La Commission nationale de l'informatique et des libertés,
Vu le code de l'action sociale et des familles, notamment ses articles L. 141-1 et L. 141-2 ;
Vu le code de la sécurité intérieure, notamment ses articles L. 132-1 à L.132-7 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 25 (I, 1°), 25 (I, 3°), 25 (I, 7°) et 25-II ;
Vu la loi n° 2007-297 du 5 mars 2007 relative à la prévention de la délinquance ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Après avoir entendu M. Jean-François CARREZ, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
En application des articles L. 132-1 à L. 132-7 du code de la sécurité intérieure, le maire concourt à l'exercice des missions de prévention de la délinquance : « Sous réserve des pouvoirs de l'autorité judiciaire et dans le respect des compétences du représentant de l'Etat, des compétences d'action sociale confiées au département et des compétences des collectivités publiques, des établissements et des organismes intéressés, le maire anime, sur le territoire de la commune, la politique de prévention de la délinquance et en coordonne la mise en œuvre. »
La loi n° 2007-297 du 5 mars 2007 relative à la prévention de la délinquance a renforcé le rôle du maire en matière de sécurité et de prévention tout en lui donnant des moyens nouveaux pour assumer sa mission. Ainsi, pour l'exercice de ces missions, le maire peut mettre en place des groupes de travail et désigner un coordonnateur chargé d'animer la politique de prévention de la délinquance sur le territoire de la commune, auquel il peut déléguer ses pouvoirs en la matière.
L'exercice de ces missions repose sur un partage d'informations concernant les personnes en situation de basculement dans la délinquance, ou déjà entrées dans un parcours délinquant.
Les traitements de données à caractère personnel mis en œuvre par les maires dans ce cadre sont susceptibles de porter sur des données sensibles au sens de l'article 8 de la loi du 6 janvier 1978 modifiée, sur des données relatives à des infractions, condamnations ou mesures de sûreté ainsi que sur des données comportant des appréciations sur les difficultés sociales des personnes.
Dès lors, de tels traitements, justifiés par l'intérêt public, relèvent des articles 25 (I, 1°), 25 (I, 3°) et 25 (I, 7°) de la loi du 6 janvier 1978 susvisée et doivent, à ce titre, être autorisés par la CNIL.
En vertu de l'article 25-II de la loi du 6 janvier 1978 modifiée, la Commission peut autoriser par une décision unique une catégorie de traitements qui répondent aux mêmes finalités, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires.
Les traitements automatisés de données à caractère personnel mis en œuvre par les maires dans le cadre du suivi des personnes faisant l'objet d'un suivi par ces derniers dans le cadre des politiques de prévention de la délinquance sont de ceux qui peuvent, sous certaines conditions, relever de cette définition.
Les maires ou les personnes qu'ils désignent à cet effet et qui adressent à la commission une déclaration comportant un engagement de conformité pour les traitements de données à caractère personnel répondant aux conditions fixées par la présente décision sont autorisés à les mettre en œuvre.
Tout traitement de données à caractère personnel qui excède le cadre ou les exigences définis par la présente autorisation unique doit en revanche faire l'objet d'une autre formalité, à savoir une demande d'autorisation spécifique.

Sur le champ d'application.
Seuls peuvent faire l'objet d'un engagement de conformité par référence à la présente décision unique les traitements destinés à assurer la prévention de la délinquance et mis en œuvre par les maires qui :

- sont centralisés par la municipalité, sous la responsabilité du maire ou d'une personne désignée par lui. Appelée « coordonnateur » ou son équivalent selon les spécificités locales, il doit s'agir de l'interlocuteur désigné par le maire qui assure le fonctionnement et définit les moyens pour mettre en œuvre le suivi des politiques de prévention de la délinquance ;
- sont nécessaires au fonctionnement des groupes qui peuvent être mis en place dans le cadre de la prévention de la délinquance et qui relèvent directement des pouvoirs du maire :

- les groupes de travail et d'échange d'information à vocation territoriale ou thématique constitués dans le cadre des conseils locaux de sécurité et de prévention de la délinquance (CLSPD), prévus par l'article L. 132-5 du code de la sécurité intérieure, au sein desquels les échanges peuvent concerner des cas précis et des situations individuelles ;
- le conseil pour les droits et devoirs des familles (CDDF), prévu par l'article L. 141-1 du code de l'action sociale et des familles, créé à l'initiative du maire par délibération du conseil municipal, qui en approuve le principe et en définit la composition.

Sont donc notamment exclus du champ d'application de la présente autorisation unique :

- les échanges intervenant au sein de la formation plénière et restreinte du CLSPD, dont la composition est déterminée par les articles D. 132-8 et D. 132-12 du code de la sécurité intérieure, qui ne peuvent porter que sur des éléments généraux, de bilan et d'orientation ;
- les traitements mis en œuvre par les groupes de travail relevant de l'autorité d'un représentant de l'Etat (préfet, procureur), d'organismes appartenant à d'autres entités locales ainsi que les traitements mis en œuvre par les autres organismes participant au niveau local à la prévention de la délinquance.

