Protéger les données personnelles, accompagner l'innovation, préserver les libertés individuelles

Contenu

Délibération

Autorisation unique n° AU-029 : Délibération n° 2012-113 du 12 avril 2012 portant autorisation unique de traitements de données à caractère personnel contenues dans des informations publiques aux fins de communication et de publication par les services d’archives publiques

27 Avril 2012 - Thème(s) : Archives, Service public

JORF n°0100 du 27 avril 2012, Texte n°151

NOR: CNIA1200007X

La Commission nationale de l’informatique et des libertés,

Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu la directive 2003/98/CE du Parlement européen et du Conseil du 17 novembre 2003 concernant la réutilisation des informations du secteur public ;
Vu le code civil, notamment son article 9 ;
Vu le code du patrimoine, notamment ses articles L. 213-1, L. 213-2 à 4, L. 212-11 et R. 212-10, R. 212-11 et R. 212-12 ;
Vu le code de la santé publique ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 6, 8, 9, 25-II et 25-III, 36 et 40 ;
Vu la loi n° 78-753 du 17 juillet 1978 modifiée portant diverses mesures d’amélioration des relations entre l’administration et le public et diverses dispositions d’ordre administratif, social et fiscal ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Après avoir entendu le rapport de M. Jean MASSOT, commissaire, et les observations de Mme Elisabeth ROLIN, commissaire du Gouvernement,

Formule les observations suivantes :

Des documents contenant des données à caractère personnel sont mis en ligne par les services d’archives publiques, à savoir : les services d’archives (nationales, départementales, communales, d’outre-mer) relevant des ministères en charge de la culture, des affaires étrangères et européennes ou de la défense, et des collectivités territoriales.

Les documents d’archives publiques comportent des données à caractère personnel au sens de l’article 2 de la loi du 6 janvier 1978 modifiée dès lors qu’ils sont relatifs :

  • à des personnes physiques potentiellement encore vivantes ;
  • ou à des personnes décédées dont la divulgation des données personnelles a des conséquences sur la vie privée de leurs ayants droit.

Tel peut être le cas des données figurant sur certains actes d’état civil librement communicables puisque le code du patrimoine, dans sa rédaction résultant de la loi n° 2008-696 du 15 juillet 2008, a fixé à soixante-quinze ans, à compter de la date de clôture du registre, le délai à partir duquel les actes de naissance et de mariage sont communicables de plein droit.

Ces données à caractère personnel peuvent être :

  • des données relatives à des événements de la vie privée (mentions marginales d’union, désunion, naturalisation, changement de nom, adoption, reconnaissance, légitimation, abandon...) ;
  • des données « sensibles » au sens de l’article 8 de la loi « Informatique et libertés », c’est-à-dire des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci ;
  • ou des données relatives aux infractions, condamnations, mesures de sûreté (article 9 de la loi « Informatique et libertés »). Les archives contenant de telles données appellent une protection particulière du point de vue de la loi « Informatique et libertés ».

 

La numérisation, la publication, la diffusion ou toute autre mise à disposition sous quelque forme que ce soit ainsi que l’indexation de documents d’archives de manière nominative constituent un traitement de données à caractère personnel au sens de l’article 2 de la loi n° 78-17 du 6 janvier 1978 modifiée.

Dès lors qu’il ne s’agit pas de traitement ayant pour seul objet la tenue d’un registre au sens de l’article 22-II (1°) de la loi « Informatique et libertés », la dispense de toute formalité préalable prévue par cet article ne peut s’appliquer.

Conformément à l’article 36 de la loi du 6 janvier 1978 modifiée, dès lors que la finalité de ces traitements ne se limite pas à « assurer la conservation à long terme de documents d’archives dans le cadre du livre II du code du patrimoine », ces traitements sont soumis aux formalités préalables prévues au chapitre IV de la loi du 6 janvier 1978 modifiée.

Il résulte en outre de ce même article que les données à caractère personnel peuvent être conservées au-delà de la durée prévue au 5° de l’article 6 de la loi « Informatique et libertés » à des fins autres qu’historiques, statistiques ou scientifiques, soit avec l’accord exprès de la personne concernée, soit avec l’autorisation de la commission nationale de l’informatique et des libertés. Le recueil de l’accord exprès des personnes étant difficile compte tenu de l’ancienneté des documents en cause, ces traitements relèvent de l’autorisation de la commission en application du troisième alinéa de l’article 36 de la loi du 6 janvier 1978 modifiée.

Dans la mesure où ils sont susceptibles de comporter des données sensibles au sens de l’article 8 de la loi « Informatique et libertés », ces traitements relèvent également du régime d’autorisation prévu par l’article 25-I (1°) de la même loi.

