RGPD dans les mairies : quels impacts ?

RGPD dans les mairiesRGPD dans les mairies : Le RGPD met à leur charge, et de manière plus générale à celle de l’ensemble des collectivités territoriales, de nouvelles obligations qui font l’objet de l’attention de la Cnil.

La responsabilisation ou « l’accountability » des mairies

Les mairies doivent être dans une démarche proactive et de mise en conformité permanente. Chaque ville doit être en mesure de démontrer qu’elle effectue ses traitements de données à caractère personnel conformément aux exigences de la réglementation applicable en la matière.

La démarche de mise en conformité des collectivités territoriales implique un travail collectif afin de respecter les exigences relatives à la protection des données à caractère personnel.

Le délégué à la protection des données, chef d’orchestre du RGPD dans les mairies

Le RGPD prévoit des cas dans lesquels la désignation d’un délégué à la protection des données (DPD) est obligatoire. C’est le cas lorsque le traitement est réalisé par une autorité publique ou un organisme public (RGPD, art. 37) (1).

Les mairies ont donc l’obligation de désigner un DPD que ce soit en interne si elles disposent des ressources nécessaires ou en externe.

Certaines fonctions sont incompatibles avec la fonction de DPD. C’est le cas en particulier lorsque la personne intervient dans la détermination des finalités et des moyens du traitement. A titre d’exemple, le Directeur des systèmes d’information (DSI) ne peut occuper une telle fonction.

L’obligations des mairies de tenir un registre des activités de traitement

Le RGPD prévoit une obligation de tenir un registre des activités de traitement effectué en qualité de responsable de traitement ou de sous-traitant (RGPD, art. 30).

L’élaboration du registre implique pour la collectivité d’effectuer, au préalable, un état des lieux des traitements mis en œuvre (gestion de l’état civil, gestion des activités scolaires, périscolaires et extrascolaires, gestion de la petite enfance, gestion administrative du personnel, gestion des marchés publics etc.)

Pour être en conformité avec le RGPD dans les mairies, il est nécessaire d’élaborer et de tenir un registre des activités de traitement.

L’encadrement par les mairies de leurs relations avec les sous-traitants

Le RGPD précise qu’un responsable du traitement ne peut faire appel qu’à des sous-traitants qui présentent des garanties suffisantes de conformité à la réglementation relative à la protection des données à caractère.

L’article 28 du RGPD impose un contrat de sous-traitance qui doit comporter un certain nombre de mentions (RGPD, art. 28).

Notamment dans les marchés publics, cela se traduit par l’insertion de clauses particulières par les collectivités qui encadrent les activités des prestataires auxquels elles recourent.

Les principes de protection dès la conception et par défaut dans les mairies

Selon ces principes, la collectivité doit appliquer, tant lors de la détermination des moyens mis en œuvre pour le traitement que pendant le traitement lui-même, des mesures techniques et organisationnelles appropriées, notamment la minimisation et la pseudonymisation, de manière à ce que le traitement soit conforme aux dispositions du Règlement (RGPD, art. 25).

Cela signifie encore que les mairies doivent prendre en compte les exigences de la réglementation dès la phase de projet d’un traitement et mettre en place des paramétrages des outils qui par défaut garantissent la protection des données à caractère personnel.

L’analyse d’impact sur la vie privée

Dès lors que la collectivité territoriale traite des données à caractère personnel susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées, elle doit réaliser une analyse d’impact, AIPD. C’est par exemple le cas pour certains traitements du Centre communal d’action social (CCAS), pour les dispositifs d’alertes professionnels ou encore dans le cadre de l’octroi de logements sociaux.

La sécurité des données à caractère personnel des Mairies

Les villes doivent assurer la sécurité des traitements de données à caractère personnel. Le niveau de sécurité doit être adapté aux risques présentés par le traitement (RGPD, art. 32).

Elles doivent mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques.

La gestion des violations de données par les Mairies

Une violation de données à caractère personnel est une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

Une des nouveautés du RGPD dans les mairies et, de manière générale, dans tous les organismes publics ou privés, réside dans leurs obligations vis-à-vis de la Cnil et des personnes concernées lorsqu’une telle violation de données intervient.

