Les services publics territoriaux permettent aux collectivités de disposer d’une véritable mine de données personnelles concernant leurs usagers mais aussi leurs agents.
Dans un souci de protection de ces agents, le traitement ces données est règlementé.
La loi Informatique et libertés (loi n°78-17 du 6 janvier 1978) avait déjà posé les bases du régime juridique applicable.
Compte tenu du succès du traitement dématérialisé des données personnelles, le règlement européen RGPD (RE n°2016/679/UE du 27 avril 2016) applicable à compter du 25 mai 2018 vient renforcer les obligations des collectivités publiques.
Droit de l’agent d’être informé de l’utilisation de ses données par la collectivité employeuse
L’article 32 de la loi de 1978 impose d’informer l’agent dans tous les cas, lors de la collecte des données, soit par des mentions explicites sur le support de collecte, soit par la remise d’un formulaire lors de son entrée en fonction publique.
Cette information porte sur la finalité et la destination des données et sur les droits des agents tels que leurs droits d’accès, de modification ou encore d’opposition.
Depuis une loi du 7 octobre 2016 (Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique) l’information doit aussi porter sur la durée de conservation envisagée.
L’absence d’information des agents a deux conséquences :
– Elle empêche la collectivité de se fonder sur ces données pour prononcer une sanction disciplinaire à leur encontre
– Elle autorise l’agent à refuser de se soumettre au système qui collecte ses données sans qu’une sanction ne puisse être prononcée contre lui.
La collectivité doit également garantir la sécurité des données qu’elle collecte et conserve.
Elle doit ensuite imposer contractuellement à ses sous-traitants la mise en œuvre de systèmes de sécurité, notamment pour les contrats conclus après l’entrée en vigueur du règlement européen RGPD.
Si une faille grave dans la sécurité devait apparaitre, la collectivité doit en informer ses agents, sous peine de voir sa responsabilité engagée.
Droit de l’agent de refuser la collecte de certaines données par sa collectivité employeuse
L’article 7 de la loi Informatique et libertés de 1978 impose de recueillir le consentement écrit de l’agent au traitement de ses données personnelles. Toutefois, un comportement suffisamment explicite de l’agent peut suffire à justifier son acceptation dans certaines circonstances.
Par exception, la collectivité n’a pas à recueillir l’accord de l’agent lorsque l’information est recueillie dans le cadre :
– du respect d’une obligation légale qui incombe à la collectivité, comme par exemple son obligation de contrôle de la légalité des documents d’embauche d’un agent ;
– de l’exécution d’une mission de service public par les agents titulaires ou de l’exécution du contrat qui lie les agents non titulaires d’une mission de service public à la collectivité ;
– de l’intérêt légitime poursuivi par la collectivité lors par exemple d’une enquête administrative ou disciplinaire, sous réserve de ne pas porter une atteinte excessive à la vie privée de l’agent
Les données sensibles des agents : objet d’une protection supplémentaire.
Certaines données particulièrement sensibles font l’objet d’une règlementation encore plus stricte :
– Les données qui font apparaitre directement ou indirectement l’origine raciale ou ethnique, les opinions politiques, philosophique ou religieuses, l’appartenance syndicale, ou la vie sexuelle des agents que la collectivité ne peut traiter qu’avec l’accord exprès de l’agent ou s’il a lui-même rendue publique cette donnée (article 8 de la loi Informatique et Liberté).
– Les données de santé : la collectivité ne peut procéder à leur traitement sauf accord exprès de l’agent, à moins qu’elles ne soient utilisées dans le cadre des services de médecine préventive ou en cas d’alerte sanitaire, auquel cas une autorisation de la CNIL suffit à lui permettre d’utiliser ces données.
– Les commentaires sur les agents : on les trouve dans certains logiciels de ressources humaines.
La collectivité est interdite de les communiquer, même les évaluations annuelles des agents sont concernées.
– Les listes noires : ces listes réalisées en interne pour répertorier des personnes mauvais payeurs sont licites tant qu’elles ne portent pas sur des motifs discriminatoires, mais leur traitement et leur communication est soumis à autorisation de la CNIL.
– Les condamnations pénales et civiles : Les collectivités ne peuvent ni les collecter ni les conserver (article 9 de la Loi Informatique et Libertés).
Toutefois, l’interdiction ne vaut pas pour les sanctions administratives et disciplinaires.
De même, la collectivité peut utiliser ces données si elle est elle-même victime.
Conséquences du non-respect de ces exigences par l’administration.
La collectivité risque d’abord une sanction administrative prononcée par la CNIL pouvant aller jusqu’à 3 millions d’euros depuis la loi n°2016-1321 du 7 octobre 2016 pour une République numérique.
Après l’entrée en vigueur du RGPD le 25 mai 2018, cette amende pourra atteindre 20 millions d’euros.
L’autorité qui a pris la mesure (par exemple, le maire) risque également des sanctions pénales, allant jusqu’à 300 000€ d’amende et cinq ans d’emprisonnement.
Enfin et surtout, l’agent peut engager la responsabilité de la collectivité devant le juge administratif, le préjudice pouvant alors résulter de la perte de chance d’obtenir gain de cause à un procès où les informations ont été versées, ou encore de l’atteinte à la réputation.
De plus, les informations collectées par la collectivité qui n’aurait pas respecté les modalités de collecte sont inutilisables à titre de preuve, notamment pour sanctionner l’agent sur un fondement disciplinaire.