Recommandation aux communes et administrations locales relative à leurs accès au Registre national

Les communes et administrations locales doivent indéniablement disposer d’ informations contenues dans le Registre national et les traiter pour l’exercice de leurs missions. C’est la raison pour laquelle le Comité sectoriel du Registre national a émis une recommandation qui énonce les grands principes qui doivent constamment servir de fil rouge aux communes pour tout traitement de données du Registre national.

Les communes, dans l’exercice quotidien de leurs missions, doivent disposer d’accès au Registre national. Cependant, fréquemment, des citoyens se plaignent auprès de la Commission vie privée de consultations abusives du Registre national par ces dernières. C’est la raison pour laquelle la Commission vie privée a jugé nécessaire de rassembler et de rappeler dans cette recommandation les principaux aspects de sécurité de l’information qui doivent être pris en compte par les communes lors de leurs accès aux données du Registre national et lors des traitements de celles-ci.

Le Registre national gère le système qui assure l’enregistrement, la mémorisation et la communication d’informations permettant l’identification des citoyens (nom, prénom(s), état civil, etc.). Un numéro d’identification est attribué à toute personne lors de son inscription au Registre national. 

Les communes doivent disposer d’une politique de sécurité de qualité ainsi que d’un conseiller en sécurité de l’information.

A défaut d’autorisations conférées par une loi sensu lato, seuls les traitements préalablement autorisés par le Comité sectoriel ou par la Commission vie privée peuvent être effectués.

Dans ces traitements, seules les données strictement nécessaires à la finalité poursuivie peuvent être consultées, et ce, uniquement par des utilisateurs explicitement autorisés. Les données ainsi obtenues pour une finalité ne peuvent être utilisées pour une autre finalité et un traçage effectif  doit permettre aux communes de pouvoir contrôler et justifier chacun de ces accès en identifiant les personnes et les finalités.

De plus, les communes doivent informer les membres de leur personnel et tout éventuel sous-traitant des obligations de sécurité de l’information afin qu’elles soient intégralement prises en compte dans le développement de tout système applicatif selon le principe du « Privacy by Design ».