La Commission nationale de l'informatique et des libertés,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu la directive 2003/98/CE du Parlement européen et du Conseil du 17 novembre 2003 concernant la réutilisation des informations du secteur public ;
Vu le code civil, notamment son article 9 ;
Vu le code du patrimoine, notamment ses articles L. 213-1, L. 213-2 à 4, L. 212-11 et R. 212-10, R. 212-11 et R. 212-12 ;
Vu le code de la santé publique ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 6, 8, 9, 25-II et 25-III, 36 et 40 ;
Vu la loi n° 78-753 du 17 juillet 1978 modifiée portant diverses mesures d'amélioration des relations entre l'administration et le public et diverses dispositions d'ordre administratif, social et fiscal ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Après avoir entendu le rapport de M. Jean MASSOT, commissaire, et les observations de Mme Elisabeth ROLIN, commissaire du Gouvernement,
Formule les observations suivantes :
Des documents contenant des données à caractère personnel sont mis en ligne par les services d'archives publiques, à savoir : les services d'archives (nationales, départementales, communales, d'outre-mer) relevant des ministères en charge de la culture, des affaires étrangères et européennes ou de la défense, et des collectivités territoriales.
Les documents d'archives publiques comportent des données à caractère personnel au sens de l'article 2 de la loi du 6 janvier 1978 modifiée dès lors qu'ils sont relatifs :
― à des personnes physiques potentiellement encore vivantes ;
― ou à des personnes décédées dont la divulgation des données personnelles a des conséquences sur la vie privée de leurs ayants droit.
Tel peut être le cas des données figurant sur certains actes d'état civil librement communicables puisque le code du patrimoine, dans sa rédaction résultant de la loi n° 2008-696 du 15 juillet 2008, a fixé à soixante-quinze ans, à compter de la date de clôture du registre, le délai à partir duquel les actes de naissance et de mariage sont communicables de plein droit.
Ces données à caractère personnel peuvent être :
― des données relatives à des événements de la vie privée (mentions marginales d'union, désunion, naturalisation, changement de nom, adoption, reconnaissance, légitimation, abandon...) ;
― des données « sensibles » au sens de l'article 8 de la loi « Informatique et libertés », c'est-à-dire des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci ;
― ou des données relatives aux infractions, condamnations, mesures de sûreté (article 9 de la loi « Informatique et libertés »). Les archives contenant de telles données appellent une protection particulière du point de vue de la loi « Informatique et libertés ».
La numérisation, la publication, la diffusion ou toute autre mise à disposition sous quelque forme que ce soit ainsi que l'indexation de documents d'archives de manière nominative constituent un traitement de données à caractère personnel au sens de l'article 2 de la loi n° 78-17 du 6 janvier 1978 modifiée.
Dès lors qu'il ne s'agit pas de traitement ayant pour seul objet la tenue d'un registre au sens de l'article 22-II (1°) de la loi « Informatique et libertés », la dispense de toute formalité préalable prévue par cet article ne peut s'appliquer.
Conformément à l'article 36 de la loi du 6 janvier 1978 modifiée, dès lors que la finalité de ces traitements ne se limite pas à « assurer la conservation à long terme de documents d'archives dans le cadre du livre II du code du patrimoine », ces traitements sont soumis aux formalités préalables prévues au chapitre IV de la loi du 6 janvier 1978 modifiée.
Il résulte en outre de ce même article que les données à caractère personnel peuvent être conservées au-delà de la durée prévue au 5° de l'article 6 de la loi « Informatique et libertés » à des fins autres qu'historiques, statistiques ou scientifiques, soit avec l'accord exprès de la personne concernée, soit avec l'autorisation de la commission nationale de l'informatique et des libertés. Le recueil de l'accord exprès des personnes étant difficile compte tenu de l'ancienneté des documents en cause, ces traitements relèvent de l'autorisation de la commission en application du troisième alinéa de l'article 36 de la loi du 6 janvier 1978 modifiée.
Dans la mesure où ils sont susceptibles de comporter des données sensibles au sens de l'article 8 de la loi « Informatique et libertés », ces traitements relèvent également du régime d'autorisation prévu par l'article 25-I (1°) de la même loi.
En application de l'article 25-II de la loi du 6 janvier 1978, la commission décide que le responsable de traitement qui lui adresse un engagement de conformité pour ses traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique, sera autorisé à mettre en œuvre ces traitements dans le respect de la loi « Informatique et libertés », dont les applications pratiques sont décrites ci-après.
Fait le 12 avril 2012.
La présidente,
I. Falque-Pierrotin