La CNIL sanctionne le ministère de la Fonction Publique et celui de l’Économie et des Finances

Publié le 15 novembre 2023

La CNIL (Commission nationale de l’informatique et des libertés) vient de rendre ses conclusions dans l’affaire du courriel vantant la future réforme des retraites, adressé à tous les agents publics de l’État par le Ministère transformation et de la fonction publiques : il y a bien eu détournement illégal de fichier à des fins de communication politique !

Le contexte :

Souvenez-vous, dans nos articles du 06 février 2023 et du 30 juin 2023, nous évoquions l’utilisation choquante de listes d’adresses mail personnelles des agents publics, pour faire la propagande gouvernementale pour la réforme des retraites, par Stanislas Guérini, le ministre de la Fonction Publique.

Sur ce dossier, la CNIL (Commission Nationale de l’Informatique et des Libertés) avait décidé d’engager une procédure de sanction à l’encontre du ministère de l’Économie, des Finances et de la Souveraineté industrielle et numérique, ainsi qu’au ministère de la Transformation et de la Fonction publiques.

Manquement au RGPD :

La CNIL, dans sa délibération du 9 novembre (en pièce jointe) a considéré que le ministère de la Transformation et de la Fonction publiques a bel et bien détourné un fichier administratif, en l’occurrence le fichier tenu par la Direction Générale des Finances Publiques (DGFIP) pour son “espace numérique sécurisé de l’agent public” (ENSAP), pour envoyer une communication politique.

Et la CNIL de préciser que “les traitements automatisés de données à caractère personnel des agents publics dont la finalité est limitée, par l’acte réglementaire qui les régit, à une communication de nature administrative, ne peuvent servir à une communication de nature politique”.

Elle ajoute ensuite que, “contrairement à ce que soutiennent les ministères, le courriel signé par le ministre, le format de la vidéo et la teneur générale du message ne correspondent pas à une communication entre des agents publics et leur administration”.

Dans son communiqué de presse diffusé ce 14 novembre pour faire état de la délibération adoptée par sa formation restreinte le 9 novembre, la CNIL écrit, noir sur blanc, que les 2 ministères incriminés ont “utilisé un fichier administratif à des fins de communication politique”.

Il s’agit bien là d’un le manquement à l’obligation de traiter des données de manière compatible avec les finalités pour lesquelles elles ont été collectées en application de l’article 5, paragraphe 1, b) du RGPD ( Règlement Général sur la Protection des Données).

Rappel à l’ordre et décision rendue publique :

Pour la CNIL, le ministère de la Fonction publique et le ministère de l’Économie et des Finances, sont tenus pour responsables du traitement de données illégal, le premier pour avoir été l’auteur du message et le second pour avoir fourni le fichier d’adresses mails et distribué les messages, ont écopé d’un « rappel à l’ordre« . Cette sanction – parce que s’en est une – qui semble très légère, est en réalité maximale parce que les administrations ne peuvent pas écoper d’amendes administratives.

La décision est libellée ainsi :

La formation restreinte de la CNIL, après en avoir délibéré, décide de :

♦ Prononcer, au regard du manquement constitué à l’article 5-1-b) du règlement (UE) n° 2016/679 du 27 avril 2016 relatif à la protection des données :

• • un rappel à l’ordre à l’encontre du ministère de la transformation et de la fonction publiques ;
  • un rappel à l’ordre à l’encontre du ministère de l’économie, des finances et de la souveraineté industrielle et numérique ;

♦ rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément les ministères à l’expiration d’un délai de deux ans à compter de sa publication.

A noter qu’il n’est pas habituel que les décisions de la formation restreinte de la CNIL soient rendues publiques. C’est le nombre de personnes concernées (2 346 303 personnes !) et du devoir d’exemplarité de la puissance publique, qui a justifié cette publication de la décision, afin de “sensibiliser les ministères sur l’usage des données à caractère personnel détenues par l’administration au titre de ses missions et dont le traitement doit être respectueux du cadre légal et réglementaire applicable”.

Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.

 – – –

Infographie CNIL

– – –

La délibération :

• Délibération de la formation restreinte n°SAN-2023-016 du 9 novembre 2023

La CNIL fait publicité :

• Communiqué de la CNIL du 14 novembre 2023

Pour approfondir :

• Les procédures de sanction

Les textes de référence :

• Décret n°2022-1446 du 21 novembre 2022 fixant les modalités du traitement de l’ENSAP – Légifrance
• Article 5.1.b du RGPD (principe de finalité)

 – – – – – – – – –