Sécurité des systèmes d’information et collectivités territoriales : la Cnil rappelle les règles et n’hésite pas à sanctionner.
Bien que ne disposant pas des mêmes moyens financiers que les sociétés privées, les collectivités locales devront désormais s’assurer de la conformité de leurs traitements avec la réglementation Informatique et libertés.
En effet, les collectivités locales peuvent au même titre que tout organisme public ou privé faire l’objet de contrôles de la part de la Cnil. Les responsables locaux (en l’occurrence les maires ou présidents d’établissements publics de coopération intercommunale) doivent faire preuve de vigilance car leur responsabilité peut être engagée et des sanctions pécuniaires prononcées.
Les collectivités territoriales et le sécurité des systèmes d’information
Lors de sa formation contentieuse du 03 février 2011, la Cnil a procédé à la mise en demeure d’une collectivité territoriale qui s‘était constituée un tableau d’évaluation de ses agents, comportant notamment leurs congés de maladie. En outre, la Cnil a relevé qu’aucun des autres traitements mis en œuvre par cette collectivité (vidéosurveillance, badgeuse) n’avait fait l’objet de formalités préalables et ne disposait d’aucune politique de conservation.
La Cnil a donc mis en demeure cette collectivité de procéder sous deux mois à l’ensemble des formalités ; de plus, les collectes excessives de données devront cesser et les personnes visées être informées de leurs droits. Une politique de conservation proportionnelle devra être établie (1).
Dans cette même logique, rappelons la récente condamnation d’une mairie pour détournement de la finalité d’un fichier et collecte illicite de fichiers après que le maire se soit constitué un « fichier de population » avec les données issues du recensement Insee. Une amende de 1 500 euros avait également été prononcée (2).
Enfin, notons les condamnations récentes (4 février 2011) de l’Ealing Council et de l’Hounslow Council prononcées par l’ICO (organisme public équivalent à la Cnil française) à la suite du vol de deux ordinateurs portables non cryptés d‘employés à leur domicile personnel. Au final, les données sensibles de quelques 1 700 administrés de ces institutions ont été volées. L’ICO relève pour justifier sa décision un risque significatif pour la vie privée des clients (seul un mot de passe protégeait l’accès à ces ordinateurs alors même que ces employés n’officiaient qu’en télétravail). En conséquence, l’ICO a imposé une sanction pécuniaire s’élevant à £80 000 à l’Ealing Council et £70 000 à l’encontre de l’Hounslow Council (3).
Notes
(1) Cnil, Rubrique Actualité, article du 28-3-2011
(2) TGI Cambrai, ch. cor., 13-7-2010 ; Cnil, Rubrique Actualité, article du 31-1-2011