C’est assez rare pour être noté : la Commission nationale de l’informatique et des libertés (CNIL), le garant de notre vie privée, a envoyé deux rappels à l’ordre à l’encontre de deux ministères : celui de l’Économie et de la Fonction publique. Le 26 janvier 2023, ce dernier avait envoyé un message à près de 2,3 millions d’agents publics. L’e-mail renvoyait vers une vidéo dans laquelle Stanislas Guerini, le ministre de la Transformation et de la Fonction publiques, vantait pendant plus de six minutes les vertus de la réforme des retraites, alors que le débat faisait rage.
Or, pour envoyer ce message, l’administration avait pioché dans le fichier de l’Espace numérique sécurisé des agents publics de l’État (l’Ensap). De quoi constituer un détournement de données personnelles à des fins de communication politique, dit en substance la CNIL. Ces données personnelles – que sont les e-mails – sont couvertes par l’article 5 du RGPD, le règlement général de protection des données. Selon ce texte, ce type de data ne peut pas être utilisé pour un usage autre que celui qui était prévu lorsque la donnée a été collectée. L’email des fonctionnaires avait été enregistré pour permettre aux agents d’avoir accès à leur bulletin de salaire ou à d’autres documents. Il n’a pas été donné pour recevoir un plaidoyer pour la réforme des retraites.
À lire aussi : Avec le Data Governance Act, un nouveau règlement européen, vous pourriez choisir de davantage partager vos données
Pourquoi seulement un rappel à l’ordre ?
Pour la Commission, l’utilisation de ces adresses e-mails était destinée à permettre « une communication de nature administrative » et non « une communication politique de la part de l’un des ministres porteurs de la réforme (des retraites, NDLR) ». Dans le délibéré de la décision, la CNIL estime que « certains termes utilisés (dans la vidéo, NDLR) et la teneur générale du message visent à convaincre de la nécessité et du bien-fondé de la réforme ». Le ministre décrivait, dans sa vidéo, cette future réforme – qui sera bien votée quelques mois plus tard – cette dernière étant constituée « de mesures de justice, de progrès ».
À lire aussi : Comment l’Europe a abandonné vos données personnelles aux espions américains
Au titre de sanction, la Commission a émis deux rappels à l’ordre, l’un à destination du ministère de la Transformation et de la Fonction publiques – qui a envoyé le message -, l’autre au ministère de l’Économie – qui gère le fichier Ensap. La CNIL a aussi décidé de rendre sa décision publique. Si l’autorité ne prononce pas de sanctions pécuniaires, comme on aurait pu s’y attendre, c’est qu’elle n’en a pas le pouvoir. L’article 20 III 7° de la loi du 6 janvier 1978 précise qu’à partir du moment où c’est l’État qui a mis en œuvre le traitement de données à caractère personnel – ce qui est le cas ici – la CNIL ne peut pas prononcer d’amende administrative.
À lire aussi : La police nationale utiliserait un logiciel de reconnaissance faciale depuis 8 ans… en toute illégalité ?
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.