Prévention de la délinquance par les mairies : quelles sont les bonnes pratiques ?

07 janvier 2020

Le code de la sécurité intérieure confie au maire des missions de prévention de la délinquance sur le territoire de sa commune. Dans ce cadre, les communes mettent parfois en œuvre des dispositifs de suivi de situations individuelles. Ces traitements de données personnelles peuvent porter sur des données sensibles ou concerner des publics vulnérables. La CNIL, qui a réalisé des contrôles sur cette thématique, rappelle les principaux points de vigilance.

Qu’est-ce que la prévention de la délinquance par les mairies ?

Les mairies peuvent mettre en œuvre des dispositifs de prévention de la délinquance, au titre des dispositions des articles L. 132-4 et suivants du code de la sécurité intérieure.

Certaines communes coordonnent ainsi les actions de prévention de la délinquance et mènent des actions collectives à destination de groupes de personnes sur des thèmes déterminés (réunions d’information sur les violences faites aux femmes, sur la déscolarisation…).

Elles peuvent également décider de mettre en place des groupes de travail chargés d’examiner des situations individuelles signalées par divers acteurs (établissements scolaires, bailleurs sociaux, services de police municipale et nationale) afin de déterminer si des actions de suivi individualisé doivent être mises en œuvre.

Dans le cadre de l’examen d’une situation individuelle, les mairies sont amenées à traiter des données personnelles. Le plus souvent, ces traitements de données sont réalisés dans le cadre de dispositifs de prévention de la délinquance des mineurs primodélinquants ou exposés à la délinquance, mais ils peuvent également concerner d’autres catégories de personnes (femmes victimes de violences, mineurs déscolarisés ou auteurs d’incivilités, etc.).

Quel régime juridique ?

Avant l’entrée en vigueur du RGPD, les traitements de données personnelles mis en œuvre dans le cadre de la prévention de la délinquance par les mairies étaient encadrés par une autorisation unique (AU-38).

Depuis l’entrée en vigueur du RGPD, le régime de l’autorisation unique ne s’applique plus aux traitements de données mis en œuvre par les mairies dans le cadre de leurs missions de prévention de la délinquance. Elle reste néanmoins un cadre de référence utile sur lequel les mairies peuvent s’appuyer pour vérifier la conformité de leurs traitements.

Quels sont les 5 manquements les plus souvent rencontrés et les bonnes pratiques à adopter ?

Une série de contrôles réalisés récemment par la CNIL a permis de mettre en évidence la récurrence de certains manquements. La CNIL souhaite donc rappeler les mauvaises pratiques détectées en précisant les mesures pouvant être mises en œuvre pour les éviter.

  1. Une collecte systématique des données sensibles ou des données relatives à des infractions, condamnations et mesures de sûreté.

Or, ces données ne doivent en principe être collectées que lorsqu’elles sont indispensables pour le suivi de la personne concernée. Par exemple, pour l’examen de la situation d’un mineur condamné à effectuer des travaux d’intérêt général, le motif de la condamnation n’est pas nécessaire à la mise en œuvre du suivi.

Les bonnes pratiques à adopter :

S’assurer de la stricte nécessité de collecter chaque catégorie de donnée au vu des objectifs du suivi.

  1. L’insertion des champs « motif du signalement » ou des zones de commentaire libre dans les fiches de suivi sans en contrôler strictement le contenu.

L’usage de champs libres favorise la collecte excessive de données. Par exemple, il a été constaté que les champs « motifs du signalement » entraînent parfois l’insertion de données issues de fichiers de police comme le Traitement d’antécédents judiciaires (TAJ) alors que la communication de tels éléments est limitée, dans les textes, à certaines personnes. La CNIL a également constaté, dans certains cas, des commentaires purement subjectifs ou inappropriés.

Les bonnes pratiques à adopter :

Privilégier les fiches individuelles de suivi aux fichiers collectifs de suivi (du type tableur), en déterminant un format unique de fiche individuelle de suivi. Ces fiches de suivi doivent être conçues pour minimiser la collecte d’information. Le recours à des cases à cocher avec une liste de choix prédéfinis concernant l’origine du signalement (police nationale, bailleurs sociaux, établissement scolaire…) plutôt que des zones de commentaire libre est une bonne pratique à adopter. Lorsque le recours à des zones de commentaire libre est nécessaire, le contenu de ces champs doit être strictement contrôlé, avec rappel régulier des consignes aux personnes chargées de les remplir.

  1. Une conservation des fiches individuelles ou collectives de suivi sans limite de temps, alors que les données ne doivent être conservées que le temps strictement nécessaire au suivi de la personne concernée.

Les bonnes pratiques à adopter :

Définir des durées de conservation strictes, le cas échéant avec des mécanismes de purge automatique. La gestion des durées de conservation peut être facilitée en proscrivant le recours à des fichiers collectif de suivi, les fiches individuelles de suivi permettant d’avoir une politique fine de gestion des durées de conservation en indiquant dans ces fiches les dates de fin de suivi. Après la fin du suivi, les données peuvent être archivées avec des restrictions d’accès, pendant 3 ans maximum.

  1. Une absence d’information des personnes concernées du traitement de leurs données.

Or, les personnes doivent être informées du traitement de leurs données aux fins de prévention de la délinquance.

Les bonnes pratiques à adopter :

Prévoir un double niveau d’information des personnes, collective et individualisée. Le site web de la mairie peut ainsi intégrer une rubrique spécifique aux dispositifs de prévention de la délinquance qui informe de façon collective les administrés de l’existence de traitements de données à caractère personnel aux fins de prévention de la délinquance. Par ailleurs, la mairie doit également informer de manière individuelle les personnes concernées lorsque leurs données font l’objet d’un traitement. Cette information individuelle doit intervenir avant la réunion d’examen de la situation de la personne. Une information au moment de la mise en place du suivi social est en effet considérée comme tardive. De manière pratique, il s’agit d’un courrier adressé à la personne concernée et, le cas échéant, à son représentant légal.

  1. Un défaut de sécurité pour l’accès aux données.

Or, compte tenu du caractère particulièrement sensible des données traitées et des publics concernés, l’accès aux données doit être strictement limité aux personnes légitimes à en connaître du fait de leurs fonctions.

Les bonnes pratiques à adopter :

Définir des politiques de sécurité destinées à garantir la confidentialité des données. Le maire doit désigner les personnes habilitées à accéder aux données et mettre en œuvre des protections physiques (armoires sécurisées par exemple) et logiques (restrictions d’accès informatique) adéquates. L’échange des informations entre les différents acteurs intervenant dans l’examen des situations individuelles doit également être sécurisé, en chiffrant ou en protégeant par mot de passe les fichiers échangés. Enfin, les mairies doivent mettre en œuvre des mesures de traçabilité des accès aux données, afin de détecter les accès illégitimes.

pia.png

Pour aller plus loin : réaliser une analyse d’impact relative à la protection des données

Dans le cas des traitements mis en œuvre par les mairies aux fins de prévention de la délinquance, la réalisation d’une analyse d’impact relative à la protection des données peut, dans certaines situations, être obligatoire. Même en l’absence d’une analyse d’impact obligatoire, la réalisation d’une telle analyse est une bonne pratique permettant d’identifier les risques et de mettre en place un traitement conforme au RGPD et respectueux de la vie privée.

En savoir plus sur l'analyse d'impact relative à la protection des données (AIPD)