Nouveau règlement européen sur la protection des données personnelles
L’union européenne a adopté en avril 2016 un règlement relatif à la protection des données personnelles. En vertu de ce règlement, toute personne dont les données font l’objet d’un traitement doit y consentir de manière claire et explicite, sauf lorsque ces informations sont strictement nécessaires à l’exécution d’un contrat auquel la personne est elle-même partie (article 6). La personne doit également être en mesure d’accéder aux données la concernant, de les modifier ou de les effacer. Pour les services publics d’eau et d’assainissement, les contrats d’abonnement ou règlements de service devront sans doute être modifiés pour intégrer un certain nombre d’informations qui doivent être transmises « au moment où les données en questions sont obtenues » : coordonnées du délégué à la protection des données, durée de conservation des données, droit de rectification des données, etc. (article 13 du règlement).
Les responsables du traitement des données personnelles doivent mettre en oeuvre des mesures de sécurité appropriées, signaler toute violation des données et désigner au sein de leur propre structure un délégué à la protection des données, qui remplacera donc le correspondant informatique et libertés (CIL). La création d’un tel délégué est obligatoire au sein des autorités ou organismes publics, mais le règlement précise que « lorsque le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille. »
Précision importante : acte normatif à portée générale, ce règlement contraignant pour les institutions, les Etats membres et les particuliers est directement applicable sans transposition nationale, à compter du 25 mai 2018.
Transmission de données personnelles entre autorités publiques
La transmission de données à caractère personnel constitue un traitement au sens de la directive 95/46/CE relative à la qualité des données et à la légitimité de leur traitement. Les personnes concernées doivent donc en être informées par le destinataire de ces informations, afin d’être en mesure de demander l’accès à ces données, d’exiger leur modification voire leur suppression ou de s’opposer au traitement envisagé.
La cour de justice de l’Union européenne (CJUE) a considéré que, bien qu’autorisée par une loi, la transmission de données entre le fisc roumain et la sécurité sociale de ce pays ne répond pas à cette exigence d’information (notamment en raison d’une imprécision dans la rédaction de la loi, nous ignorons quel aurait été le verdict de la Cour si la loi avait été claire et précise sur ce point).
En France, une autorisation préalable de la CNIL est nécessaire pour « 5° Les traitements automatisés ayant pour objet : – l’interconnexion de fichiers relevant d’une ou de plusieurs personnes morales gérant un service public et dont les finalités correspondent à des intérêts publics différents ; – l’interconnexion de fichiers relevant d’autres personnes et dont les finalités principales sont différentes ; » (article 25 de la loi n°78-17 du 16 janvier 1978 relative à l’informatique, aux fichiers et aux libertés).