Données personnelles
Données personnelles
Les données personnelles désignent toute information se rapportant à une personne identifiée ou identifiable. Ce concept, central dans le domaine du droit, est particulièrement crucial au sein de la fonction publique, où le traitement de ces données est quotidien dans le cadre des missions de service public.
Définition
Selon le RGPD, une donnée personnelle correspond à toute information concernant une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d'identification, des données de localisation, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Exemples courants :
- Nom et prénom
- Adresse postale ou courriel électronique
- Numéro de téléphone
- Numéro de sécurité sociale
- Données biométriques (empreintes digitales, reconnaissance faciale)
- Adresse IP
Cadre juridique en France et en Europe
Le traitement des données personnelles est encadré par plusieurs textes législatifs et entités :
Un tableau récapitulatif des principaux textes :
| Texte juridique | Date d’adoption | Champ d’application |
|---|---|---|
| Loi informatique et libertés | 6 janvier 1978 | France |
| RGPD | 27 avril 2016 | Union européenne |
| Directive police-justice | 27 avril 2016 | Union européenne (secteur police et justice) |
La CNIL est l’autorité administrative indépendante chargée de veiller à la protection des données à caractère personnel en France.
Enjeux dans la fonction publique
Les agents de la fonction publique traitent quotidiennement de nombreuses données personnelles concernant les usagers, agents publics, et prestataires dans le cadre de leurs missions. Cela inclut des informations relatives :
- Au recrutement et à la gestion du personnel ([dossier administratif], concours, carrière)
- À la gestion des prestations sociales (aide sociale, retraite)
- À la gestion de dossiers médicaux ou disciplinaires
Le respect du secret professionnel, du principe de minimisation, et de confidentialité est essentiel.
Principes fondamentaux du traitement
Les traitements de données personnelles doivent respecter les principes suivants (issus du RGPD) :
- Licéité, loyauté et transparence
- Limitation des finalités
- Minimisation des données
- Exactitude
- Limitation de la conservation
- Intégrité et confidentialité
La plupart des traitements réalisés dans la fonction publique le sont sous la responsabilité du responsable de traitement, aidé par un DPO.
Droits des personnes concernées
Toute personne dont les données sont traitées bénéficie de droits fondamentaux :
- Droit à l’information
- Droit d’accès
- Droit de rectification et d’effacement
- Droit à la limitation et à l’opposition du traitement
- Droit à la portabilité
Ces droits sont exercés auprès du responsable du traitement ou du délégué à la protection des données de l’organisme concerné.
Acteurs clés
Catégories particulières de données
Le RGPD prévoit une protection renforcée pour certaines catégories dites « sensibles » :
- Données révélant l’origine raciale ou ethnique
- Opinions politiques
- Convictions religieuses ou philosophiques
- Données génétiques
- Données biométriques
- Données concernant la santé
- Données concernant la vie sexuelle ou l’orientation sexuelle
Leur traitement est en principe interdit en dehors de certains cas précis (obligation légale, consentement explicite, intérêt public majeur).
Sécurité et confidentialité
La sécurité des données personnelles engage la responsabilité des administrations publiques. À ce titre, des mesures organisationnelles et techniques sont exigées :
- Contrôle des accès (authentification forte, gestion des habilitations)
- Chiffrement
- Sauvegarde régulière
- Journalisation des accès
En cas de violation de données, une notification doit être réalisée à la CNIL et, dans certains cas, aux personnes concernées.
Sanctions et contrôles
La CNIL accomplit des missions d’information, de contrôle, de sanction et de conseil auprès des organismes publics. Les sanctions en cas de manquement peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, selon le RGPD.
Quelques exemples de sanctions prononcées :
| Année | Organisme | Motif | Montant/Conséquence |
|---|---|---|---|
| 2019 | Manquement à l’obligation d’information et à la transparence | 50 millions d’euros | |
| 2022 | Ministère de l’Éducation nationale et de la Jeunesse | Défaillances dans la sécurité des données | Réprimande publique |
Exemples d’utilisation dans la fonction publique
- Fichiers de gestion des ressources humaines (GRH)
- Portails de démarches administratives en ligne ([FranceConnect], [Service-Public])
- Systèmes de vidéosurveillance dans les établissements publics
- Applications de gestion des congés ou des absences
- Gestion électronique de documents (GED)
- Fichiers de la Police nationale ou de la Gendarmerie nationale
Bonnes pratiques pour les agents publics
- Respecter la charte informatique de l’organisme.
- Collecter seulement les données nécessaires à la finalité.
- Informer les personnes concernées.
- Actualiser et sécuriser les dossiers.
- Signaler toute faille à son DPO.
- Ne jamais transférer de données sensibles sans autorisation.
Voir aussi
- RGPD
- CNIL
- DPO
- Loi informatique et libertés
- Responsable de traitement
- Sécurité des systèmes d'information
- Anonymisation
- Secret professionnel
Bibliographie
- CNIL, La protection des données personnelles dans la fonction publique, Paris, 2022.
- Commission européenne, Guide pratique du RGPD pour les administrations publiques, Bruxelles, 2018.
- Conseil d’État, La transformation numérique et la protection des données dans le secteur public, Paris, 2021.
Références
<references />