Articles

Article AUTONOME (Délibération n° 2012-086 du 22 mars 2012 portant avis sur un projet d'arrêté relatif à la création d'un téléservice de l'administration dénommé « système de libre accès des employeurs » ayant pour finalité la dématérialisation de la gestion du contrat unique d'insertion (demande d'avis n° 1548991))

Article AUTONOME (Délibération n° 2012-086 du 22 mars 2012 portant avis sur un projet d'arrêté relatif à la création d'un téléservice de l'administration dénommé « système de libre accès des employeurs » ayant pour finalité la dématérialisation de la gestion du contrat unique d'insertion (demande d'avis n° 1548991))



Emet l'avis suivant :
Sur le fondement de l'article 27-II (4°) de la loi du 6 janvier 1978 modifiée, la Commission nationale de l'informatique et des libertés a été saisie pour avis par le ministère du travail, de l'emploi et de la santé d'un projet d'arrêté portant création, par l'Agence de services et de paiement (ASP), d'un téléservice de l'administration ayant pour finalité la dématérialisation de la gestion du contrat unique d'insertion (CUI).
A titre liminaire, à la lecture de l'article L. 5134-19-3 du code du travail, la commission observe qu'un CUI prend la forme d'un contrat d'accompagnement dans l'emploi (CAE) lorsqu'il est conclu avec un employeur du secteur non marchand, d'une part, ou d'un contrat initiative-emploi (CIE) lorsqu'il est conclu avec un employeur du secteur marchand, d'autre part.
Sur la finalité du traitement :
Le projet d'arrêté étudié par la commission prévoit de mettre à la disposition des usagers de l'administration un téléservice, via une application créée par l'ASP, dénommé « système de libre accès des employeurs » (SYLaé).
L'article 1er du projet d'arrêté prévoit que le téléservice SYLaé est créé pour permettre de gérer, contrôler et suivre les conventions individuelles de CUI, d'une part, ainsi que calculer et payer l'aide qui doit être allouée à l'employeur, d'autre part.
Les employeurs concernés pourront télédéclarer les états de présence des salariés bénéficiant d'un CUI. Par ailleurs, ils utiliseront l'application SYLaé pour informer l'ASP de la suspension ou de la rupture anticipée d'un CAE ou d'un CIE. Enfin, les employeurs pourront également saisir ou corriger leurs coordonnées bancaires afin de percevoir de l'administration l'aide qui doit leur être versée.
La commission prend acte que les objectifs poursuivis par ce téléservice consistent à réduire les délais de traitement, accroître la fiabilité des données et permettre un pilotage plus efficace du dispositif CUI.
La commission considère que la finalité de l'application SYLaé est déterminée, explicite et légitime.
Sur les données à caractère personnel traitées :
La commission relève que l'article 1er du projet d'arrêté liste les données à caractère personnel collectées et traitées grâce à l'application SYLaé.
Plus précisément, il s'agit de :
― données d'identification relatives aux salariés bénéficiant d'un CUI (nom, prénom, numéro d'enregistrement des conventions individuelles de CUI) ;
― données relatives à la vie professionnelle (date de début du contrat, date de fin prévue du contrat, date de fin réelle du contrat, nombre d'absences, motif de rupture, mois de suspension et motif de la suspension du contrat) ;
― données d'ordre économique et financier (salaire des bénéficiaires d'un CUI, coordonnées bancaires des employeurs) ;
La commission observe, par ailleurs, que les données de connexion des employeurs au téléservice seront également collectées (login, mot de passe, informations d'horodatage).
La commission considère que le recueil et le traitement de l'ensemble de ces données sont légitimes, pertinents et non excessifs au regard des finalités poursuivies.
Sur les destinataires :
L'article 1er du projet d'arrêté indique les destinataires des données à caractère personnel traitées par l'intermédiaire du téléservice SYLaé.
Plus précisément, il s'agit des seuls agents de l'ASP habilités pour vérifier les informations transmises par les employeurs.
La commission considère que ces destinataires ont un intérêt légitime à accéder aux données du téléservice dénommé SYLaé.
Sur les durées de conservation des données :
L'article 2 du projet d'arrêté précise que les données à caractère personnel sont conservées pendant le temps durant lequel court la responsabilité du comptable public et, au plus tard, pendant cinq ans après la date d'achèvement de la convention individuelle de CUI.
La commission relève également, en cas de contentieux relatif à une convention individuelle de CUI, que les données nécessaires à l'instruction de ce type de contentieux peuvent être conservées jusqu'au prononcé d'une décision de justice devenue définitive.
La commission considère que ces durées de conservation n'excèdent pas celles qui sont nécessaires à l'accomplissement des finalités poursuivies.
Sur l'information des personnes concernées et les droits d'accès et de rectification :
L'article 4 du projet d'arrêté mentionne que les droits d'accès et de rectification prévus par les articles 39 et 40 de la loi du 6 janvier 1978 modifiée s'exerceront auprès des directions régionales de l'ASP.
La commission relève, par ailleurs, que la demande d'avis présentée par le ministère du travail, de l'emploi et de la santé indique que l'information des personnes concernées sera assurée par une mention sur des formulaires ainsi qu'une mention sur le site internet de la DGEFP.
La commission considère que les mesures prévues au titre de l'information des personnes sont satisfaisantes.
Sur les mesures de sécurité :
La commission relève que des mesures de protection physique et logique ont été prises afin de préserver la sécurité du traitement et des données à caractère personnel. Ces mesures visent à empêcher toute utilisation détournée ou frauduleuse des données ou que des tiers non autorisés y aient accès.
Elle prend acte que le téléservice SYLaé fera l'objet, après sa mise en œuvre, d'un contrôle de conformité aux exigences du référentiel général de sécurité (RGS), tel que défini dans l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives.
La commission relève, par ailleurs, que l'ASP a également initié une démarche de conformité aux exigences du RGS.
La commission observe toutefois que les sauvegardes confiées à un prestataire externe ne sont pas chiffrées. En conséquence, elle recommande de prendre des mesures de nature à garantir la confidentialité des données contenues dans ces sauvegardes.
Mis à part cette dernière remarque, la commission considère que la sécurité du téléservice SYLaé n'appelle pas d'observation particulière.