La Commission nationale de l'informatique et des libertés,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu le code de l'environnement, notamment ses articles L. 127-10 et R. 127-10 ;
Vu le code de l'urbanisme et les réglementations relatives à l'aménagement territorial ;
Vu le livre des procédures fiscales, notamment ses articles L. 107 A et R. 107 A-1 à R. 107 A-7 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 25-I (5°) et 25-II ;
Vu la loi n° 2009-967 du 3 août 2009 relative à la mise en œuvre du Grenelle de l'environnement ;
Vu la loi n° 2010-788 du 12 juillet 2010 portant engagement national pour l'environnement ;
Vu l'ordonnance n° 2005-1516 du 8 décembre 2005, notamment ses articles 9 et 10 portant création du « référentiel général de sécurité » ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la délibération n° 2006-257 du 5 décembre 2006 portant autorisation unique de traitements de données à caractère personnel mis en œuvre par les collectivités locales ou leurs groupements à des fins de gestion de l'urbanisme ou du service public de l'assainissement non collectif et pouvant comporter un système d'information géographique (décision d'autorisation unique AU-001) ;
Après avoir entendu le rapport de M. Dominique Richard, commissaire, et les observations de Mme Elisabeth Rolin, commissaire du Gouvernement,
Champ d'application de la présente autorisation :
Une base de données géographiques de référence a pour finalité de cartographier un territoire, local ou national, aux fins d'une meilleure gouvernance de l'aménagement territorial. Elle comporte les références, le dessin et/ou l'adresse de la parcelle qui permettent indirectement d'identifier le propriétaire de la parcelle. Ces données constituent donc des données à caractère personnel.
Un système d'information géographique (SIG) a notamment pour objet de localiser visuellement sur un territoire des activités humaines ou des catégories d'administrés concernées par une activité de gestion.
L'exploitation statistique d'un SIG consiste à représenter la densité de population par secteur afin, en particulier, d'optimiser une décision.
Cette exploitation statistique ne peut permettre d'identifier directement ou indirectement les personnes concernées. Le responsable de traitement est garant du caractère non identifiant de cette exploitation.
Régime applicable :
Les traitements mis en œuvre à partir des données du cadastre, de base de données géographiques ou d'un SIG, dès lors qu'ils comportent des interconnexions avec un fichier de données à caractère personnel ayant une finalité distincte et relevant d'intérêts publics différents, constituent des traitements soumis au régime d'autorisation prévu à l'article 25-I (5°) de la loi « Informatique et Libertés », sauf dans les cas prévus aux articles 26 ou 27.
En outre, quand ces traitements sont susceptibles de comporter des données relatives aux infractions en matière d'urbanisme et d'environnement, ils relèvent également de l'article 25-I (3°) de la loi du 6 janvier 1978 modifiée. Ils doivent aussi, à ce titre, être autorisés par la commission. Il en va de même des traitements de données relatives à la santé justifiés par l'intérêt public (articles 8-IV et 25-I [1°] de la loi « Informatique et Libertés »).
En application de l'article 25-II de la loi du 6 janvier 1978 modifiée, la commission peut autoriser par décision unique les traitements répondant aux mêmes finalités et portant sur des catégories de données et de destinataires identiques.
Le responsable de chaque traitement se conformant à cette décision unique adresse à la commission un engagement de conformité aux caractéristiques de la présente autorisation.
La commission décide, dans ces conditions, que les structures et organismes énumérés ci-après qui lui adressent un engagement de conformité pour leurs traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique sont autorisés à mettre en œuvre ces traitements.
Fait le 29 mars 2012.
La présidente,
I. Falque-Pierrotin