Délibération SAN-2020-005 du 3 septembre 2020

Délibération de la formation restreinte no SAN-2020-005 du 3 septembre 2020 concernant Madame Sonia KRIMI, députée de la 4ème circonscription de la Manche

La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de Monsieur Alexandre LINDEN, président, et de Mesdames Anne DEBET, Sylvie LEMMET et Christine MAUGÜE, membres ;

Vu la Convention no 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée, notamment ses articles 20 et suivants;

Vu l’ordonnance n° 2014-1329 du 6 novembre 2014 relative aux délibérations à distance des instances administratives à caractère collégial ;

Vu le décret no 2019-536 du 29 mai 2019 pris pour l'application de la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu la délibération n° 2020-037 du 2 avril 2020 relative à l’organisation des délibérations de la Commission nationale de l’informatique et des libertés pendant l’état d’urgence sanitaire liée au covid-19 ;

Vu la décision n° 2019-213C du 25 octobre 2019 de la Présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification de tous les traitements mis en œuvre par ou pour le compte du rectorat de l’académie de Caen ;

Vu la décision de la Présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte, en date du 12 mars 2020 ;

Vu la saisine […] reçue par la Commission nationale de l'informatique et des libertés le 8 août 2019 ;

Vu le rapport de Madame Dominique CASTERA, commissaire rapporteur, notifié à Madame Sonia KRIMI, députée de la 4ème circonscription de la Manche, le 3 juin 2020 ;

Vu les observations écrites de Madame Sonia KRIMI, reçues le 7 juillet 2020 ;

Vu les autres pièces du dossier ;

Etaient présents à distance, lors de la séance de la formation restreinte du 16 juillet 2020 qui s’est tenue en visioconférence :

- Madame Dominique CASTERA, commissaire, en son rapport ;

En qualité de représentant de Madame Sonia KRIMI :

- […]

La formation restreinte a adopté la décision suivante :

I. Faits et procédure

1. Le 5 août 2019, la Commission nationale de l’informatique et des libertés (ci-après la CNIL ou la Commission ) a été saisie d’une plainte concernant l’envoi par Madame Sonia KRIMI, députée de la 4ème circonscription de la Manche, de courriers de félicitations aux lauréats du diplôme du baccalauréat 2019 de sa circonscription.

2. En réponse au courrier du service des plaintes de la CNIL daté du 20 septembre 2019, Madame KRIMI a informé la Commission, par courrier en date du 4 octobre 2019, que son équipe avait été rendue destinataire, à sa demande, d’un fichier Excel émanant des services du rectorat de l’académie de Caen – auquel s’est substitué le rectorat de l’académie de Normandie depuis le 1er janvier 2020 – comportant les coordonnées des lauréats du baccalauréat du département. Madame KRIMI a en outre avisé la CNIL qu’un membre de son équipe avait procédé au traitement des noms, prénoms et adresses postales des bacheliers de son département présents dans le fichier à des fins de publipostage, le temps d’une demi-journée, et avait ensuite procédé à la destruction dudit fichier. Enfin, Madame KRIMI a indiqué qu’elle adressait un courrier de félicitations aux bacheliers chaque année depuis son élection, en 2017.

3. Par décision n° 2019-213C du 25 octobre 2019, la Présidente de la CNIL a fait procéder à une mission de vérification auprès du rectorat de l’académie de Caen. Cette mission s’est effectuée sur pièces, le rectorat ayant répondu le 18 novembre 2019 à une lettre de la CNIL du 30 octobre, reçue le 4 novembre.

4. Il résulte des investigations menées par les services de la Commission que le service en charge des examens et concours du rectorat a transmis à la députée, le 18 juillet 2019, sous la forme d’un fichier de format Excel attaché en pièce jointe non chiffrée (non protégée par mot de passe) d’un courriel électronique, les noms, prénoms, dates de naissance, adresses postales, noms des établissements de scolarisation, baccalauréats obtenus et les mentions éventuellement reçues de 11 856 lycéens du département de la Manche lauréats du baccalauréat 2019.

5. La délégation a été informée que les données étaient issues du traitement automatisé de données à caractère personnel relatif à la gestion des examens et concours scolaires dénommé OCEAN , créé par un arrêté du 22 avril 2013. Il lui a également été indiqué que seules les données des lycéens ayant consenti à la transmission de leurs données à une collectivité territoriale lors de leur inscription à l’examen avaient été transmises.

