Le Règlement Général à la Protection des Données (RGPD) encadre le traitement et la transmission des données personnelles ou nominatives. Ce règlement fixe notamment des règles relatives à la sécurisation nécessaire du transfert de données, à l’information et au recueil du consentement des personnes lorsque le transfert de donné n’est pas prévu par un cadre légal ou réglementaire, à la nécessaire vérification de la proportionnalité des données transmises au regard de la finalité du traitement. Il est ainsi nécessaire de s’assurer en amont de toute communication de données de ces éléments et en particulier de la finalité du transfert de données.

En particulier, il convient avant tout transfert de données personnelles concernant les personnes hébergées de s’assurer que ce transfert de données soit justifié et proportionné par rapport à la finalité du transfert et ne puisse pas impacter négativement le parcours de la personne ou réduire son accès aux droits. Il apparait également nécessaire de rechercher le consentement de la personne ou, lorsque le transfert de données est prévu par un cadre légal ou règlementaire, de l’informer de celui-ci.

La Fédération des acteurs de la solidarité à l’échelle nationale avait saisi la CNIL sur les demandes de transmission d’informations nominatives par les services de l’Etat sur les personnes hébergées. La CNIL a produit une réponse dans un courrier en date du 30 mars 2023. Ce courrier rappelle que l’article 32 du Règlement Général à la Protection des Données (RGPD) prévoit que chaque responsable de traitement des données personnelles (ici les structures d’hébergement) a la responsabilité de veiller à ce qui l’accès aux données détenues ne soit rendu possible qu’aux personnes concourant à la réalisation des finalités poursuivies par le traitement ainsi qu’aux éventuels « tiers autorisés ». Les « tiers-autorisés » sont définis par un fondement légal.

Dans ce courrier, la CNIL indique qu’ « il apparaît que les courriers et instructions ministériels ne sauraient suffire, à eux seuls, à justifier la transmission obligatoire des informations aux services déconcentrés de l’Etat » et recommande aux responsables de traitement (les associations) de « demander la communication des dispositions législatives ou réglementaires susceptibles de justifier la communication [des informations concernant les personnes]». La CNIL rappelle que « la transmission de données à caractère personnel à un tiers sans vérification préalable de l’existence du fondement légal est susceptible de conduire à un engagement de la responsabilité pénale du responsable de traitement conformément aux dispositions de l’article 226-17 du code pénal ».

En l’absence de cadre légal ou réglementaire encadrant le transfert de données, le consentement de la personne au transfert de données doit être recherché. Cette recherche du consentement doit s’appuyer sur la présentation à la personne de la finalité du transfert de données et des destinataires de celui-ci.​

En ce qui concerne les structures du DNA, le cadre législatif et réglementaire prévoit que les transmissions de données personnelles des personnes hébergées se fassent via le DN@. Il est nécessaire de demander à l’OFII ou aux services de l’Etat qui demanderaient des transmissions d’information personnelles des personnes hébergées par un autre biais que le DN@ la base légale ou réglementaire de cette demande.