À la suite d’une délibération du 9 novembre dernier, la Commission nationale de l’informatique et des libertés (CNIL) a sanctionné les ministères de la transformation et de la fonction publiques ainsi que celui de l’économie pour violation du droit des données personnelles. Cette décision, qui a été saluée par de nombreux internautes à son annonce sur la page LinkedIn de la CNIL, résonne comme un avertissement pour tous les acteurs publics, qui doivent continuer de faire preuve de vigilance dans le traitement des données personnelles qu’ils possèdent.
Quels faits ont donné lieu à cette décision ? Quelles leçons tirer de cette décision ? Et quelles interrogations la sanction prononcée soulève-t-elle ?
Les faits, la décision
En janvier 2023, le ministère français de la fonction publique a envoyé un e-mail à des millions de fonctionnaires pour présenter les bénéfices du projet de la réforme des retraites, alors en pleine discussion à l’Assemblée nationale. Nombre de ces fonctionnaires destinataires du message ont été surpris car ils ne l’avaient pas sollicité ni y avaient consenti. Plus de 1 500 d’entre eux vont donc décider de déposer une plainte auprès de la Commission nationale de l’informatique et des libertés (CNIL) à ce sujet.
Après enquête, le gendarme français des données personnelles a commencé par caractériser ce message comme étant de nature politique. Ensuite, il a déterminé que ce message avait été envoyé par une direction de Bercy (le ministère français de l’économie) à tous les « agents inscrits dans l’espace numérique sécurisé de l’agent public (ENSAP) » pour le compte du ministère de la fonction publique. Enfin, elle a constaté que le décret régissant ce fichier administratif, sur lequel les fonctionnaires sont inscrits, n’autorise pas son utilisation à des fins de communication politique.
En conséquence, la CNIL a décidé de sanctionner les deux ministères en cause.
Leçon RGPD de la décision
Tel que présenté dans notre précédent article, les informations d’une personne telles que son nom ou son adresse mail constituent des données personnelles, car elles permettent de l’identifier. Dès lors qu’une personne, même publique, traite des données personnelles, elle doit se conformer au droit y relatif, sous peine de sanction. Dans le cas d’espèce, les deux ministères ont réalisé des opérations de traitement de données personnelles en vertu du RGPD. Bercy, a “transmis” ou “mis à disposition” la base de données ENSAP au ministère de la fonction publique, qui l’a “utilisée” pour envoyer des e-mails aux fonctionnaires.
Sans remettre en cause ces échanges entre eux, ces deux ministères ont toutefois tenté de les justifier au gendarme des données en affirmant que le message n’avait pas vocation à promouvoir le projet de réforme, mais à informer les agents publics sur les implications de la réforme pour eux. La CNIL n’a pas été convaincue par cet argument. Elle a estimé que l’utilisation de la base de données ENSAP pour une raison non prévue par le texte l’instituant caractérise un détournement de finalité du traitement.
Constatant ainsi une infraction au droit des données personnelles, la CNIL a sanctionné les deux ministères par un rappel à l’ordre.
Rien qu’un rappel à l’ordre “public” ?
La décision de sanction d’une personne publique pour violation du droit des données personnelles par la CNIL n’est pas nouvelle. En effet, le 6 juin 2019, la CNIL a sanctionné, par courrier, le président de la région Auvergne-Rhône-Alpes d’un rappel à l’ordre pour avoir envoyé des SMS de bienvenue aux lycéens de la région sans leur consentement en septembre 2018. En envoyant ces messages, la région n’avait pas respecté la finalité de communication institutionnelle du fichier qu’elle détenait.
À titre de rappel, la CNIL peut prononcer différentes sanctions administratives en cas de violation du droit des données personnelles : un rappel à l’ordre, une injonction de mettre le traitement en conformité, une limitation temporaire ou définitive d’un traitement, une suspension des flux de données, un ordre de satisfaire aux demandes d’exercice des droits des personnes et une amende administrative.
Dans les deux cas évoqués dans le présent article, la CNIL a choisi de prononcer un rappel à l’ordre. En effet, la nature de l’affaire, à savoir l’utilisation des données personnelles de fonctionnaires, rendait la sanction d’une amende administrative délicate. La CNIL ne pouvait pas sanctionner d’une amende l’État, responsable de la faute et bénéficiaire en même temps de l’amende, que le rappel à l’ordre était la sanction la plus logique.
Toutefois, cet état des choses laisse subsister quelques questions : Et si certains fonctionnaires avaient préféré engager la responsabilité de l’État devant le juge ? L’État ou toute autre collectivité publique, sera-t-il un jour condamné à verser des dommages-intérêts à des particuliers pour violation de leurs données personnelles ?
L’avenir nous le dira…
Sources :
- Message adressé aux agents publics sur la réforme des retraites : la CNIL rappelle à l’ordre deux ministères
- Données personnelles : la CNIL recadre deux ministères après l’envoi de 2 millions de messages vantant la réforme des retraites
- Article 5 du RGPD (principe de finalité)
- Données personnelles : Laurent Wauquiez rappelé à l’ordre par la CNIL
A propos de Freddy BASILA BULAMBO
En formation en master 2, droit de l'économie numérique à l'Université de Strasbourg.
