Les traitements de données à caractère personnel et le respect de la loi "Informatique et libertés" : organisation au sein du ministère de l'agriculture et de la pêche.

Photocopie électronique, cliquez sur l'icône

MINISTERE DE L'AGRICULTURE ET DE LA PECHE

Secrétariat général
Service de la Modernisation
Sous-direction des systèmes d'information
3 rue de Barbet de jouy - 75349 PARIS 07 SP
Suivi par : Aurélia DUJARDIN-DELACOUR
Tél : 01.49.55.48.60 Fax : 01.49.55.40.85
e-mail : aurelia.dujardin-delacour@agriculture.gouv.fr

NOTE DE SERVICE

SG/SM/SDSI/N2006-1402

Date: 31 janvier 2006

Date de mise en application : immédiate
Nombre d'annexe: 0

Le Ministre de l'agriculture et de la pêche
à
Mmes et MM. Les Directeurs d'administration centrale, des services déconcentrés et des offices

Objet : Les traitements de données à caractère personnel et le respect de la loi "Informatique et libertés" : organisation au sein du ministère de l'agriculture et de la pêche.
Bases juridiques : Loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dite " loi Informatique et libertés ", récemment modifiée par la loi du 6 août 2004
Résumé : Rôle des différents intervenants au sein du MAP sur l'élaboration et le suivi des déclarations auprès de la Commission nationale informatique et libertés (CNIL)
Mots-clés : CNIL, traitements de données à caractère personnel, maîtrise d'ouvrage, Conseil des systèmes d'information (CSI)

Destinataires
Mmes et MM. Les Directeurs d'administration centrale, des services déconcentrés et des offices

1.- Les données à caractère personnel
2.- La responsabilité du maître d'ouvrage
3.- Lors de la période d'initiation du projet
4.- Au moment de la validation du projet par le maître d'ouvrage
5. Une fois la validation du projet acquise

La loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dite " loi Informatique et libertés ", récemment modifiée par la loi du 6 août 2004, fixe les règles qui doivent être observées par tout maître d'ouvrage, public ou privé, qui met en œuvre des traitements de données à caractère personnel.

La présente note d'information, préparée avec l'Inspection Générale de l'Agriculture, a pour objet de préciser le rôle des différents intervenants (CSI, Mission du schéma directeur national des systèmes d'information MSDNSI, correspondant du Commissaire du Gouvernement) au sein du MAP.

1.- Les données à caractère personnel

Sont considérées comme données à caractère personnel (art. 2 de la loi du 6 janvier 1978 modifiée) " toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres ". Ainsi, par exemple, des cartes d'un système d'information géographique ne constituent pas, en elles-mêmes, un traitement de données à caractère personnel ; reliées à une base de données cadastrales ou de gestion des aides, elles le deviennent.
Il faut distinguer ces données (nom, adresse, état-civil par exemple) des données dites " à caractère sensible ", dont le traitement est interdit sauf dans des cas très précis et qui font l'objet de procédures particulières (art. 8). Ces données à caractère sensible sont par exemple celles qui font référence aux opinions politiques, syndicales ou religieuses, aux critères ethniques, à des données de santé ou à la vie sexuelle des personnes.
Par traitement de données, il faut entendre non seulement les traitements informatiques stricto sensu, mais aussi les sites Internet et Intranet qui obéissent à des modalités de déclaration particulières.

2.- La responsabilité du maître d'ouvrage

La loi établit la responsabilité pleine et entière du maître d'ouvrage des traitements, y compris dans les conséquences pénales d'une non-conformité aux obligations qu'elle prescrit.
Le maître d'ouvrage n'est pas une entité anonyme et indifférenciée, du type " le ministère " ou " la direction ". C'est celui qui définit les principes du traitement, les modalités de son utilisation et qui est destinataire des informations : c'est en général un directeur, un sous-directeur ou un responsable d'organisme.
Il est donc indispensable que le maître d'ouvrage intègre, dès la conception initiale d'un traitement de données, les obligations résultant de la loi " Informatique et libertés ".

3.- Lors de la période d'initiation du projet

La loi " Informatique et libertés " n'interdit pas le traitement des données à caractère personnel : elle les encadre, par des garanties telles que le consentement des personnes intéressées, le droit d'accès et de rectification, l'existence de sécurités pour éviter la dissémination de ces données, l'absence de " traitements croisés " qui n'auraient pas à leur tour fait l'objet d'une déclaration spécifique, etc.