Sur les finalités des traitements.
Ces traitements ne peuvent poursuivre que les finalités suivantes :

- le suivi des personnes faisant l'objet d'une ou plusieurs mesures dans le cadre des politiques locales de prévention de la délinquance, au niveau des groupes de travail et d'échange d'information à vocation territoriale ou thématique des CLSPD, ce qui implique : l'actualisation et la centralisation de tous les actes réalisés auprès de la personne durant son suivi, l'organisation des réunions de ces groupes relevant directement des pouvoirs du maire pour évoquer les cas individuels, la transmission des informations sur la mesure prise à la personne concernée ;
- le suivi des personnes faisant l'objet d'une ou plusieurs mesures dans le cadre de la préparation et l'organisation des décisions du conseil pour les droits et devoirs des familles (CDDF), dans sa mission d'aide et de soutien à la parentalité fondée sur l'action sociale et éducative, aussi bien dans le cadre de sa convocation que de son fonctionnement et de sa décision finale (ordre du jour, registre et consignation des événements entraînant la convocation du CDDF, registre des décisions prises par le CDDF).

En particulier, les traitements encadrés par la présente autorisation unique ne peuvent pas :

- servir à alimenter d'autres traitements, notamment des fichiers de renseignement sur la personne et sa famille, des fichiers de police judiciaire ou administrative (sauf dans les cas prévus par la loi) ;
- servir de support pour la prise de décisions qui n'entreraient pas dans le champ de la prévention de la délinquance au sens de la présente autorisation unique et qui conduiraient à exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat en l'absence de toute disposition législative ou réglementaire.

Sur la nature des données traitées.
Les données à caractère personnel suivantes peuvent être traitées, sous réserve qu'elles soient strictement nécessaires aux finalités poursuivies par les traitements mis en œuvre :

- les données relatives à l'identité de la personne concernée et, le cas échéant, à ses représentants légaux (nom, prénom, sexe, date de naissance, adresse, contact téléphonique et adresse électronique) ;
- le niveau scolaire de la personne concernée ou sa situation professionnelle ;
- les données relatives au suivi de la personne dans le cadre de la mise en œuvre de la politique de prévention de la délinquance (date du début du suivi, origine du suivi, personne à l'origine du signalement, éléments du suivi, groupe de travail et d'échange d'information à vocation territoriale ou thématique dans lequel le cas de la personne est abordé et suivi, programme concerné par la mesure de suivi, référent de parcours attaché à la personne suivie, actions mises en œuvre dans le cadre du suivi et chronologie attachée avec la date de début, de fin et le résultat obtenu, mesures judiciaires dont la personne suivie a fait l'objet et éléments de contexte si nécessaire, date de fin de suivi).

Des données relevant de l'article 8 de la loi du 6 janvier 1978 modifiée peuvent être traitées si elles s'avèrent strictement nécessaires au suivi des personnes prises en charge dans le cadre d'un programme relatif à la prévention de la délinquance. Elles ne doivent en aucun cas être systématiquement collectées.
Des données relatives à des infractions, condamnations et mesures de sûreté peuvent également être traitées dans la stricte mesure où elles sont nécessaires à la mise en œuvre du suivi et de l'accompagnement de la personne concernée.
Des données comportant des appréciations sur les difficultés sociales des personnes concernées, et en particulier des informations sur leur environnement social et familial, peuvent être collectées en vue des réunions du CDDF, qui a pour mission d'aider et de soutenir les familles confrontées à des difficultés pour exercer leur autorité parentale.
Conformément à l'article 6 (4°) de la loi du 6 janvier 1978 modifiée, toutes les données traitées doivent être « exactes, complètes et mises à jour ».

Sur les destinataires des données.
Sont seuls autorisés à accéder directement aux données le maire, le coordonnateur, dans le cadre de sa nomination expresse par le maire et de la délégation de pouvoir dont il dispose, ainsi que, le cas échéant, les membres de son équipe. Ces derniers, en tant que professionnels qui interviennent auprès d'une même personne ou d'une même famille, sont en effet susceptibles d'accéder à ces données, dans la limite de ce qui est strictement nécessaire à l'accomplissement de leurs missions.
Peuvent être destinataires des données collectées, sous réserve d'avoir fait l'objet d'une désignation spécifique et individuelle par arrêté du maire, les personnes qui participent aux réunions des groupes de travail et d'échange d'information à vocation territoriale ou thématique relevant directement des pouvoirs du maire.
De manière ponctuelle, les autres personnes qui assistent à ces groupes peuvent également être destinataires des données, dans le strict respect de leur besoin d'en connaître au titre de leurs missions et sous réserve que cela soit nécessaire pour assurer le suivi des personnes concernées.
Les informations échangées dans le cadre de ces groupes sont protégées au titre du secret professionnel, dans les conditions prévues aux articles 226-13 et 226-14 du code pénal, sous réserve des dérogations prévues expressément par la loi et permettant le partage des informations.
Dans le cadre de la mise en œuvre des politiques de prévention de la délinquance, un référent de parcours peut être nommé afin d'assurer le suivi de la personne concernée en lui offrant notamment une aide personnalisée et cohérente et en développant des actions adaptées dans le cadre de la construction d'un parcours d'insertion personnalisé. A ce titre, il peut être amené à avoir communication des données relatives aux informations dont il a besoin pour accomplir sa mission de suivi et d'accompagnement.
De même, peuvent recevoir communication des données les personnes qui, en raison de leurs fonctions et des missions qui leur sont confiées, sont en charge de la mise en œuvre effective des mesures de suivi décidées dans le cadre de la prévention de la délinquance, dans la limite des seuls cas les concernant et des seules informations nécessaires à l'accomplissement de leurs missions.
En tout état de cause, ne peuvent pas être destinataires des données collectées dans le cadre des traitements mis en œuvre :