En application de l’article 25-II de la loi du 6 janvier 1978, la commission décide que le responsable de traitement qui lui adresse un engagement de conformité pour ses traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique, sera autorisé à mettre en œuvre ces traitements dans le respect de la loi « Informatique et libertés », dont les applications pratiques sont décrites ci-après. 

Article 1
Sur le champ d’application.

Seul peut faire l’objet d’un engagement de conformité par référence à la présente autorisation unique un traitement mis en œuvre par:

  • un conseil municipal à travers le service d’archives municipales ;
  • un conseil général à travers le service d’archives départementales ;
  • le ministère de la culture à travers la direction générale des patrimoines, le service interministériel des Archives de France (SIAF), le service des Archives nationales de l’outre-mer (ANOM) ;
  • le ministère des affaires étrangères et européennes (MAEE) à travers ses services d’archives pour les documents d’archives dont il a la responsabilité, notamment au regard des anciennes colonies, protectorats et comptoirs français ;
  • le ministère de la défense et des anciens combattants à travers son service historique.

Est exclu du champ de la présente autorisation l’ensemble des actes et documents relatifs aux infractions, condamnations et mesures de sûreté au sens de l’article 9 de la loi du 6 janvier 1978 modifiée. Les traitements de telles données pour les finalités mentionnées à l’article 2 de la présente autorisation unique doivent faire l’objet d’une autorisation spécifique. 

Article 2
Sur les finalités du traitement.

Les traitements mis en œuvre dans le cadre et les conditions de la présente autorisation unique ont pour finalités la mise en ligne de documents d’archives sur internet dans le cadre de la mise en valeur du patrimoine :

  • soit à des fins historiques, scientifiques ou statistiques conformément aux dispositions du code du patrimoine ;
  • soit à des fins de diffusion du patrimoine pour consultation par le grand public sur internet. 

Article 3
Sur les catégories de données à caractère personnel traitées.

3.1. Dans le champ d’application défini à l’article 1er et pour les finalités décrites à l’article 2, les catégories de données suivantes sont susceptibles d’être traitées:

  • données relatives à l’identité civile de la personne concernée : nom de famille, nom d’usage, prénoms, surnom, alias, pseudonyme ;
  • données relatives à sa naissance : date et lieu de naissance ;
  • données relatives à la nationalité (acquisition, perte, naturalisation...) ;
  • données relatives à son décès : date et lieu du décès ;
  • données relatives à ses unions et désunions : date et lieu du mariage, du pacte civil de solidarité (PACS), du divorce, de la rupture du PACS ;
  • données relatives à sa filiation biologique ou adoptive : noms, prénoms, date et lieu de naissance des parents, conséquence/portée de la filiation ;
  • toutes autres données relatives aux mentions marginales de l’état civil (cf. l’instruction générale relative à l’état civil, IGREC du 11 mai 1999 modifiée) ;
  • parmi ces catégories de données, figurent des données dites « sensibles » au sens de l’article 8 de la loi « Informatique et libertés », c’est-à-dire les données qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci.

3.2. Les données « sensibles » au sens de l’article 8 de la loi du 6 janvier 1978 ne peuvent être publiées pour répondre à la seule finalité de valorisation du patrimoine auprès du grand public. Seule la finalité de mise en valeur à des fins historiques, statistiques ou scientifiques permet leur publication dans les conditions prévues par la présente délibération.

3.3. En outre, la commission rappelle que:

  • en application de l’article 36 de la loi du 6 janvier 1978 et de l’article L. 213-2 du code du patrimoine, les données personnelles ne sont conservées que si elles présentent une utilité administrative ou un intérêt scientifique, statistique ou historique ;
  • conformément aux articles 6 (4°) et 40 de la loi du 6 janvier 1978 modifiée, ces données doivent être « exactes, complètes et mises à jour ». Ceci devrait exclure, sous réserve de ce qui est dit à l’article 4.1 ci-dessous, en matière de registres d’état civil, le second original des registres déposé par l’officier d’état civil au greffe du tribunal de grande instance du lieu de naissance et communiqué par ce dernier aux archives qui n’aurait pas fait l’objet d’une mise à jour. En effet, l’article 75 de la loi n° 89-18 du 13 janvier 1989 portant diverses mesures d’ordre social a supprimé, à compter du 1er janvier 1989, l’obligation d’apposer les mentions sur le second original des registres d’état civil conservés par les greffes des tribunaux de grande instance de métropole. 

Article 4
Sur les conditions de publication et d’indexation des documents d’archives.

