Modification de l'autorisation unique n°1 et abrogation de la norme simplifiée n°44 par la CNIL

dim 29-04-2012 Bérangère Barbin

Données

La directive européenne INSPIRE de 2007 et les lois " GRENELLE " de l'environnement (2009) ont créé de nouvelles obligations pour les collectivités locales en matière de cartographie. Prenant compte de ces changements, la CNIL vient d'adopter le 29 mars 2012 une nouvelle dispense de déclaration (dispense 16) et de modifier l'autorisation unique n°1 (AU-001).

L'autorisation unique n°1 est une déclaration simplifiée qui permet aux collectivités territoriales et à leurs groupements de réaliser des traitements de données à caractère personnel pour l'urbanisme ou l'assainissement non collectif. Cette formalité est donc réalisée lorsque l'on souhaite utiliser les données cadastrales dans un SIG. La consultation des données VisuDGFiP font quand à elles l'objet d'une norme simplifiée n°44.

Voici les principales modifications apportées :

De nouveaux responsables de traitements et des finalités élargies

L'autorisation unique concerne désormais non plus uniquement les collectivités territoriales mais aussi l'Etat, ses services déconcentrés, ses établissements publics ainsi que tout organisme, privé ou public, chargé d'une mission de service public, statutairement ou contractuellement, par une collectivité ou un groupement.
Les finalités du traitement ont aussi été étendues à l'économie et l'aménagement du territoire, la gestion des bâtiments, des espaces verts, agricoles, naturels, fossés, cours d'eau, littoral et sites protégés. Elles concernent aussi la communication et le tourisme, ainsi que l'aide à la population. La gestion de l'assainissement collectif est aussi intégrée à ces finalités.

En revanche, la mise à jour de données à caractère personnel contenues dans une application métier grâce à la cartographie n'entre pas dans ce champ d'application.

Durée de conservation

Seule la version de la base de données de l'année précedente peut toujours être conservée.

Toutefois, une base "infocentre" peut être mise en oeuvre en agrégeant les données, ceci à des fins de statistiques, de suivi de cohortes et d'analyse historique de l'évolution des territoires.
En cas d'informations non enregistrées dans des applications métiers déclarées, celles-ci peuvent être conservées pendant la durée nécessaire aux finalités pour lesquelles elles sont collectées.

Transmition à un prestaire

L'accès aux données par un prestataire peut être réalisé en lui donnant une habilitation spéciale ou en les transmettant sous forme chiffrée, dans les conditions prévues par une convention conforme au référentiel général de sécurtité (RGS).

Mesures de sécurité

Les mesures de sécurité concernant la consultation sur site internet ouvert au public sont précisées. Elles doivent interdire le téléchargement des cartes affichant des données à caractère personnel issues du SIG.
Un journal de connexion permettant de tracer les accès doit être conservé 6 mois.

Dispense de formalités

La norme simplifiée n°44 relative aux traitements automatisés de données personnelles mis en oeuvre par les communes aux fins de consultation de données issues de la matrice cadastrale est abrogée par la décision de dispence n°16.
Les communes, groupements et organismes privés ou publics chargés d'une mission de service public peuvent donc consulter la matrice cadastrale et délivrer des informations aux personnes concernées sans réaliser de déclaration auprès de la CNIL.

En application de la directive INSPIRE et du décrêt n°2011-223 du 1er mars 2011, le responsable de traitement peut diffuser sur internet toute Base Géographique de Référence (BGR). C'est à dire une base de données qui comporte les références, le dessin et/ou l'adresse de la parcelle. Sa finalité est de cartographier un terriroire local ou national pour une meilleure gouvernance de l'aménagement du territoire.

La dispense spécifie les données qui peuvent être transmises à des tiers et précise notamment qu'une extraction de matrice peut être transmise à toute collectivié locale, groupements et organismes privés ou publics chargés d'une mission de service public.

Cette dispense s'applique lorsqu'il n'est pas envisagé d'enrichir ces données et qu'il n'y a pas d'interconnexions avec d'autres données à caractère personnel.