La nouvelle « charte déontologique type pour l’échange d’informations dans le cadre des conseils locaux de sécurité et de prévention de la délinquance » (CLSPD), que le comité interministériel de prévention de la délinquance s’apprête à diffuser aux maires (voir ce numéro, page 5), prévoit la constitution, sous la responsabilité des édiles, de traitements de données à caractère personnel « permettant le suivi des actions en direction des personnes ou des familles ». Dans une délibération du 26 juin portant « autorisation unique », la Commission nationale de l’informatique et des libertés (CNIL) a donné son feu vert à la création de tels fichiers sous certaines conditions.
Ce type de traitements existe déjà dans la pratique. Mais ils n’étaient pas vraiment encadrés jusqu’à présent. Les maires désireux de mettre en œuvre de tels fichiers devront dorénavant adresser à la CNIL une déclaration comportant un « engagement de conformité » aux conditions posées. Tout traitement excédant le cadre ou les exigences définis par la délibération devra en revanche faire l’objet d’une autre formalité, en l’occurrence une demande d’autorisation spécifique.
La délibération de la Commission nationale de l’informatique et des libertés précise que l’autorisation porte uniquement sur les fichiers destinés à assurer la prévention de la délinquance et mis en œuvre par les maires, et qui :
→ sont centralisés par la municipalité sous la responsabilité de l’édile ou d’une personne désignée par lui, appelée « coordonnateur » ;
→ sont nécessaires au fonctionnement des groupes qui peuvent être mis en place dans le cadre de la prévention de la délinquance et qui relèvent directement des pouvoirs du maire. Soit les groupes de travail et d’échange d’informations à vocation territoriale ou thématique constitués dans le cadre des CLSPD, mais aussi le conseil pour les droits et devoirs des familles (CDDF).
Sont donc notamment exclus du champ d’application de l’autorisation de la CNIL :
→ les échanges intervenant au sein de la formation plénière et restreinte du CLSPD ;
→ les traitements mis en œuvre par les groupes de travail relevant de l’autorité d’un représentant de l’Etat (préfet, procureur…) ou d’organismes appartenant à d’autres entités locales, ainsi que les traitements mis en œuvre par les autres organismes participant au niveau local à la prévention de la délinquance.
Les fichiers encadrés par la délibération de la CNIL ne peuvent poursuivre que les finalités suivantes :
→ le suivi des personnes faisant l’objet d’une ou plusieurs mesures dans le cadre des politiques locales de prévention de la délinquance, au niveau des groupes de travail à vocation territoriale ou thématique des CLSPD ;
→ le suivi des personnes faisant l’objet d’une ou plusieurs mesures dans le cadre de la préparation et l’organisation des décisions du CDDF dans sa mission d’aide et de soutien à la parentalité fondée sur l’action sociale et éducative, aussi bien que dans le cadre de sa convocation que de son fonctionnement et de sa décision finale.
La CNIL précise encore, noir sur blanc, que ces fichiers ne peuvent servir à alimenter d’autres traitements, notamment des fichiers de renseignement sur la personne et sa famille, des fichiers de police judiciaire ou administrative (sauf dans les cas prévus par la loi). Ils ne peuvent pas non plus servir de support pour la prise de décisions qui n’entreraient pas dans le champ de la prévention de la délinquance et qui conduiraient à exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire.
Les données pouvant être traitées, sous réserve qu’elles soient strictement nécessaires aux finalités poursuivies, sont les suivantes :
→ les données relatives à l’identité de la personne concernée et, le cas échéant, à ses représentants légaux (nom, prénom, sexe, date de naissance, adresse postale et électronique, contact téléphonique) ;
→ le niveau scolaire de la personne concernée ou sa situation professionnelle ;
→ les données relatives au suivi de la personne dans le cadre de la mise en œuvre de la politique de prévention de la délinquance (date de début du suivi, origine du suivi, personne à l’origine du signalement, éléments du suivi, référent de parcours attaché à la personne suivie, etc.).
