Allez au contenu, Allez à la navigation

Protection des données personnelles des surveillants de l'administration pénitentiaire

15e législature

Question écrite n° 10456 de Mme Nathalie Delattre (Gironde - RDSE)

publiée dans le JO Sénat du 16/05/2019 - page 2582

Mme Nathalie Delattre attire l'attention de Mme la garde des sceaux, ministre de la justice sur la protection des données personnelles des surveillants de l'administration pénitentiaire. Certaines de ces données sont transmises à Medica Europe, société en charge des contre-visites médicales assurant le contrôle de validité des arrêts-maladie. La problématique porte sur le numéro d'inscription au répertoire des personnes physiques (NIR) et le numéro de téléphone personnel des agents.

La note n°2068 du 25 octobre 1999 de l'administration pénitentiaire précise que les agents doivent fournir leurs numéros de téléphone personnels à l'administration alors qu'il n'existe en droit aucune obligation formelle en la matière.

Par ailleurs, l'article 9 du code civil stipule que « chacun a droit au respect de sa vie privée », le pourvoi n°89-15246 du 6 novembre 1990 précise quant à lui le respect de la protection des droits de la personne. De plus, l'article 8 de la Charte des droits fondamentaux de l'Union européenne et l'article 16 du traité sur le fonctionnement de l'Union européenne disposent que toute personne a droit à la protection des données à caractère personnel la concernant.

Ainsi, il s'agit de connaître la position de la commission nationale de l'informatique et des libertés (CNIL) concernant la société Medica Europe, son accès aux numéros NIR et aux numéros de téléphones personnels des agents de l'administration pénitentiaire, dont l'utilisation est strictement encadrée.

Elle l'interroge sur le rôle des administrations dans la collecte des informations personnelles des agents de l'administration pénitentiaire et sur la teneur exacte des articles présentés ci-dessus.



Réponse du Ministère de la justice

publiée dans le JO Sénat du 26/12/2019 - page 6405

Concernant la transmission du numéro d'inscription au répertoire national d'identification des personnes physiques (dit numéro « NIR »), cette donnée à caractère personnel fait l'objet d'une protection spécifique et ne peut dès lors être utilisée que dans des cas précis prévus par un corpus normatif. Le décret n° 2019-341 du 19 avril 2019 relatif à la mise en œuvre de traitements comportant l'usage du NIR ou nécessitant la consultation du répertoire national de l'identité des personnes physiques (RNIPP) précise les conditions spécifiques du traitement du NIR, en déterminant de manière exhaustive, d'une part, les catégories de responsables de traitement qui peuvent traiter le NIR et, d'autre part, les finalités de ces traitements au vu desquelles le NIR peut être utilisé. Avant l'adoption de ce décret, en application de la loi n° 78-17 du 6 juillet 1978 relative à l'informatique, aux fichiers et aux libertés, dans sa version antérieure, le NIR ne pouvait être collecté et traité qu'en vertu d'une autorisation de la commission nationale de l'informatique et des libertés (CNIL) et, lorsqu'il s'agissait d'une administration publique, il était nécessaire que celle-ci adopte un décret en Conseil d'Etat pris après avis de la CNIL autorisant un tel traitement. Aujourd'hui, les contre-visites médicales des agents pénitentiaires sont organisées soit par des sociétés dans le cadre de marchés régionaux, soit par des médecins agréés, en application du décret n° 86-442 du 14 mars 1986 relatif à la désignation des médecins agréés, à l'organisation des comités médicaux et des commissions de réforme, aux conditions d'aptitude physique pour l'admission aux emplois publics et aux régimes de congés de maladie des fonctionnaires. Dans tous les cas, le numéro d'inscription au répertoire des personnes physiques (NIR) n'est pas transmis. Concernant la transmission des numéros de téléphone personnels des agents, au regard de la réglementation applicable en matière de protection des données et en particulier le Règlement européen n° 2016/679, dit règlement général sur la protection des données (RGPD), la communication du numéro de téléphone du personnel, dans le cadre des contre-visites médicales, n'était pas disproportionnée et une telle transmission était nécessaire pour que la société concernée puisse être en mesure de joindre les agents et se voir indiquer des précisions supplémentaires utiles à l'organisation des contre-visites médicales.