Dès lors qu’une violation de données est susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, les collectivités doivent informer la Cnil dans les meilleurs délais et si possible dans un délai de 72 heures.

L’information des personnes concernées dépend des conséquences préjudicielles qui peuvent être anticipées (RGPD, art. 33 et 34). Dès lors que le risque est élevé pour les droits et libertés des personnes, ils devront être informés de cette violation de données.

Le renforcement de l’information des personnes concernées par les mairies

Les collectivités territoriales doivent fournir un ensemble d’informations prévues aux articles 13 et 14 du RGPD notamment dans les mentions d’information dès lors qu’elles traitent des données des administrés, des agents ou de tout autre personne physique (RGPD, art. 13 et 14).

La gestion des droits des personnes dans les mairies

La personne concernée dispose d’un certain nombre de droits sur ses données et notamment de droits d’accès, de rectification, d’opposition, d’effacement, de limitation du traitement et à la portabilité des données à caractère personnel.

La personne concernée peut exercer ses droits auprès de la collectivité qui doit répondre dans un délai d’un mois à compter de la réception de la demande.

La ville doit apporter une réponse concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples (RGPD, art. 12).

Pour respecter ces exigences du RGPD dans les mairies, il est nécessaire de prévoir une procédure spécifique en interne afin de gérer ces demandes de manière efficace.

Le RGPD dans les mairies, une des préoccupations de la Cnil pour les mois à venir

Tout d’abord, la Cnil souhaite accompagner les collectivités territoriales sur certains sujets comme les élections municipales et la communication politique (2).

A cet égard, la Cnil a publié un guide « Guide de sensibilisation au RGPD pour les collectivités territoriales ».

Par ailleurs, la Cnil a également indiqué que son programme de contrôle 2019 est axé sur :

  • les plaintes reçues par la Cnil relatives à l’exercice effectif des droits des personnes,
  • les données des mineurs (publication de photos, biométrie et vidéosurveillances dans les écoles, recueil du consentement des parents pour les moins de 15 ans).

Plus d’un an après son entrée en application, le respect des exigences du RGPD dans les mairies est un véritable enjeu notamment dans la perspective des élections municipales à venir.

Anne Renard
Yoko Riat
Lexing Conformité et certification

(1) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données, dit RGPD).
(2) Communiqué Cnil du 15-4-2019.




Diffamation publique d’un élu par imputation d’infractions

Diffamation publique d’un élu par imputation d’infractions

La Cour de cassation rappelle les critères de la diffamation publique d’un élu, d’un citoyen chargé d’un mandat public.. Par arrêt du 29 novembre 2016, la Chambre criminelle de la Cour de cassation a confirmé l’arrêt de la Cour d’appel de Paris qui avait jugé coupables de diffamation publique envers un citoyen chargé d’un mandat public le directeur de la publication du site internet www.rue89.com et l’auteur de l’article publié sur ce site qui imputait à un conseiller général d’avoir été « mis en examen pour prise illégal d’intérêt [et] favoritisme ».

Caractérisation de la diffamation publique d’un élu

La diffamation publique envers un envers un citoyen chargé d’un service ou d’un mandat public qu’il soit temporaire ou permanent, est réprimée par l’article 31, alinéa 1er, de la loi du 29 juillet 1881.

Pour permettre une caractérisation de l’infraction, les propos incriminés doivent :

  • imputer des faits précis de nature à porter atteinte à l’honneur et à la considération de la personne visée ;
  • avoir pour objet de discréditer l’homme public, dans l’exercice de ses fonctions, plutôt que l’homme privé ;
  • être diffusés publiquement.

Dans cette affaire, un conseiller général avait déposé, sur le fondement des articles 29 et 31 de la loi du 29 juillet 1881, une plainte avec constitution de partie civile du chef de diffamation publique envers un citoyen chargé d’un mandat public, suite à la publication d’un article mis en ligne sur le site de Rue89 le visant nommément et dans lequel il était indiqué qu’il avait été mis en examen notamment pour des faits de prise illégale d’intérêt et de favoritisme.