La CNIL précise que des données comportant des appréciations sur les difficultés sociales des personnes concernées, et en particulier des informations sur leur environnement social et familial, peuvent être collectées en vue des réunions du CDDF. Des données relatives à des infractions, condamnations et mesures de sûreté peuvent également être traitées « dans la stricte mesure où elles sont nécessaires à la mise en œuvre du suivi et de l’accompagnement de la personne concernée ». De la même façon, « si elles s’avèrent strictement nécessaires au suivi des personnes prises en charge dans le cadre du programme relatif à la prévention de la délinquance », des données à caractère personnel « qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci »(1), peuvent être traitées.
Sont seuls autorisés à accéder directement aux données le maire le coordonnateur désigné par l’élu et, le cas échéant, les membres de son équipe. « Ces derniers, en tant que professionnels qui interviennent auprès d’une même personne ou d’une même famille, sont en effet susceptibles d’accéder à ces données, dans la limite de ce qui est strictement nécessaire à l’accomplissement de leurs missions », indique la CNIL.
Les personnes qui participent aux réunions des groupes de travail à vocation territoriale ou thématique relevant directement des pouvoirs du maire peuvent également être destinataires des données collectées, sous réserve d’avoir fait l’objet d’une désignation spécifique et individuelle par arrêté de l’édile. Quant aux autres personnes qui assistent à ces groupes, elles peuvent également être destinataires mais « de manière ponctuelle » et « dans le strict respect de leur besoin d’en connaître au titre de leurs missions et sous réserve que cela soit nécessaire pour assurer le suivi des personnes concernées ».
Si un référent de parcours est nommé afin d’assurer le suivi de la personne concernée, il peut, à ce titre, être amené à avoir communication des informations dont il a besoin pour accomplir sa mission, indique encore la CNIL. De même, peuvent recevoir communication des données les personnes qui, en raison de leur fonction et des missions qui leur sont confiées, sont chargées de la mise en œuvre effective des mesures de suivi décidées dans le cadre de la prévention de la délinquance, « dans la limite des seuls cas les concernant et des seules informations nécessaires à l’accomplissement de leurs missions ».
Au passage, la CNIL écarte nommément :
→ les membres participant aux seules formations plénière et restreinte des CLSPD, dans la mesure où il n’y est pas traité de cas individuels ;
→ les services de police et de gendarmerie, « à l’exception des cas où ils agissent dans le cadre des prérogatives qui leur sont confiées au titre de leur mission de police judiciaire » ;
→ les services de municipalité qui ne sont pas, au titre de leur fonction et des missions qui leur sont confiées, chargés de la mise en œuvre effective des mesures de suivi décidées dans le cadre de la prévention de la délinquance.
La CNIL autorise la conservation des données « en base active » (ou archive courante) le temps nécessaire au suivi de la personne concernée. Après la fin du suivi, les données doivent être conservées au sein d’une base inactive (ou archive intermédiaire) pendant trois ans, « dans des conditions qui permettent de garantir leur confidentialité ». En tout état de cause, aucune donnée ne doit être conservée au-delà des 25 ans de la personne concernée. A l’expiration de ces délais, les données doivent être détruites de manière sécurisée.
La CNIL exige qu’une information claire et complète des personnes concernées par une mesure de suivi – et le cas échéant de leurs représentants légaux – soit réalisée. Cette information doit notamment préciser l’identité du responsable du traitement, les objectifs poursuivis, les destinataires des données ainsi que l’existence d’un droit d’accès et de rectification. Ces droits peuvent s’exercer sur place ou sur demande écrite, sur présentation d’un justificatif d’identité. Les intéressés bénéficient également d’un droit d’opposition, pour des motifs légitimes, à ce que des données à caractère personnel les concernant fassent l’objet d’un traitement dans le cadre de la mise en œuvre des politiques de prévention de la délinquance.
Enfin, la CNIL impose au maire de prendre les mesures nécessaires pour préserver la sécurité des données tant à l’occasion de leur recueil que de leur consultation, de leur communication et de leur conservation. « A ce titre, il s’assure notamment que les échanges d’informations avec le coordonnateur et, le cas échéant, le référent de la personne faisant l’objet d’une mesure de suivi, s’effectuent de manière sécurisée et de façon à garantir la confidentialité des données ainsi transmises. »
(1) Selon les termes de l’article 8 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.