Communes : du risque cyber aux tentations de dérives, les données personnelles des citoyens à l’épreuve du Covid-19
Dans ce contexte de crise sanitaire, les communes peuvent être amenées à mettre en place de nombreux traitements de données personnelles pour alerter et informer les populations, mais aussi pour assister leurs administrés.
Ainsi, par exemple, le Plan Communal de Sauvegarde entraîne la collecte de données de santé pour garantir la prise en charge prioritaire et/ou particulière de certains habitants. La multiplication de fichiers de données personnelles sensibles n’est pas sans risques pour les droits et libertés des personnes. Ces fichiers sont souvent conservés ou partagés sans garanties suffisantes de confidentialité et de sécurité.
L’état d’urgence sanitaire ne doit pas justifier tout manquement à la réglementation sur la protection des données (RGPD). Plus que jamais, les individus ont besoin de garde-fous non seulement contre les cybercriminels mais aussi contre les tentations de dérives que génèrent les régimes d’exception.
Afin de protéger les personnes, les communes sont amenées à tenir des registres nominatifs
L’autorité française de contrôle et de protection en matière de données personnelles reste au centre des conseils, rappels et sollicitations en cette période de crise liée au Covid-19.
Mi-avril, la CNIL a publié un article à destination des communes et mairies afin de rappeler les règles applicables aux registres contenant des données personnelles dans le cadre des situations d’urgence.
Ainsi avec le consentement des personnes concernées (ou des tiers agissant pour leur compte), les communes peuvent légalement constituer les registres suivants :
- un registre nominatif obligatoire dans le cadre d’un plan départemental d’alerte et d’urgence, en cas de risques exceptionnels, visant les personnes âgées et handicapées ;
- un registre nominatif facultatif et complémentaire, dans le cadre d’un plan communal de sauvegarde, aux fins d’alerte et de protection des citoyens en cas de réalisation des risques auxquels est soumise la commune.
Comme l’indique la CNIL, ces registres ne doivent pas être assimilables à des » fichiers de population et les données collectées sont strictement limitées.
Les traitements de données personnelles mis en œuvre par les communes sont susceptibles de présenter des risques pour les administrés
Les communes traitent de grandes quantités de données personnelles, souvent sensibles et concernant parfois des personnes vulnérables.
Les données des administrés sont une mine d’informations précieuses pour des cybercriminels. Elles peuvent être utilisées dans la cadre d’usurpation d’identité et de fraudes ; les impacts pour les personnes concernées peuvent être très graves, financièrement, socialement, psychologiquement, pour leur santé ou leur vie privée.
Les données de santé relèvent d’une catégorie particulière de données dites » sensibles dont la protection est renforcée. Leur traitement est interdit par principe sauf exceptions telles que prévues par la réglementation sur la protection des données.
En respectant le RGPD et la Loi informatique et libertés, la commune protège ses administrés
- Les données des administrés doivent être traitées loyalement par les communes et selon l’une des bases légales autorisées.
Faute de consentement de la personne, le traitement doit pouvoir reposer sur l’un des autres cas prévus par la loi.
Par exemple, en ce contexte de crise sanitaire, la validité du consentement d’une […..]
