Prévention de la délinquance et données personnelles : une nouvelle autorisation unique

Le maire, en application des articles L. 132-1 à L. 132-7 du Code de la sécurité intérieure, concourt à l’exercice des missions de prévention de la délinquance. A ce titre, il peut mettre en place des groupes de travail et désigner un coordonnateur chargé d’animer la politique de prévention de la délinquance sur le territoire de la commune, auquel il peut déléguer ses pouvoirs en la matière.

De fait, les traitements de données à caractère personnel mis en œuvre par les maires dans ce cadre sont susceptibles de porter sur des données « sensibles », au sens de l’article 8 de la loi Informatique et Libertés du 6 janvier 1978 modifiée, relatives à des infractions, condamnations ou mesures de sûreté, ainsi que sur des données comportant des appréciations sur les difficultés sociales des personnes.

Dès lors, de tels traitements, justifiés par l’intérêt public, doivent, préalablement à leur mise en œuvre, être autorisés par la Commission nationale Informatique et libertés (Cnil). C’est pourquoi, celle-ci a adopté une autorisation unique, l’AU-038, afin d’encadrer ces traitements à risques, tout en facilitant les formalités préalables.

En effet, les maires, ou les personnes qu’ils désignent à cet effet, qui adresseront à la Cnil un acte d’engagement de conformité à l’AU-038 pour les traitements de données personnelles répondant strictement aux conditions fixées par cette décision seront autorisés à les appliquer.

En revanche, tout traitement de données à caractère personnel qui excède le cadre ou les exigences définis par cette autorisation unique devra faire l’objet d’une demande d’autorisation spécifique auprès de la Cnil (délai minimum de deux mois d’instruction pour obtenir l’autorisation).

Les traitements concernés

Concrètement, l’AU-038 couvre les traitements nécessaires au fonctionnement :

 des groupes de travail et d’échange d’informations à vocation territoriale ou thématique constitués dans le cadre des Conseils locaux de sécurité et de prévention de la délinquance (CLSPD), prévus par l’article L. 132-5 du Code de la sécurité intérieure, au sein desquels les échanges peuvent concerner des cas précis et des situations individuelles ;

 du Conseil pour les droits et devoirs des familles (CDDF), prévu par l’article L. 141-1 du Code de l’action sociale et des familles, créé à l’initiative du maire par délibération du conseil municipal, qui en approuve le principe et en définit la composition.

Ces traitements de données ne peuvent poursuivre que les finalités suivantes :

 le suivi des personnes faisant l’objet d’une ou plusieurs mesures dans le cadre des politiques locales de prévention de la délinquance au niveau des CLSPD ;

 le suivi des personnes faisant l’objet d’une ou plusieurs mesures dans le cadre de la préparation et l’organisation des décisions du CDDF, dans sa mission d’aide et de soutien à la parentalité.

Dès lors, les traitements encadrés par l’autorisation unique ne peuvent être utilisés
pour alimenter d’autres traitements, notamment des fichiers de renseignement sur la personne et sa famille, des fichiers de police judiciaire ou administrative (sauf dans les cas prévus par la loi). Ni servir de support pour la prise de décisions qui n’entreraient pas dans le champ de la prévention de la délinquance au sens de l’AU-038 et qui conduiraient à exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat, en l’absence de toute disposition législative ou réglementaire.

Au niveau des données dites « sensibles », celles-ci peuvent être traitées uniquement si elles sont nécessaires au suivi des personnes prises en charge dans le cadre d’un programme relatif à la prévention de la délinquance. Ainsi, elles ne doivent en aucun cas être systématiquement collectées. Il en est de même pour les données relatives à des infractions, condamnations et mesures de sûreté, qui peuvent être traitées dans la stricte mesure où elles sont nécessaires à la mise en œuvre du suivi et de l’accompagnement de la personne concernée.

Enfin, les données comportant des appréciations sur les difficultés sociales des personnes concernées, en particulier des informations sur leur environnement social et familial, peuvent être collectées en vue des réunions du CDDF, qui a pour mission d’aider et de soutenir les familles confrontées à des difficultés pour exercer leur autorité parentale.

Conservation des données

Concernant, la durée de conservation de ces données, après la fin du suivi d’une personne, celles-ci doivent être archivées pendant trois ans. Elles ne peuvent être consultées que de manière ponctuelle et motivée.

La Cnil rappelle que, dans le cadre des programmes de prévention de la délinquance, les personnes concernées ne peuvent être suivies que jusqu’à 25 ans. Dès lors, aucune donnée ne doit être conservée au-delà de cette limite d’âge. Ainsi, à l’expiration de ces délais, les données doivent être détruites de manière sécurisée, dans des conditions définies en conformité avec les dispositions du Code du patrimoine relatives aux obligations d’archivage des informations du secteur public.

Ainsi, l’AU-038 rappelle que le maire, responsable du traitement, doit prendre les mesures de protection physique et logique adéquates afin de préserver la sécurité du traitement et des informations, empêcher toute utilisation détournée ou frauduleuse des informations, notamment par des tiers non autorisés, et préserver la confidentialité et l’intégrité des données. Il est donc tenu d’adopter les mesures nécessaires pour préserver la sécurité des données tant à l’occasion de leur recueil que de leur consultation, de leur communication et de leur conservation. A ce titre, l’élu s’assure notamment que les échanges d’informations avec le coordonnateur et, le cas échéant, le référent de la personne faisant l’objet d’une mesure de suivi, s’effectuent de manière sécurisée et de façon à garantir la confidentialité des données transmises. Egalement que l’accès aux données fait l’objet d’une traçabilité effective et adaptée à leur sensibilité et que les utilisateurs des traitements en sont bien informés.

La Commission rappelle aussi la nécessaire mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.