/

Le respect par les pouvoirs locaux des règles européennes relatives à la protection des données

  • Session : 2018-2019
  • Année : 2019
  • N° : 184 (2018-2019) 1

2 élément(s) trouvé(s).

  • Question écrite du 21/03/2019
    • de MORREALE Christie
    • à DE BUE Valérie, Ministre des Pouvoirs locaux, du Logement et des Infrastructures sportives
    Selon l’article 7 de la directive européenne relative à la protection des données, les États membres autorisent le traitement de données à caractère personnel dans un certain nombre de cas précis, dont : « l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées ». De plus, ce traitement de données doit répondre à : « la réalisation d’un intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l'intérêt ou les droits et libertés fondamentaux de la personne concernée ».

    Madame la Ministre peut-elle nous apporter des précisions juridiques concernant l’utilisation de certaines données à caractère privé par les pouvoirs communaux, par exemple, dans le cadre de l’organisation des fêtes des aînés, de l’accueil des nouveaux habitants… ?

    Ces activités peuvent-elles entrer dans le cadre d’une mission d’intérêt public telle que définie par la directive européenne ?

    S’il s'agit de la réalisation d'un intérêt légitime ?
  • Réponse du 03/04/2019
    • de DE BUE Valérie
    Le Règlement général sur la protection des données (ci-après RGPD) autorise le traitement de données à caractère personnel moyennant le respect de certaines conditions à même d’assurer la légalité de ce traitement.

    La mise en œuvre d’un traitement de données à caractère personnel sera notamment autorisée si et seulement si celui-ci est licite. Autrement dit, si celui-ci remplit l’un des six fondements suivants :
    - la personne concernée a consenti au traitement ;
    - le traitement est nécessaire à l’exécution d’un contrat ou de mesures précontractuelles ;
    - le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
    - le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique ;
    - le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;
    - le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

    Pour assurer la gestion de leurs nombreuses missions (gestion de l’état civil, tenue des registres de la population,- …), les communes sont amenées à traiter quotidiennement de nombreuses données à caractère personnel. Souvent, ces traitements seront autorisés par le respect d’une obligation légale à laquelle la commune est soumise.

    Le RGPD pose également un principe de limitation des finalités. Ceci signifie concrètement que les données à caractère personnel ne doivent être collectées que pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités.

    Le RGPD autorise donc le traitement de données à caractère personnel pour d'autres finalités que celles pour lesquelles les données ont été collectées initialement, mais uniquement si ce traitement est compatible avec les finalités pour lesquelles les données à caractère personnel ont été collectées initialement. Afin d'établir si les finalités d'un traitement ultérieur sont compatibles avec celles pour lesquelles les données à caractère personnel ont été collectées initialement, le responsable du traitement, après avoir respecté toutes les exigences liées à la licéité du traitement initial, devra se livrer à un exercice de compatibilité.

    Ainsi, si une commune souhaite, comme dans les exemples que l’honorable membre soulève, réutiliser des données à caractère personnel pour une autre finalité que celle pour laquelle elle a initialement obtenu, elle devra évaluer par elle-même le caractère compatible ou non de la réutilisation des données. Pour ce faire, elle devra tenir compte :
    - de l'existence éventuelle d'un lien entre les finalités pour lesquelles les données ont été collectées et les finalités du traitement ultérieur envisagé ;
    - du contexte dans lequel les données à caractère personnel ont été collectées, en particulier à la relation entre les personnes concernées et le responsable du traitement ;
    - de la nature des données à caractère personnel, en particulier si le traitement porte sur des catégories particulières de données à caractère personnel, ou si des données relatives aux condamnations et aux infractions pénales sont traitées ;
    - des conséquences possibles du traitement ultérieur prévu pour les personnes concernées ;
    - de l'existence de garanties appropriées, qui peuvent comprendre le cryptage ou la pseudonymisation.

    L’honorable membre comprendra qu’il appartient à chaque commune de mener cette analyse au cas par cas et qu’il ne peut y avoir une réponse globale portant sur des situations différenciées.