Exploitation d'un fichier d'adresses à des fins d'information ou de communication externe

Dans le contexte national de crise sanitaire, vous avez peut-être décidé la création d’un fichier de contacts aux fins d’information et de communication avec vos administrés.
Il convient de préciser le régime juridique et les modalités de mise en œuvre de ce fichier.
 
La création d’un fichier de contacts des administrés (personnes physiques) de la collectivité constitue un traitement de données à caractère personnel. Ce fichier doit par conséquent être mis en œuvre dans le respect de la réglementation européenne (RGPD) et nationale (loi informatique et libertés) relative à la protection des données.
 
Le traitement envisagé exclut toute utilisation politique ou commerciale des données traitées et doit répondre aux conditions suivantes :


 
1 - Finalité du traitement


Le traitement doit avoir pour seule finalité la constitution et l'exploitation d'un fichier d'adresses à des fins d'information ou de communication des administrés se rapportant à la mission de service public poursuivie par la collectivité qui le met en œuvre soit en l’espèce, « communication, information des administrés en période de crise ».
 

2 - Données traitées


Les données traitées pour la réalisation de la finalité décrite ci-dessus sont dans le cas présent, l’adresse de messagerie électronique des administrés ou à défaut l’adresse postale.
 
Sont exclues : toute autre donnée y compris celles dites sensibles telles que les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, l’état de santé ou les données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.

 
3 - Destinataires des données


Peuvent seules être destinataires des données les agents habilités de la collectivité ayant pour mission d'assurer la diffusion des informations institutionnelles.

4 - Information et droits des administrés

Tous les droits des administrés conférés par le RGPD peuvent s’exercer à l’égard du traitement de leurs données fondé sur la mission d’intérêt public de la collectivité, y compris le droit d’opposition, à l’exception du droit à la portabilité.
 
Par principe, les administrés doivent donc être informés, au moment de la collecte de leurs données ou au plus tard lors de la première communication :

  • de l'identité du maire (responsable de traitement),
  • de la finalité poursuivie par le traitement de leurs données personnelles,
  • du type de données collectées,
  • du caractère obligatoire ou facultatif des réponses à apporter (le cas échéant),
  • des conséquences éventuelles, à leur égard, d'un défaut de réponse,
  • des destinataires des données,
  • de leurs droits et des modalités d'exercice de ces droits.

Lors de chaque opération d'information ou de communication, les droits doivent être rappelés aux administrés. Ces derniers sont informés des moyens dont ils disposent pour s'y opposer. La collectivité doit particulièrement tenir à jour le fichier constitué en tenant compte des éventuelles demandes d’administrés qui s’opposeraient à la réception des communiqués de la collectivité.
 
Exemple d’information par une commune des administrés dans ce contexte :
« Dans le contexte actuel de crise sanitaire français et dans le cadre de sa mission de service public, la commune de (compléter) a constitué un fichier d'adresses électroniques ou à défaut, d’adresses postales de ses administrés aux fins de communication et d’information liées aux évènements qui frappent notre pays.
Ce fichier n’est accessible qu’aux seuls agents de la mairie ayant pour mission d'assurer la diffusion des informations et communiqués de la commune.
En application de la réglementation européenne (RGPD) et nationale (Loi « Informatique et libertés ») relative à la protection des données, tout administré peut accéder et obtenir copie des données le concernant, s’opposer au traitement de ses données, les faire rectifier ou les faire effacer. L’administré dispose également d'un droit à la limitation du traitement de ses données.
Votre adresse sera conservée à cette fin pendant la durée nécessaire au besoin d’information des administrés dans ce contexte.
 
Comprendre les droits conférés par la réglementation
 
Pour exercer ces droits, contactez la Mairie (en précisant le contexte et la nature de la demande) :
Par voie électronique : adresse mail de la Mairie
Par courrier postal : adresse de la Mairie.
Vous avez la possibilité de vous opposer à tout moment à la réception de cette information en écrivant à ces mêmes adresses.


En cas de litige persistant, vous pouvez saisir :


1 - Le délégué à la protection des données (DPD) de la collectivité à l’adresse suivante :
Par exemple, si la Mairie a désigné Haute-Garonne Ingénierie – ATD comme DPD : Haute-Garonne Ingénierie – ATD, 54 Boulevard de l'Embouchure, 31200 Toulouse


2 - L’autorité de contrôle CNIL sur le site www.cnil.fr

5 - Durée de conservation et mise à jour des données


Les données visées ci-dessus sont conservées pour la durée nécessaire à la réalisation de la finalité définie et sont mises à jour régulièrement. Elles sont supprimées à l’issue.

 

6- Mesures de sécurité


 
La commune est tenue de prendre toutes précautions utiles pour préserver la sécurité des données utilisées et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.
L'accès au traitement se fait au moyen d'un mot de passe individuel régulièrement renouvelé ou par tout autre dispositif au moins équivalent.
 


7 - Transmissions de données vers des pays tiers à l'Union européenne


Le fichier de contacts constitué ne peut en aucun cas être transmis vers des pays tiers à l'Union européenne, y compris lorsque cette transmission est réalisée à des fins de sous-traitance. En effet, des clauses contractuelles de confidentialité préalables seraient obligatoires le cas échéant.
 
Tout traitement de données répondant aux conditions visées aux paragraphes 1 à 7 peut être mis en œuvre sans délai.
Il doit cependant faire l’objet d’une fiche descriptive au registre des opérations de traitement de la collectivité. L’ensemble des éléments ci-dessus décrits pourront utilement renseigner la fiche du registre que la commune doit rédiger.
 
Le dispositif ainsi proposé n'exonère la commune d’aucune de ses responsabilités prévues par les textes applicables à la protection des données à caractère personnel.
 
La CNIL est compétente à l’égard des plaintes relatives à ce type de traitement de données.
 

Paru dans :

Date :

2 avril 2020

Mots-clés