6. La délégation a par ailleurs été informée que le cabinet de la rectrice d’académie avait été mis en copie des différents échanges de courriels intervenus entre le collaborateur de Madame KRIMI et les services du rectorat à l’occasion de cette communication. La délégation à la protection des données du rectorat n’avait en revanche pas été consultée préalablement à la transmission de ces données personnelles.

7. En outre, il ressort des informations portées à la connaissance des services de la Commission que le volume des données personnelles transmises dépassait le périmètre de la demande de l’élue. En effet, celle-ci demandait à être destinataire des noms, prénoms, mentions au baccalauréat et adresses postales des bacheliers de sa circonscription uniquement. Or, il a été indiqué à la délégation que, par manque de temps, les services du rectorat avaient transmis à la députée une liste globale, laissant à cette dernière la liberté de faire son propre tri dans les données issues du traitement OCEAN précité. Ainsi, le rectorat a indiqué à la CNIL que l’imminence des départs en congé des agents rendait plus difficile d’extraire les données afférentes aux seuls bacheliers domiciliés dans la 4ème circonscription de la Manche . Il ressort par ailleurs des informations transmises par le rectorat qu’un fichier rassemblant les données des lauréats ayant obtenu la mention Très bien dans tout le département de la Manche avait déjà été transmis en 2018 à Madame KRIMI, alors que celle-ci avait limité sa demande aux coordonnées des lauréats ayant obtenu la mention Très bien dans sa seule circonscription.

8. Aux fins d’instruction de ces éléments, la Présidente de la Commission a désigné Madame Dominique CASTERA en qualité de rapporteur, le 12 mars 2020, sur le fondement de l’article 22 de la loi du 6 janvier 1978 modifiée.

9. À l’issue de son instruction, la rapporteure a fait notifier par huissier de justice, le 3 juin 2020, à Madame KRIMI un rapport détaillant le manquement au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données (ci-après le Règlement ou le RGPD ) qu’elle estimait constitué en l’espèce.

10. Ce rapport proposait à la formation restreinte de la CNIL de prononcer à l’encontre de Madame KRIMI un rappel à l’ordre, pour sa méconnaissance de l’article 5-1-a du Règlement qui prévoit l’obligation de traiter les données à caractère personnel de manière licite. Il proposait également que cette décision soit rendue publique mais qu’elle ne permette plus d’identifier nommément la députée à l’expiration d’un délai de deux ans à compter de son adoption. Le courrier de notification du rapport indiquait que Madame KRIMI disposait d’un délai d’un mois pour communiquer ses observations écrites.

11. Une convocation à la séance de la formation restreinte du 16 juillet 2020 a été signifiée par huissier de justice à Madame KRIMI, le 15 juin 2020.

12. Le 7 juillet 2020, Madame KRIMI a produit des observations écrites.

13. Lors de la séance de la formation restreinte du 16 juillet 2020, la rapporteure a maintenu les propositions formulées dans son rapport de sanction.

II. Motifs de la décision

1. Sur le droit applicable

14. La formation restreinte rappelle que les données personnelles transmises à Madame KRIMI par les services du rectorat de l’académie de Caen sont issues du traitement automatisé de données à caractère personnel relatif à la gestion des examens et concours scolaires dénommé OCEAN , créé par l’arrêté du 22 avril 2013.

15. La mise en œuvre du traitement OCEAN est soumise, depuis le 25 mai 2018, au respect des exigences posées par RGPD.

16. En conséquence, le RGPD étant applicable aux faits de l’espèce, la formation restreinte apprécie les manquements au regard de ce texte.

2. Sur le manquement à l’obligation de traiter les données de manière licite

17. L’article 5-1-a) du RGPD dispose que les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée .

18. La formation restreinte observe qu’aux termes de l’article 3 de l’arrêté du 22 avril 2013 portant création d’un traitement automatisé de données à caractère personnel relatif à la gestion des examens et concours scolaires dénommé OCEAN , les agents des services académiques figurent parmi les destinataires habilités à recevoir communication des données personnelles issues de ce traitement, pour les seuls candidats à l’examen de l’académie qui les concerne. Les services du rectorat de l’académie de Caen – auquel s’est substitué le rectorat de l’académie de Normandie depuis le 1er janvier 2020 – disposaient donc d’un accès légitime, sur le fondement dudit arrêté, aux données personnelles du traitement OCEAN pour les lycéens du département de la Manche.