Sauf dispositions législatives ou réglementaires contraires, notamment celles qui fixent des délais de communicabilité supérieurs (exemple : les dossiers personnels scolaires, professionnels, bancaires, médicaux...), les traitements mis en œuvre conformément à la présente autorisation doivent respecter les conditions suivantes.

4.1. Les délais de publication de documents d’archives sur internet et les mentions marginales.

Conformément au 3° de l’article 6 de la loi du 6 janvier 1978, les données concernées par la présente autorisation doivent être « adéquates, pertinentes et non excessives au regard des finalités » poursuivies.

Certains documents d’état civil comportent néanmoins des mentions marginales qui font apparaître les unions, désunions, naturalisations, changements de nom, adoptions, reconnaissances, légitimations, ou encore abandons, dont la mise en ligne à l’expiration du délai de non-communicabilité est susceptible de porter une atteinte disproportionnée à la vie privée des personnes concernées, au regard de la finalité poursuivie. Ces mentions doivent donc être occultées pendant une durée plus longue que les délais applicables en matière de communication.

Est donc autorisée la mise en ligne de documents d’archives dans les conditions de délais suivantes:

  • les actes de naissance publiés sur internet soixante-quinze ans à compter de la clôture du registre des actes ne peuvent l’être qu’après occultation de toutes les mentions marginales sur l’image numérique de l’acte original. Ces mentions ne sont rendues accessibles qu’à compter de l’expiration d’une durée de cent ans après la clôture du registre des actes de naissance ;
  • les actes de mariage, et de décès peuvent être publiés sur internet respectivement soixante-quinze ans à compter de la clôture des registres d’actes de mariage et vingt-cinq ans à compter de la clôture des registres d’actes de de décès sans occultation des mentions marginales ;
  • les autres archives publiques contenant des données à caractère personnel sont publiées sur internet à l’expiration d’un délai de cent ans à compter de la date du document.

4.2. La mise en ligne de données sensibles est subordonnée à un accès restreint.

Les documents contenant des données sensibles au sens de l’article 8 de la loi « Informatique et libertés » ne peuvent faire l’objet, par nature, d’une mise en ligne sans restriction sur internet.

Pour autant, compte tenu de l’intérêt qui s’attache à des recherches historiques scientifiques ou statistiques, une occultation définitive des données sensibles ne serait pas conforme à l’intérêt public. Or, le législateur n’a pas défini de délai au-delà duquel de telles données pourraient être diffusées en ligne, le code du patrimoine fixant uniquement un délai de communicabilité des documents.

Dès lors, la commission considère qu’il convient, pour les documents d’archives contenant des données sensibles, de fixer, une fois expirés les délais fixés au 4.1, des modalités de diffusion distinctes selon la finalité poursuivie par le traitement:

  • lorsque la diffusion des documents d’archives est réalisée sur internet à des fins de valorisation du patrimoine auprès du grand public et sans restriction d’accès, les données relevant de l’article 8 de la loi du 6 janvier 1978 modifiée doivent être occultées via un procédé irréversible ;
  • lorsque la diffusion des documents est réalisée à des fins de recherches historiques, y compris à titre personnel et familial, scientifiques ou statistiques, les données sensibles figurant sur les documents d’archives peuvent ne pas être occultées, à condition que des mécanismes viennent restreindre l’accès aux données, afin de garantir le respect de la finalité précitée.

Un accès restreint consiste notamment à subordonner l’accès aux données sensibles :

  • à la création d’un compte utilisateur déclaratif permettant de consulter mensuellement un nombre limité de documents ;
  • ou, lorsque la finalité poursuivie nécessite un accès à un nombre illimité de documents, à la création d’un compte utilisateur nominatif permettant l’authentification de l’internaute ;
  • et à l’enregistrement pendant une durée suffisante et adéquate des consultations effectuées par l’internaute, ainsi qu’à leur analyse régulière afin de détecter toute activité contraire à la finalité poursuivie.

En cas de réutilisation, l’internaute doit conclure avec le service compétent une licence de réutilisation ou accepter des conditions générales d’utilisation dans le respect des lois n° 78-753 du 17 juillet 1978 et n° 78-17 du 6 janvier 1978.

Sauf dispositions législatives ou réglementaires contraires, au-delà d’un délai de cent cinquante ans, les données sensibles peuvent être accessibles au grand public.

4.3. L’indexation des documents d’archives.

L’indexation consiste à répertorier dans un document les données significatives (nom, prénom, date, lieu de naissance...) afin de permettre d’effectuer des recherches par mots-clés de façon simple et rapide dans ces documents.

