du rpertoire national didentification des personnes physiques (RNIPP) (lorsque les
organismes ne sont pas dj habilits);
le recensement de la population (par lINSEE);
les tlservices de ladministration lectronique
utilisant un identifiant des personnes physiques.
La CNIL doit se prononcer dans un dlai de deux
mois, renouvelable une fois, compter de la rceptionde la demande. En labsence de rponse dans
cesdlais, lavis est rput favorable.

Oui. La CNIL prconise des mesures de simplification pour les traitements les plus courants,
parle biais de dcisions dautorisation
unique(AU) ou dactes rglementaires uniques
(RU). Parexemple, lautorisation unique AU-001
destraitements mis en uvre par les collectivits
locales ou leurs groupements partir des donnes cadastrales pour des finalits limitativement
numres (gestion foncire et urbanisme, amnagement du territoire, gestion des services
publics de lassainissement non collectif), dcision qui concerne notamment les systmes
dinformation gographique (cf. question 43).
LaCNIL a galement adopt un acte rglementaire unique RU-009 (cf. arrt du 14avril
2009) pour les fichiers concernant la recherche
etla constatation des infractions pnales.
Les fichiers mis en uvre pour lexercice des
autres missions de police municipale ou qui
visent simplement faciliter la gestion de lactivit de ces services font lobjet dune autorisation
unique de la CNIL en date du 10juillet 2008
(AU-016) (cf. question 49).

A NOTER
Les traitements soumis une demande davis
de la CNIL doivent faire lobjet dune publication.
Un modle est disponible sur www.cnil.fr.

Le Courrier des maires N249 Septembre2011

l

Autorisation

A ct de la procdure de dclaration
(sous forme complte ou simplifie),
la loi informatique
et liberts a prvu
certains cas o une
autorisation pralable de la CNIL est
exige (art.25).
Ilsagit dun rgime
plus protecteur
sappliquant aux
fichiers considrs
comme sensibles
ou comportant
desrisques
pourlavie prive
ou lesliberts.
LaCNIL doit se
prononcer dans
undlai de deux
mois, renouvelable
une fois, compter
de la rception
dela demande.
Enlabsence de
rponse dans ces
dlais, lautorisation est rpute
rejete. Plus dinformations: www.
cnil.fr, rubrique
Dclarer.

Traitements
courants

Les traitements
conformes ces
textes rglementaires peuvent
faire lobjet dune
dclaration allge,
limage de la
dclaration de
conformit une
norme simplifie.

XIII

DE 36 50 LES FORMALITS DE DCLARATION LA CNIL

43
Formalits

Pour recevoir pour

la premire fois
leCD-ROM, la collectivit doit fournir
la DGFiP la copie
du rcpiss de:
la dclaration
deconformit
lanorme simplifie
n44 (cadastre) ou
la norme simplifie n45 (rles
desimpts locaux),
si lutilisation des
donnes respecte
le cadre fix par
ces textes;
la dclaration
normale dans
lesautres cas (ex.:
mise en place
dunobservatoire
fiscal);
la dclaration
deconformit
lautorisation
unique n1
(AU-001) pour
lexploitation
desfichiers bruts
du cadastre
(Majic3) en relation avec dautres
types de donnes.
Ces dclarations
sefont par tlprocdure depuis
lesite www.cnil.fr
(Dclarer).
Lercpiss dlivr, communiqu
aux services fiscaux pour obtenir
les mises jour
annuelles, doit
tre conserv
parlacollectivit.
Sil a t gar,
ilest possible dobtenir unduplicata.

XIV

Faut-il dclarer chaque

anne les fichiers
ducadastre ou des rles
des impts locaux
pourobtenir les mises
jour de la DGFiP?
Non. Ils doivent tre dclars la CNIL lors
deleur premire acquisition. Leur mise jour
annuelle nest soumise aucune formalit supplmentaire, et le rcpiss dlivr reste valable
tant que lutilisation des donnes est inchange.
De la mme manire, le fait que les CD-ROM
VisDGI aient t rebaptiss Visu-DGFiP
estsans incidence sur leur contenu.
Ou encore, lamodification des donnes Majic2
enMajic3 na pas non plus tre notifie
la CNIL.
Les collectivits qui reoivent pour la premire
fois ces CD-ROM, ou qui nont pas dclar
lesversions prcdentes, doivent effectuer
desformalits auprs de la CNIL, sauf si elles
ontdsign un CIL.

45
Dans quel cas doit-on
modifier une dclaration?
Il faut signaler la CNIL toute modification substantielle du traitement. On considre comme
substantielle une modification portant sur les coordonnes de lorganisme dclarant, la finalit
dutraitement, les informations enregistres ainsi
queles destinataires. En revanche, le changement
dun dirigeant de la collectivit nest pas considr
comme substantiel.
Cette modification se fait par courrier (cf. modle
decourrier sur www.cnil.fr).

44
Le site internet
de la collectivit doit-il
tre dclar?
Les sites vitrines institutionnels sont en principe
dispenss de dclaration, sils ont un but dinformation ou de communication externe et quils respectent
les rgles prvues dans la dispense de dclaration n7
adopte par la CNIL (site www.cnil.fr).
Les sites internet qui ont un champ plus large (ex.:
inscriptions des services administratifs par simple
tlformulaire, diffusion dannuaires, etc.) doivent
faire lobjet dune dclaration dite normale
laCNIL (tldclaration sur lesite de la CNIL), sauf
si la collectivit a dsign uncorrespondant informatique et liberts (CIL).
Enfin, les sites internet offrant aux usagers un tlservice administratif doivent faire lobjet dune demande
davis pralable auprs de la CNIL (cf. question 27).

