Délibération 2012-320 du 20 septembre 2012

Commission Nationale de l'Informatique et des Libertés
Délibération n°2012-320 du 20 septembre 2012
Délibération de la formation restreinte n°2012-320 du 20 septembre 2012 portant avertissement public à l’encontre de la Commune X
Etat: VIGUEUR

La Commission nationale de l'informatique et des libertés, réunie en sa formation restreinte sous la présidence de Mme Claire DAVAL ;

Etant aussi présents MM. Jean-Marie COTTERET, Jean-François CARREZ, Claude DOMEIZEL et Dominique RICHARD, membres ;

Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la Directive n°95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2011-334 du 29 mars 2011, notamment ses articles 45 et 46 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié, pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2006-147 du 23 mai 2006 fixant le règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu le rapport de M. Jean MASSOT, commissaire rapporteur, adressé par porteur à la commune X, le 19 avril 2012 ;

Vu les observations écrites versées par la société le 16 mai 2012, ainsi que les observations présentées oralement lors de la séance de la formation restreinte du 24 mai 2012 ;

Vu les autres pièces du dossier.

Ayant entendu, lors de la réunion de la formation restreinte du 24 mai 2012 :

- M. Jean MASSOT, commissaire, en son rapport ;

- Mme Catherine POZZO DI BORGO, commissaire du Gouvernement adjointe, en ses observations ;

- M. Yann PADOVA, secrétaire général de la CNIL,

- M.

Ces derniers ayant pris la parole en dernier,

A adopté la décision suivante :

I. FAITS ET PROCÉDURE

Le 25 janvier 2012 la Commission nationale de l'informatique et des libertés (ci-après la CNIL ou la Commission) était saisie d'une plainte formulée par une habitante de la commune X dans le département de [...] (ci-après la commune). L'objet de la plainte portait sur la présence sur un site internet de données à caractère personnel dont les noms, prénom, date, lieu de naissance et adresse personnelle de la plaignante. Ces données seraient issues de la révision de la liste électorale et auraient été diffusées, selon la plaignante, par le service des élections de la commune.

Le 2 février 2012 la commune a confirmé, aux termes d'un échange téléphonique, avoir procédé à la publication sur un site internet dédié à l'hébergement, des données à caractère personnel relatives à la plaignante. Cette publication aurait été faite en application du code électoral qui prévoit l'affichage des tableaux rectificatifs dressé par la commission administrative chargée de la révision de la liste électorale. La commune indique que la publication sur internet a eu lieu pour la période du 10 au 20 janvier 2012 conformément à la législation.

Sur la foi d'un constat d'huissier dressé le 14 février 2012 à la demande de la Commission, il a été établi que les tableaux rectificatifs étaient accessibles sur internet depuis les caches de plusieurs moteurs de recherche. Il ressort de ce constat que le tableau des inscriptions comporte 858 pages et celui des radiations 261 pages. Ces tableaux permettent de prendre connaissance, outre les données dont il est fait état dans la plainte, des motifs de la radiation ou de l'inscription sur la liste électorale. Au nombre de ces données figurent celles relatives au changement de patronyme ou de sexe des personnes mais encore des informations relatives à la perte de nationalité ou à la mention d'une décision de justice.

Au vu des éléments constatés, la Présidente de la Commission a désigné, le 13 mars 2012, M. Jean MASSOT Commissaire, membre de la CNIL, sur le fondement de l'article 46 de la loi du 6 janvier 1978 modifiée.

A l'issue de son instruction, considérant que la société avait manqué à plusieurs obligations lui incombant en application de la loi du 6 janvier 1978 modifiée, le rapporteur a fait notifier à la société par porteur, le 19 avril 2012, un rapport détaillant les manquements à la loi qu'il estimait constitués en l'espèce. Ce rapport proposait à la formation restreinte de la Commission de prononcer à l'encontre de la société un avertissement, dont il sollicitait par ailleurs qu'il soit rendu public.

Était également jointe au rapport une convocation à la séance de la formation restreinte du 24 mai 2012, indiquant à la commune qu'elle disposait d'un délai courant jusqu'au 21 mai 2012 pour communiquer ses observations écrites.

La commune à fait connaitre ses observations par courrier du 16 mai 2012. Elle a également présenté ses observations orales lors de la séance de la formation restreinte du 24 mai 2012.

A l'issue de cette procédure, et après en avoir délibéré, la formation restreinte a adopté la décision dont la teneur suit.