Ces considérations devront donc être prise en compte dans l'élaboration du cahier des charges.
Þ Lors du premier examen d'un projet par le CSI, le maître d'ouvrage sera invité à préciser si le traitement envisagé contient des données à caractère personnel, la provenance de ces données et les sécurités envisagées

Þ La mission CNIL auprès de la Sous direction des systèmes d'information (SDSI), ainsi que le Service des affaires juridiques (SAJ) peuvent aider les maîtres d'ouvrage à préciser les obligations découlant de la loi

Þ La décision prise, sur avis du CSI, par le Secrétaire général (et le Directeur d'administration centrale concerné s'il y a lieu) mentionnera les modalités de mise en œuvre, si elles sont justifiées par l'existence de données à caractère personnel, nécessaires pour respecter les obligations de la loi " Informatique et libertés "

4.- Au moment de la validation du projet par le maître d'ouvrage

Þ La mission CNIL auprès de la SDSI, ainsi que l'IGA (correspondant du Commissaire du Gouvernement auprès de la CNIL) peuvent aider les maîtres d'ouvrage à remplir les formulaires de déclaration et à préparer les textes de mise en œuvre

5. Une fois la validation du projet acquise

Il appartient au maître d'ouvrage à cette étape de procéder à la déclaration à la CNIL, puis une fois le récépissé ou l'avis de celle-ci obtenu, d'engager la procédure de mise en œuvre, comportant si nécessaire la publication des textes d'autorisation (arrêté ou décret).
Si l'examen du projet suscite des difficultés du côté de la CNIL, celle-ci saisira le Commissaire du Gouvernement qui, à son tour, se retournera vers le correspondant ministériel pour traiter les problèmes rencontrés : il convient donc que l'IGA, qui assure ce rôle de correspondant ministériel pour les services, soit informée des projets soumis à la CNIL et du contenu des dossiers.
N. B. .- Le chef de cabinet du ministre, M. Thierry BARON, est également correspondant " Cabinet " du commissaire du Gouvernement auprès de la CNIL : il sera saisi pour tous les dossiers " sensibles " ou ayant une forte dimension politique.
Þ Une copie de la déclaration à la CNIL et des pièces annexes sera adressée au correspondant ministériel (IGA) simultanément à la procédure officielle de déclaration.
Þ Une copie sera adressée également à la SDSI (mission CNIL) pour archivage du dossier et renseignement de la base de données Atlas.
Þ .Les autres pièces subséquentes (récépissé de la CNIL, avis ou autorisation ; arrêté ou décret de mise en œuvre) seront également adressés au correspondant ministériel (IGA) et à la SDSI (mission CNIL) pour information.

*En résumé...*
CSI (Conseil des systèmes d'information)	Rôle de vérification de la prise en compte des obligations légales au moment de la présentation du projet (cf. fiches standard de présentation des projets)	Président : Yvon NASSIET Secrétaire Général : Jean WOLSACK
Maître d'ouvrage	Rôle d'élaboration de la déclaration auprès de la CNIL et de publication - en cas de besoin - des textes réglementaires de mise en œuvre	Directeur d'administration centrale et responsable délégué par lui pour assurer la maîtrise d'ouvrage
Sous-direction des systèmes d'information (mission CNIL)	Rôle de secrétariat pour la centralisation et l'archivage des dossiers (lié au projet Atlas) et de conseil pour établir les projets de déclaration et d'arrêté	Sous-directeur : Jacques CLEMENT Chargée de mission : Aurélia DUJARDIN-DELACOUR
Service des affaires juridiques	Rôle de conseil généraliste sur les obligations découlant de la loi	Directrice : Marie-Françoise GUILHEMSANS
Inspection générale de l'agriculture (correspondant ministériel du Commissaire du Gouvernement auprès de la CNIL)	Rôle de conseil pour établir les déclarations et projets d'arrêté et rôle d'interface avec le Commissaire du Gouvernement lors de l'examen du dossier par la CNIL	Chef du service : Jean-François MERLE Suivi des dossiers : Pierre BRACQUE, Jean-Laurent CASCARANO, Pierre HIVERT
Chef de cabinet du Ministre (correspondant " Cabinet " du Commissaire du Gouvernement auprès de la CNIL)	Rôle d'interface avec le Commissaire du Gouvernement lors de l'examen du dossier par la CNIL pour les dossiers sensibles ou à forte dimension politique	Chef de Cabinet : M. Thierry BARON

Le Secrétaire Général
Dominique SORAIN

HAUT