L’imputation d’avoir commis dans l’exercice de ses fonctions des infractions pénales caractérise le délit

Le tribunal correctionnel a déclaré les prévenus coupables, en leurs qualités respectives d’auteur principal pour le directeur de la publication et de complice pour l’auteur de l’article, de diffamation publique envers un citoyen chargé d’un mandat public et les a condamnés, chacun, à 1.000 euros d’amende avec sursis et au paiement de la somme d’un euro à la partie civile. Le directeur de la publication, l’auteur de l’article et la partie civile ont tous trois relevé appel de cette décision.

La Cour d’appel de Paris, par arrêt du 10 décembre 2014, a confirmé le jugement entrepris. Elle a en effet jugé que les propos faisaient état d’une mise en examen erronée, le conseiller général n’ayant pas été mis en examen des chefs de prise illégale d’intérêt et de favoritisme, mais de deux autres chefs d’accusation également visés dans l’article.

Elle précise en outre que « l’atteinte à l’honneur et à la considération de l’intéressé ne doit pas s’apprécier selon l’exégèse de juristes spécialisés, mais en fonction du niveau de compréhension du lecteur moyen ».

Elle relève enfin que « si la mise en examen de la partie civile, ou l’absence de celle-ci, a un sens spécifique dans le contexte politique, précédemment rappelé, celle-ci est indifférente au caractère diffamatoire ou non d’allégations, qui toutes imputent à un conseiller général des infractions pénales commises dans l’exercice de ses fonctions ».

Diffamation publique d’un élu : l’absence de base factuelle suffisante exclut la bonne foi

L’excuse de bonne foi permet à l’auteur des propos diffamatoires de s’exonérer de sa responsabilité. Toutefois, la bonne foi, qui ne se présume pas, n’est retenue que dans l’hypothèse où l’auteur a justifié :

  • de la légitimité du but poursuivi : l’imputation diffamatoire doit être justifiée par les nécessités de l’information ou la défense de l’intérêt général ;
  • de l’absence d’animosité personnelle : l’imputation diffamatoire ne doit nourrir aucune querelle ou intérêt personnel ;
  • de prudence dans la relation des faits et de mesure dans l’expression ;
  • du sérieux de l’enquête.

La Cour de cassation affirme de manière constante qu’« il faut qu’à tout le moins le sujet d’intérêt général se greffe sur une base factuelle suffisante » (2).

En l’espèce, la cour d’appel a jugé que « les prévenus doivent justifier d’une base factuelle suffisante qui doit être d’autant plus solide que l’allégation porte sur des faits graves », ce qui n’était pas le cas.

En outre, la cour d’appel a considéré que le bénéfice de la bonne foi ne pouvait être accordé aux prévenus qui n’avaient pas « attendu la publication du communiqué du procureur de la République apportant les précisions qu’ils avaient sollicitées sur les faits dénoncés ».

Diffamation publique d’un élu : le rejet du pourvoi par la Cour de cassation

Le directeur de la publication du site internet et l’auteur de l’article incriminé ont alors formé un pourvoi en cassation contre cet arrêt, pourvoi rejeté par la chambre criminelle de la Cour de cassation qui a estimé qu’« en statuant ainsi, et dès lors, d’une part, que portent atteinte à la considération de la partie civile le fait, pour les prévenus, de lui imputer, à tort, une mise en examen pour une affaire qui n’avait pas été retenue et le rapprochement de certaines phrases de l’article incriminé laissant entendre que M. Z… avait été mis en examen pour deux sinon quatre affaires, d’autre part, qu’excluent la bonne foi l’absence de base factuelle suffisante et le fait de ne pas avoir attendu la publication du communiqué du procureur de la République apportant les précisions qu’ils avaient sollicitées sur les faits dénoncés, la cour d’appel a justifié sa décision ».

Virginie Bensoussan-Brulé
Chloé Legris
Lexing Contentieux numérique

(1) Cass. crim. 2-11-2016 n°15-80511.
(2) « Infractions de presse et droit de savoir du public », extrait de l’étude « Le droit de savoir », Rapport de la Cour de cassation, 2010.