19. La formation restreinte relève en revanche que les parlementaires ne figurent pas parmi la liste des personnes habilitées par l’arrêté du 22 avril 2013à être destinataires des données personnelles issues du traitement OCEAN .

20. En effet, si la formation restreinte note qu’aux termes de l’article 3 de l’arrêté du 22 avril 2013 peuvent également être destinataires de données du traitement les agents habilités des collectivités territoriales participant au service public de l’éducation qui en font la demande (…) , elle rappelle que les collectivités territoriales sont des structures administratives distinctes de l’Etat, qui prennent en charge les intérêts de la population d’un territoire précis. Dans ces conditions, un parlementaire ne peut être assimilé ni à une collectivité territoriale ni à un agent d’une telle collectivité au sens de l’arrêté précité.

21. La formation restreinte considère ainsi que Madame KRIMI, en sa qualité de députée, ne pouvait être rendue destinataire des données à caractère personnel du traitement OCEAN .

22. Madame KRIMI n’était en outre pas habilitée à opérer un traitement distinct, en son nom et pour son compte, des données à caractère personnel ainsi transmises.

23. La formation restreinte considère par conséquent qu’en procédant à l’enregistrement du fichier transmis par le rectorat de l’académie de Caen, en utilisant les données de ces fichiers pour effectuer un envoi de courriers aux lauréats et en procédant à la destruction de ces données une fois l’envoi des courriers opéré, Madame KRIMI a méconnu les termes de l’arrêté du 22 avril 2013 précité et, partant, procédé à un traitement illicite de ces données personnelles.

24. Ces faits sont constitutifs d’un manquement à l’article 5-1-a) du RGPD.

3. Sur les éléments aggravants

25. La formation restreinte relève d’abord que le traitement illicite des données personnelles qui est intervenu concerne un nombre important de personnes, puisque les données de 11 856 lycéens ont ainsi été traitées dans des conditions non prévues par l’arrêté du 22 avril 2013.

26. La formation restreinte observe en outre le caractère sensible du public affecté, dès lors qu’une partie des personnes concernées par le traitement illicite des données à caractère personnel étaient mineures au moment des faits.

27. Enfin, la formation restreinte souligne que Madame KRIMI exerce des fonctions publiques et que sa qualité d’élue suscite des attentes légitimes en termes de légalité et de rigueur, y compris dans la mise en œuvre des traitements des données à caractère personnel.

III. Sur les mesures correctrices et leur publicité

28. Aux termes du III de l’article 20 de la loi du 6 janvier 1978 modifiée :

Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé l'avertissement prévu au I du présent article ou, le cas échéant en complément d'une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes :

1° Un rappel à l'ordre ; […]

29. En premier lieu, concernant la mesure proposée par la rapporteure, la formation restreinte considère que le manquement précité justifie que soit prononcé un rappel à l’ordre à l’encontre de Madame KRIMI, pour les motifs suivants.

30. La formation restreinte relève d’abord que le manquement à l’article 5-1-a) est caractérisé par la demande de communication et le traitement par Madame KRIMI de données à caractère personnel, non prévus par l’arrêté du 22 avril 2013 portant création du traitement OCEAN , et dont elle n’est pas habilitée à être destinataire aux termes de ce même arrêté.

31. Elle note ensuite que les données personnelles issues du traitement OCEAN ont été sollicitées et traitées par Madame KRIMI pour la deuxième année consécutive.

32. En second lieu, concernant la publicité de sa décision, la formation restreinte considère que compte tenu de la sensibilité du public concerné, du nombre de personnes concernées par le traitement illicite des données, ainsi que du caractère public des fonctions exercées par Madame KRIMI, la publicité de la décision de rappel à l’ordre pour une durée d’un an apparaît justifiée.

PAR CES MOTIFS

La formation restreinte de la CNIL, après en avoir délibéré, décide de :

· prononcer à l’encontre de Madame Sonia KRIMI un rappel à l’ordre, pour sa méconnaissance de l’article 5-1-a) du règlement no 2016/679 du 27 avril 2016 relatif à la protection des données ;

· rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément Madame Sonia KRIMI à l’expiration d’un délai d’un an à compter de sa publication.

Le président

Alexandre LINDEN

Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.

Retourner en haut de la page