Communes : du risque cyber aux tentations de dérives, les données personnelles des citoyens à l'épreuve du Covid-19

Dans ce contexte de crise, les communes peuvent être amenées à traiter des données personnelles pour alerter et assister leurs administrés. L'état d'urgence sanitaire ne saurait justifier tout manquement à la réglementation sur la protection des données.

Dans ce contexte de crise sanitaire, les communes peuvent être amenées à mettre en place de nombreux traitements de données personnelles pour alerter et informer les populations, mais aussi pour assister leurs administrés. 

Ainsi, par exemple, le Plan Communal de Sauvegarde entraîne la collecte de données de santé pour garantir la prise en charge prioritaire et/ou particulière de certains habitants. La multiplication de fichiers de données personnelles sensibles n’est pas sans risques pour les droits et libertés des personnes. Ces fichiers sont souvent conservés ou partagés sans garanties suffisantes de confidentialité et de sécurité.  

L’état d’urgence sanitaire ne doit pas justifier tout manquement à la réglementation sur la protection des données (RGPD). Plus que jamais, les individus ont besoin de garde-fous non seulement contre les cybercriminels mais aussi contre les tentations de dérives que génèrent les régimes d’exception.

Afin de protéger les personnes, les communes sont amenées à tenir des registres nominatifs 

L’autorité française de contrôle et de protection en matière de données personnelles reste au centre des conseils, rappels et sollicitations en cette période de crise liée au Covid-19.

Mi-avril, la CNIL a publié un article à destination des communes et mairies afin de rappeler les règles applicables aux registres contenant des données personnelles dans le cadre des situations d’urgence. 

Ainsi avec le consentement des personnes concernées (ou des tiers agissant pour leur compte), les communes peuvent légalement constituer les registres suivants :

  • un registre nominatif obligatoire dans le cadre d’un plan départemental d’alerte et d’urgence, en cas de risques exceptionnels, visant les personnes âgées et handicapées ;
  • un registre nominatif facultatif et complémentaire, dans le cadre d’un plan communal de sauvegarde, aux fins d’alerte et de protection des citoyens en cas de réalisation des risques auxquels est soumise la commune.

Comme l’indique la CNIL, ces registres ne doivent pas être assimilables à des « fichiers de population » et les données collectées sont strictement limitées.

Les traitements de données personnelles mis en œuvre par les communes sont susceptibles de présenter des risques pour les administrés

Les communes traitent de grandes quantités de données personnelles, souvent sensibles et concernant parfois des personnes vulnérables.

Les données des administrés sont une mine d’informations précieuses pour des cybercriminels. Elles peuvent être utilisées dans la cadre d’usurpation d’identité et de fraudes ; les impacts pour les personnes concernées peuvent être très graves, financièrement, socialement, psychologiquement, pour leur santé ou leur vie privée.

Les données de santé relèvent d’une catégorie particulière de données dites « sensibles » dont la protection est renforcée. Leur traitement est interdit par principe sauf exceptions telles que prévues par la réglementation sur la protection des données. 

En respectant le RGPD et la Loi informatique et libertés, la commune protège ses administrés

  • Les données des administrés doivent être traitées loyalement par les communes et selon l’une des bases légales autorisées.

Faute de consentement de la personne, le traitement doit pouvoir reposer sur l’un des autres cas prévus par la loi.

Par exemple, en ce contexte de crise sanitaire, la validité du consentement d’une personne vulnérable ou contaminée pourrait être remise en cause. Un tel traitement doit donc pouvoir se fonder sur une autre base légale, la commune devant en vérifier la licéïté de façon préalable à sa mise en œuvre.

Selon les cas, la collectivité territoriale pourra fonder le traitement des données personnelles des administrés sur une mission d’intérêt public dont elle est investie ou sur une obligation légale justifiée par un texte. En cette période de pandémie, la sauvegarde des intérêts vitaux des personnes physiques pourrait aussi être un fondement recevable.

  • Les communes ne peuvent traiter les données qu’à des fins spécifiques et déterminées.

En effet, les communes ne doivent collecter que les données strictement nécessaires à la réalisation de ces finalités. Si traitement poursuivi par l’entité publique a plusieurs objectifs, il conviendra de définir une base légale pour chaque finalité.

  • Les données personnelles des administrés ne sont traitées que pour une durée limitée.

A l’issue du délai de conservation prévu par les textes ou par la commune en sa qualité de responsable de traitement, une purge ou une anonymisation des données des administrés sera à réaliser.

  • Le maire doit prendre toutes les précautions utiles pour garantir l’exactitude des données.

La mise à jour et l’accessibilité des données des administrés est une nécessité lorsqu’il y a des besoins liés aux situations d’urgence. La CNIL recommande au maire de rappeler annuellement à ses administrés, par l’envoi d’un message dédié, la nécessité de le tenir informé de tout changement relatif à leur situation.

  •  Les communes ont aussi une obligation de garantir la sécurité des données personnelles de leurs administrés.

Ces exigences de sécurité passent par la mise en place de mesures techniques et organisationnelles appropriées.

Les communes ne peuvent pas faire l’impasse sur la sécurité des données

Outre les risques de sanction ou de plaintes pour défaut de sécurité et violation de données personnelles, les communes peuvent aussi être victimes de cybercriminels cherchant à obtenir une rançon.

Courant mars, Marseille et plusieurs villes avoisinantes ont été ciblées par un ransomware à la veille du premier tour des élections municipales. Cette attaque massive et généralisée a entraîné une perte de disponibilité des serveurs qui ont été cryptés à hauteur de 90%. La reconstruction du système ne sera pas opérationnelle avant la fin du mois de mai : dans cette attente, les données d’état civil doivent être traitées à la main.

En période de crise, les attaques informatiques se multiplient et les entités publiques sont des cibles privilégiées. Les communes ont une obligation de sécurité des données personnelles des administrés, garantissant leur confidentialité, leur disponibilité et leur intégrité. Les communes doivent donc assurer dans leurs traitements un niveau de sécurité informatique adapté aux risques liés aux données personnelles des citoyens, aussi bien au niveau du matériel, les logiciels ou des canaux de communication utilisés.