II. MOTIFS DE LA DÉCISION

1. Sur le manquement à l'obligation de traiter les données de manière licite

L'article 6- 1° de la loi du 6 janvier 1978 modifiée ne prévoit que les données sont collectées et traitées de manière loyale et licite. La notion de traitement recouvre selon les termes de l'article 2 de la même loi la diffusion ou toute autre forme de communication.

Il ressort du constat d'huissier établi à la demande de la Commission que les données issues du tableau rectificatif produit par la commission administrative en charge de la révision annuelle des listes électorales instituée à l'article L.17 du code électoral étaient disponibles sur internet.

Ces données ont été mises à disposition du public sur un site internet d'hébergement par les services administratifs de la mairie X et spécialement par le service en charge des élections.

Ces services administratifs ont déclaré avoir procédé au retrait des données à la date du 20 janvier 2012. Il ressort cependant du constat d'huissier que les données étaient encore accessibles à la date du 14 février 2012 par une consultation des caches de deux moteurs de recherche. Sur ce point la formation restreinte estime que la publication sur internet doit être qualifiée de traitement au sens de l'article 2 de la loi du 6 janvier 1978 modifiée, ce qui n'est pas contesté par la commune.

La formation restreinte doit donc apprécier la licéité de ce traitement au regard des textes qui lui sont applicables. En effet, la licéité du traitement en cause est subordonnée au respect des conditions énoncées aux articles R.10 et R.16 du Code électoral.

Il ressort de ces dispositions que chaque commune doit procéder, à l'affichage du tableau de révision de la liste électorale dans les lieux accoutumés pendant une période de 10 jours. Le Conseil d'Etat a considéré qu'il pouvait être satisfait à cette obligation par l'apposition d'une affiche sur les panneaux d'affichage de la mairie invitant à la consultation du tableau rectificatif au secrétariat de la mairie. A l'inverse, à défaut d'une telle affiche, l'obligation prévue par le code électoral n'était pas satisfaite.

En défense, la commune fait valoir que c'est par une erreur d'interprétation des textes et par méconnaissance de la jurisprudence du Conseil d'Etat qui n'était pas citée dans la circulaire du 20 décembre 2007 relative à la révision et à la tenue des listes électorales et des listes électorales complémentaires, que les services ont procédé à la publication sur internet.

En effet, pour la commune, la décision de mise à disposition du tableau rectificatif sur le site d'hébergement a été dictée par la volonté de respecter la loi électorale ¬ dont il est notamment disposé aux articles R.10 et R.16 du Code électoral ¬ en permettant la consultation du tableau alors que le volume de documents à afficher (plus de 1 000 pages) rendait matériellement impossible un placardage dans les lieux accoutumés.

La solution retenue devait donc permettre de pallier cette impossibilité et le choix d'un site externe à la mairie permettre d'interdire les téléchargements et impressions de ce tableau, fonctionnalité dont ne disposait pas le site internet de la commune alors que l'article R16 du code électoral réserve la faculté de communication d'une copie du tableau aux seuls électeurs s'engageant à ne pas faire un usage purement commercial.

Le choix opéré par les services s'est donc porté sur un site d'hébergement contractuellement lié à la commune pour la mise à disposition de documents. Celle-ci indique à cet égard que ce service d'hébergement ne procède à aucune exploitation commerciale des données ou documents mis en ligne par les services.

Sur ce point, la formation restreinte estime qu'en se croyant autorisés, par souci d'efficacité ou par erreur, à utiliser un moyen de communication non prévu par la loi ou le règlement, les services administratifs de la commune ont contrevenu aux dispositions légales applicables. L'erreur dans l'interprétation des textes ne peut excuser le non-respect de ces derniers, et ceci d'autant plus que le choix opéré de diffuser sur un service internet de grande audience renforce la portée de la communication opérée. Il est par ailleurs indifférent, que les services de la commune déclarent n'avoir aucun moyen de contraindre les moteurs de recherches à supprimer les données litigieuses de leurs caches ou même n'avoir pas pensé pouvoir formuler une demande en ce sens.

Le traitement opéré doit donc être considéré comme illicite au sens de l'article 6-1° de la loi du 6 janvier 1978 modifiée.

2. Sur le manquement à l'obligation d'assurer la sécurité des données

L'article 34 alinéa 1 de la loi du 6 janvier 1978 modifiée prévoit que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Il appartient à la formation restreinte de décider si la société a manqué à l'obligation lui incombant en application de ces dispositions en publiant les listes litigieuses sur un site internet tiers consultable sans restriction aucune.

