Le Règlement Général sur le Protection des Données (RGPD) est une réglementation européenne s’appliquant à tout organisme traitant des données personnelles, considéré comme responsable du traitement desdites données. Il complète, en France, la loi Informatique et Libertés, du 6 janvier 1978.

Une donnée à caractère personnel se définit comme « toute information se rapportant à une personne physique identifiée ou identifiable […] », c’est-à-dire « une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale » (article 4 du RGPD).

Les adresses e-mail constituent donc bien des données personnelles dont la collecte et le traitement sont soumis au respect du RGPD et de la réglementation française afférente.

Par conséquent, la collecte des adresses e-mail dans le cadre de la mise en œuvre du service public de communication municipale constitue un traitement de données personnelles : le maire doit donc lui appliquer la réglementation européenne en la matière et, notamment, recueillir le consentement des administrés dans le cadre de la collecte.

A noter également que la désignation d’un délégué à la protection des données est obligatoire pour tout organisme public, tel qu’une commune (article 37, 1. a) du RGPD). Pour ce faire, HGI/ATD propose un service de délégué à la protection des données mutualisé (pour davantage d’informations sur cette désignation : https://www.atd31.fr/fr/publications/info-lettre/il-2019/info-lettre-230/protection-des-donnees-designation-de-l-atd-31-comme-dpd-mutualise.html).

La constitution de fichiers de données personnelles des administrés, dits fichiers « de population », visant à permettre la communication municipale, n’est en aucun cas obligatoire – d’autant plus qu’il est possible pour une collectivité d’informer ses administrés sans procéder au traitement de leurs coordonnées (affichage en mairie, publication sur le site internet de la municipalité, etc.).

Par conséquent, le traitement de ces données repose sur le recueil préalable du consentement des personnes concernées – dans ce cas, les administrés (article 6 du RGPD).

Le consentement à la collecte des adresses e-mail doit être donné pour une finalité prédéterminée.

Le consentement ainsi donné doit être :

- Libre : aucune contrainte ne doit peser sur la personne concernée, laquelle doit disposer d’un réel choix ;

 - Eclairé : un certain nombre d’informations doivent être fournies aux personnes concernées au moment de la collecte, afin de leur permettre de décider en connaissance de cause ;

 - Spécifique : donné pour une finalité précise et prédéterminée. Dans votre cas, il s’agit uniquement de permettre la réception des informations municipales (article 5, b) du RGPD) ;

 - Univoque : la personne concernée doit manifester son consentement par un acte positif clair (dans votre cas, en remplissant le formulaire dont vous trouverez un modèle en annexe du présent courrier).

Le consentement des administrés ne peut être considéré comme valablement donné que si le maire leur fournit un certain nombre d’informations lors de la collecte.

Dans le cas contraire, des sanctions, notamment des amendes (article 83 du RGPD), peuvent être prononcées par la Commission Nationale de l’Informatique et des Libertés (CNIL) en cas de contrôle.

Dans le cas présent, pour collecter les adresses e-mail, le maire devra notamment indiquer (article 13 du RGPD) :

- L’identité et les coordonnées du responsable du traitement (dans ce cas, la commune) ;

 - Les coordonnées du délégué à la protection des données : comme évoqué précédemment, sa désignation est obligatoire ;

 - La finalité du traitement des données collectées et la base juridique fondant ledit traitement ;

 - Les destinataires ou les catégories de destinataires des données ;

 - La durée de conservation des données ou, lorsque cela n’est pas possible, les critères utilisés pour déterminer cette durée ;

 - L’existence du droit de retirer son consentement à tout moment ;

 - Le droit d’introduire une réclamation auprès d’une autorité de contrôle ;

 - Des informations sur la question de savoir si l'exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d'un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données.

En tant que représentant de la commune, le maire doit être en mesure, en cas de contrôle de la CNIL, de démontrer que les administrés ont bien consenti au traitement de leurs données (article 7 du RGPD).

Nous vous rappelons que HGI-ATD ne répond qu'aux sollicitations de ses adhérents. Toute demande de documentation, conseil ou assistance ne respectant pas cette condition ne pourra aboutir.