Par Gérard Haas et Aurélie Puig
Les collectivités ont le devoir de distribuer des masques à leurs administrés : pour ce faire, elles mobilisent massivement les fichiers administratifs, notamment ceux relatifs à la taxe d’habitation. La Commission Nationale Informatique et Libertés (CNIL) a mis à jour son article dédié au traitement des données associées aux opérations de distribution de masques.
La CNIL rappelle que « le législateur n’a pas créé, au bénéfice des communes, un fichier de population ».
C’est l’occasion de faire un retour sur les traitements des données des administrés :
1. Retour sur le scandale du projet « S.A.F.A.R.I »
Le projet SAFARI (Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus) a été révélé par le quotidien Le Monde, le 21 mars 1974, dans un article ravageur « Safari : ou la chasse aux français ». Ce projet consistait à croiser les fichiers de l’administration française pour en créer un fichier unique ultra complet de chaque Français. La polémique éclata autour de ce projet liberticide, faisant prendre conscience aux Français de l’importance de la protection de leurs données personnelles. En 1978, la loi informatique et libertés est promulguée, créant la CNIL et le projet SAFARI ne verra jamais le jour.
2. Coronavirus : Le traitement des données par l’Administration pour la gestion des masques
Les communes vont devoir traiter vos données personnelles pour remplir trois objectifs :
- Vous informer sur la procédure à suivre pour venir récupérer vos masques (finalité 1),
- organiser le RDV ou l’envoi postal de votre masque (finalité 2),
- et contrôler la distribution des masques (finalité 3).
2.1. Information des administrés : quels fichiers peuvent être utilisés par les communes ?
En principe, le fichier de la taxe d’habitation contient des données personnelles qui ne peuvent être traitées que pour des finalités fiscales.
Les collectivités locales étaient donc dans l’impossibilité opérationnelle de distribuer des masques en fonction des données fiscales des personnes.
C’est ainsi que, par exception, la CNIL a admis « la possibilité pour les collectivités territoriales de recourir aux données de la taxe d’habitation pour la communication institutionnelle sur le sujet de la distribution des masques, ainsi que pour l’envoi de ces derniers aux différents foyers».
Comment ?
Par une extraction des données contenues dans le fichier de la taxe d’habitation. C’est-à-dire que les données non pertinentes (le montant de votre impôt par exemple) ne seront pas collectées.
2.2. Distribution des masques : RDV et envoi postal
L’extraction des données de la taxe d’habitation va permettre de collecter les données nécessaires pour l’envoi postal des masques.
Quelles données ?
Afin d’envoyer les masques, les communes collecteront les données d’état civil : nom, prénom, adresse. Mais aussi, les données relatives à la composition familiale du foyer (nombres d’enfants) afin de déterminer le nombre de masques à envoyer.
Certaines données comme la date de naissance, et la nature de l’occupation du domicile pourront également être pertinentes et donc collectées si la délivrance des masques prend en compte l’âge de l’habitant, sa résidence principale etc…
Combien de temps ?
Cette extraction de données donnera lieu à la création d’un nouveau fichier qui devra respecter les principes du RGPD, notamment, la durée de conservation des données qui ne devront être conservées que pour le temps nécessaire à la finalité poursuivie. Ainsi, le fichier devra être supprimé, une fois la distribution de masques terminée.
Quelles garanties ?
La CNIL rappelle l’obligation d’information des personnes concernées par l’envoi postal des masques. Celle-ci devrait se matérialiser par une mention figurant dans le corps du courrier et sur le site internet de la collectivité. (Article 13 RGPD).
En cas de sous-traitance de données provenant des fichiers de taxe d’habitation, la commune doit s’assurer des garanties de sécurité et de confidentialité du sous-traitant, notamment en encadrant la relation par des DPA (data processing agreement).
Pour garantir la cyber-sécurité de ces données, le responsable de traitement, et le sous-traitant doivent prendre toutes les mesures nécessaires afin de garantir :
- Leur intégrité (données non modifiées);
- Leur confidentialité (données non divulguées);
- Leur disponibilité (données non bloquées).
2.3. Suivi et contrôle de la distribution des masques
Le suivi et le contrôle de la distribution des masques sont nécessaires afin de détecter les potentielles demandes abusives.
La CNIL précise que les communes pourront conditionner la délivrance des masques. Celles qui le souhaitent pourront collecter des données personnelles supplémentaires comme l’information sur l’âge, sur la profession, sur la résidence principale…
Elles pourront également « limiter la quantité de masques fournie à chacun des intéressés, sur la base de critères objectifs et prédéfinis ».
Pour les données des personnes assujetties à la taxe d’habitation et dont les informations ont été extraites à partir de cette fiche d’imposition : la CNIL admet une vérification de la qualité d’administré des demandeurs et de leur légitimité à recevoir le nombre de masques sollicités.
***
Le Cabinet HAAS Avocats est à votre disposition pour répondre à toutes vos questions et vous accompagner sur tous les aspects de protection de la vie privée numérique. Pour nous contacter, cliquez-ici.