- les membres participant aux seules formations plénière et restreinte des CLSPD, dans la mesure où il n'y est pas traité de cas individuels ;
- les services de police et de gendarmerie, à l'exception des cas où ils agissent dans le cadre des prérogatives qui leur sont confiées au titre de leur mission de police judiciaire ;
- les services de la municipalité qui ne sont pas, au titre de leurs fonctions et des missions qui leur sont confiées, en charge de la mise en œuvre effective des mesures de suivi décidées dans le cadre de la prévention de la délinquance.

Sur la durée de conservation des données.
Les données traitées sont conservées en base active (ou archive courante) le temps nécessaire au suivi de la personne concernée.
Après la fin du suivi, les données sont conservées au sein d'une base inactive (ou archivage intermédiaire) pendant une durée de trois ans, dans des conditions qui permettent de garantir leur confidentialité. Les données ainsi archivées ne peuvent être consultées que de manière ponctuelle et motivée.
En tout état de cause, dans la mesure où, dans le cadre des programmes de prévention de la délinquance, les personnes concernées ne peuvent être suivies que jusqu'à 25 ans, aucune donnée ne doit être conservée au-delà de cette limite d'âge.
A l'expiration de ces délais, les données sont détruites de manière sécurisée, dans des conditions définies en conformité avec les dispositions du code du patrimoine relatives aux obligations d'archivage des informations du secteur public.

Sur l'information des personnes.
Une information claire et complète des personnes concernées par une mesure de suivi dans le cadre des politiques de prévention de la délinquance et, le cas échéant, de leurs représentants légaux doit être réalisée, conformément aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée.
Cette information doit notamment préciser l'identité du responsable de traitement, les objectifs poursuivis, les destinataires des données ainsi que l'existence d'un droit d'accès et de rectification au bénéfice des personnes identifiées dans le traitement.
Elle doit être réalisée au moment où la personne concernée est informée du fait que sa situation va être examinée afin de bénéficier d'un suivi dans le cadre de la mise en œuvre des politiques de prévention de la délinquance, soit préalablement à la tenue de la réunion pendant laquelle sa situation est évoquée et la décision de mettre en œuvre la mesure de suivi adoptée.

Sur les droits d'accès, de rectification et d'opposition des personnes.
Les droits d'accès et de rectification prévus par les articles 39 et 40 de la loi du 6 janvier 1978 modifiée s'exercent directement auprès du maire territorialement compétent ou d'une personne spécialement désignée à cet effet.
Ces droits d'accès et de rectification peuvent s'exercer sur place ou sur demande écrite, sur présentation d'un justificatif d'identité.
Les personnes concernées bénéficient d'un droit d'opposition, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement dans le cadre de la mise en œuvre des politiques de prévention de la délinquance.

Sur la sécurité des données et la traçabilité des actions.
Le maire, responsable du traitement, prend les mesures de protection physique et logique adéquates afin de préserver la sécurité du traitement et des informations, empêcher toute utilisation détournée ou frauduleuse des informations, notamment par des tiers non autorisés, et préserver la confidentialité et l'intégrité des données.
Il prend les mesures nécessaires pour préserver la sécurité des données tant à l'occasion de leur recueil que de leur consultation, de leur communication et de leur conservation.
A ce titre, il s'assure notamment que les échanges d'informations avec le coordonnateur et, le cas échéant, le référent de la personne faisant l'objet d'une mesure de suivi s'effectuent de manière sécurisée et de façon à garantir la confidentialité des données ainsi transmises.
Le maire s'assure également que l'accès aux données fait l'objet d'une traçabilité effective et adaptée à leur sensibilité et que les utilisateurs des traitements en sont bien informés.
Le responsable de traitement s'engage à respecter ces mesures de sécurité afin de répondre à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée.
La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.

Dispositions transitoires.
Le responsable de traitement qui effectue un engagement de conformité à la présente autorisation unique et qui ne respecte pas les conditions fixées par la présente norme s'agissant de la traçabilité des actions dispose d'un délai de trois ans, à compter de la publication de la présente délibération, pour assurer la conformité du traitement à cette disposition.

Sur la publication.

La présente délibération sera publiée au Journal officiel de la République française.