Compte tenu de la nécessité de limiter les recherches nominatives en la matière, l’indexation, par l’outil de recherche interne du service des archives, sur les nom et prénom(s) des personnes concernées est autorisée:

  • cent vingt ans à compter de la clôture du registre pour les actes de naissance ;
  • cent ans à compter de la clôture du registre pour les actes de mariage ;
  • soixante-quinze ans à compter de la clôture du registre pour les actes de décès ;
  • cent vingt ans à compter de la date du document pour les autres archives publiques contenant des données à caractère personnel.

L’indexation par des moteurs de recherche externes sur les nom et prénom(s) des personnes concernées est interdite avant l’expiration d’un délai de cent vingt ans à compter de la clôture des registres des actes en cause ou de la date des documents.

Pour être conformes à la présente délibération, les traitements doivent donc comporter les mesures nécessaires au respect de cette interdiction.

Des mesures de sécurité doivent être mises en place pour éviter tout téléchargement massif d’archives contenant des données à caractère personnel de personnes toujours vivantes ou dont la divulgation du contenu constituerait une atteinte à la vie privée de leurs ayants droit. Ces mesures de sécurité peuvent consister à utiliser, en l’état actuel de la technique, des « Captcha » visuels et auditifs, à enregistrer préalablement et obligatoirement le lecteur avant toute consultation, ou bien encore à limiter le nombre d’actes accessibles depuis une même adresse IP. 

Article 5
Sur les catégories de destinataires.

Peuvent être destinataires des données :

  • pour la valorisation à des fins historiques, statistiques ou scientifiques : un internaute identifié et justifiant d’un intérêt scientifique ou d’un intérêt historique, y compris à titre personnel ou familial ;
  • pour la diffusion du patrimoine pour consultation par le grand public : tout internaute. 

Article 6
Sur la sécurité des traitements.

Le responsable de traitement prend les mesures nécessaires pour assurer la sécurité et la confidentialité des données qu’il détient et pour empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés puissent en prendre connaissance.

Des mesures de sécurité complémentaires sont mises en place pour éviter le téléchargement massif ou répété d’archives contenant des données à caractère personnel de personnes toujours vivantes ou dont la divulgation du contenu constituerait une atteinte à la vie privée de leurs ayants droit. Toute réutilisation d’informations publiques contenues dans ces traitements et contenant des données personnelles ne peut intervenir que dans les conditions prévues, d’une part, par la loi du 6 janvier 1978 et, d’autre part, par la loi du 17 juillet 1978. Les obligations légales pesant sur le réutilisateur sont précisées dans les conditions générales de réutilisation fixées par le service d’archives et acceptées par le réutilisateur lors de la communication des documents demandés.

En cas de recours à un prestataire de service, le responsable du traitement doit imposer à ce prestataire, par voie contractuelle, de n’utiliser les données qu’aux fins prévues, de s’assurer de leur confidentialité et de procéder à la destruction ou à la restitution de tous les supports manuels ou informatisés de données à caractère personnel au terme de sa prestation. 

Article 7
Sur les droits des personnes concernées.

Le responsable de traitement doit procéder à une information générale, claire et complète sur les sites internet proposant la consultation de documents d’archives. Cette information indique que toute personne vivante dont des données figureraient dans des traitements de publication, diffusion ou indexation d’archives publiques a le droit d’obtenir sans condition le retrait de cette publication en ligne.

Ce droit de retrait est reconnu aux ayants droit dès lors que leur demande est justifiée par la préservation de la mémoire de leurs ancêtres ou la protection de leur propre vie privée.

Le responsable de traitement informe également les personnes consultant les documents mis en ligne que:

  • les mentions marginales des actes de naissance publiés sur son site sont occultées jusqu’à l’expiration du délai de cent ans après la clôture du registre des actes de naissance ;
  • les données sensibles, telles qu’elles résultent de l’article 8 de la loi n° 78-17 du 6 janvier 1978 modifiée, sont occultées dans tous les documents d’archives publiées en ligne sans restriction, jusqu’à cent cinquante ans à compter de la date du document, sauf dispositions législatives ou réglementaires contraires ;
  • l’accès aux documents sans occultation est soumis aux conditions définies par la présente autorisation et aux conditions générales d’utilisation telles que définies par les lois du 6 janvier 1978 et du 17 juillet 1978 susvisées. 

 

Article 8
Sur les modalités de publication.

La présente délibération sera publiée au Journal officiel de la République française.

Fait le 12 avril 2012.

La présidente, I. Falque-Pierrotin 
 

Chargement en cours...