46
Faut-il dclarer la
transmission informatique
des actes de dcs?
Le transfert par voie lectronique des actes
dedcs la direction gnrale des finances
publiques (DGFiP) est prvu par la norme sim
plifie n43 adopte par la CNIL, relative
la gestion de ltat civil. Ce texte prend acte
de ce que cette transmission des actes de dcs
est conforme larticle L.102 A du Livre des procdures fiscales. Les modalits du transfert
desinformations ntant pas prcises, la transmission dmatrialise est considre comme
couverte. Doivent nanmoins tre respectes
lesexigences de scurit lies cette dmat
rialisation, notamment lobligation de chiffrer
lesdonnes transmises par Internet et didentifier
les expditeurs et destinataires.
Une dclaration simplifie, en rfrence
la norme 43, devra tre effectue auprs
de la CNIL, sauf si la collectivit a dsign
un correspondant informatique et liberts (CIL).

Le Courrier des maires N249 Septembre2011

l

DE 36 50 LES FORMALITS DE DCLARATION LA CNIL

47

48

Faut-il dclarer les

traitements mis en uvre
dans le cadre des systmes
dalerte de la population?

Les registres de recensement

des personnes fragiles en cas
de risques exceptionnels
doivent-ils tre dclars?

Lefficacit des dispositifs dalerte repose

sur ladhsion du plus grand nombre: leur mise
en uvre doit tre prcde dune campagne
dinformation sur lintrt de cette dmarche,
pour la commune comme pour les administrs.
Ilest recommand de collecter les informations
ncessaires (composition du foyer, coordonnes
notamment tlphoniques) directement auprs
des personnes concernes pour disposer
denumros de tlphone fiables et dinformer
lesadministrs de la constitution du fichier ainsi
que du caractre facultatif de ce dispositif.

Les registres prvus par larticle L.121-6-1 du Code

delaction sociale et des familles pour favoriser
lintervention des services sociaux auprs des personnes fragiles (personnes ges ou handicapes)
encas de risques exceptionnels (par exemple, en cas
de canicule) sont exonrs de dclaration.
Toutefois, la dlibration n04-058 de la CNIL
(publie sur son site internet) prcise le cadre du traitement opr, et notamment la pertinence des
informations collectes. Ce qui exclut toute donne
de sant, tout au plus, la capacit de mobilit physique peut tre dcrite afin de prvoir les modes
dvacuation et le matriel de premiers secours.

A NOTER
Une dclaration du fichier (dclaration normale)
recensant les personnes prvenir en particulier
en cas de risque naturel ou industriel doit tre
effectue auprs de la CNIL (www.cnil.fr, rubrique
Dclarer), sauf si la collectivit a dsign un CIL.

49

50

quel type de formalits

sontsoumis les fichiers grs
par la police municipale?

Comment dclarer
lestraitements de gestion
du personnel?

La mise en uvre de traitements de donnes caractre personnel par les services de police municipale
obit un cadre juridique dfini conjointement par
les ministres de lIntrieur, de la Justice et la CNIL.
Larrt du 14avril 2009* (RU-009) dfinit les rgles
de fonctionnement des fichiers mis en uvre par les
communes ds lors quils ont pour objet la recherche
et la constatation des infractions pnales. Les fichiers
des autres missions confies par les maires aux services de police municipale ou qui visent simplement
faciliter la gestion de lactivit de ces services font
lobjet dune autorisation unique de la CNIL, en date
du 10juillet 2008 (AU-016).
Le dveloppement de logiciels mtier et, plus gn
ralement, la mise en place de tout traitement
dedonnes caractre personnel par les services
depolice municipale, sont donc subordonns
lenvoi pralable la CNIL dun engagement
deconformit aux dispositions du RU-009, dune
part, et celles de lAU-016, dautre part.
*Publi au JO du 5juin 2009, p.9233

Les traitements mis en place par une collectivit

pour la gestion de son personnel doivent faire
lobjet de dclarations auprs de la CNIL.
Uneexception: le fichier de la paie exonr
dedclaration par la dispense n1.
La Commission a, pour les traitements les plus
courants, adopt les normes simplifies suivantes: n42 pour les contrles daccs aux
locaux, des horaires et de la restauration; n46
pour la gestion courante des RH (gestion administrative, carrires et formation; mise disposition
doutils informatiques); n47 pour la gestion
desservices de tlphonie fixe et mobile; et n51
pour la golocalisation des vhicules utiliss par
les employs (cf. question 24). Lautorisation
unique n10 encadre le recouvrement des contraventions routires; les autorisations uniques n7,
8, 19 et 27 visent la biomtrie.
Si les traitements respectent le cadre juridique
fix par la norme concerne, un engagement
deconformit de la collectivit suffit.

Le Courrier des maires N249 Septembre2011

l

Personnel

Doivent faire
lobjetdune dclaration normale
lestraitements
misen uvre dans
le cadre de la
cybersurveillance
des salaris
(contrle de lutilisation dInternet
et/ou de la messagerie lectronique,
contrle de lactivit du salari).

XV