Le Code électoral notamment en ses articles L. 16, L. 20, L.21, L. 25, R. 10 et R. 16 prévoit que les tableaux rectificatifs des listes électorales font l'objet d'un affichage dans les lieux accoutumés pendant 10 jours dans un but d'information des électeurs et d'ouverture du délai de recours contre la décision de la commission administrative de révision de la liste électorale. Les articles L. 28 et R. 16 dernier alinéa du code électoral organisent la communication de la liste électorale et des tableaux rectificatifs mais limitent sa communication aux seuls électeurs, groupements ou partis politiques et la remise de copie à la condition d'un engagement à ne pas procéder à une exploitation purement commerciale des données contenues dans les listes et tableaux.

La commune fait valoir qu'elle a procédé au retrait du tableau du site internet le 20 janvier 2012 au terme de la période de 10 jours prévue par les textes. En l'espèce, il résulte du constat d'huissier établi le 4 février 2012 que les données à caractère personnel issues du tableau rectificatif étaient disponibles sur internet au-delà de la période légale d'affichage obligatoire. En effet, les données issues de la mise en ligne litigieuse étaient librement accessibles sur internet dans les caches des moteurs de recherche, à partir desquels elles étaient en outre copiables et imprimables.

A cet égard, la commune indique n'avoir pas envisagé la possibilité d'une démarche auprès des moteurs de recherche pour obtenir la suppression des données et que l'absence de suppression automatique des caches résulte d'une indexation qui ne serait pas quotidienne. Elle entend ainsi minorer l'étendue de la communication à des tiers par le fait que les pages en question n'avaient pas une forte audience justifiant une indexation quotidienne.

Or, les dispositions susmentionnées du code électoral comme l'avis n°20052483 du 21 juillet 2005 et conseils n°200881742 du 6 juin 2008, 20061187 du 16 mars 2006 de la Commission d'accès aux documents administratifs conduisent à limiter et encadrer tant l'accès que la communication de copies de la liste électorale et des tableaux rectificatifs.

La formation restreinte relève, ce que reconnaissent les services de la commune, que tout internaute pouvait, jusqu'au 20 janvier 2012, prendre connaissance des tableaux sur le site d'hébergement, de même qu'il pouvait, au moins jusqu'au 14 février 2012, prendre connaissance et copier des données issues des tableaux rectificatifs.

Dès lors, les prescriptions légales limitant la communication des tableaux aux seuls électeurs n'ont pas été respectées. Par ailleurs, la formation restreinte constate que la communication d'une copie de la liste est subordonnée à l'engagement de ne pas faire d'exploitation commerciale des données contenues dans la liste. Or, en l'absence de tout contrôle préalable à l'accès à ces tableaux sur internet, cette exigence ne pouvait pas davantage être satisfaite.

Il résulte de cette situation que des données à caractère personnel, dont certaines présentent une sensibilité réelle en raison des informations sur le changement de sexe ou des décisions de justice ont été diffusées dans des conditions qui étendent le nombre des bénéficiaires de la communication au-delà des seuls électeurs visés par la loi, et qui ne permettent pas de s'assurer d'un contrôle sur la finalité non purement commerciale de la communication des données. Au surplus la méconnaissance des processus d'indexation du site hébergeur a augmenté la durée de disponibilité des données au-delà de la période légale, aggravant encore le manquement.

Dans ces conditions, la formation restreinte constate que la commune n'a pas respecté les dispositions de l'article 34 susvisé.

3. Sur les manquements constatés et la publicité de la décision

Dans ces conditions, la formation restreinte considère que la commune X a manqué à plusieurs obligations lui incombant en application des dispositions susvisées de la loi du 6 janvier 1978 modifiée, ce qui justifie que soit prononcé à son encontre un avertissement.

En outre, compte tenu de la nature des faits relevés, la formation restreinte décide de rendre cet avertissement public.

PAR CES MOTIFS

Conformément aux articles 45 et suivants de la loi du 6 janvier 1978 modifiée, la formation restreinte de la CNIL, après en avoir délibéré, décide :

- De prononcer un avertissement à l'encontre de la commune X ;
- De rendre publique sa décision sur le site Internet de la Commission et sur le site Légifrance.

La Présidente

Claire DAVAL

Cette décision est susceptible de faire l'objet d'un recours devant le Conseil d'Etat dans un délai de deux mois à compter de sa notification.




Nature de la délibération: AVERTISSEMENT
Date de la publication sur legifrance: 3 octobre 2012