Sur les finalités du traitement
Le projet d'arrêté prévoit la création d'un traitement automatisé de données à caractère personnel ayant pour finalités :
― la mise à disposition des usagers (employeurs et salariés) d'un téléservice, dénommé « TéléRC », offrant une assistance pour la saisie du formulaire CERFA n° 14598 de demande d'homologation d'une rupture conventionnelle d'un contrat de travail à durée indéterminée ;
― l'accès à une application de gestion permettant aux agents des services du ministère d'instruire les demandes d'homologation, soit par saisie des données ou par récupération automatique des données présaisies depuis le portail public, à réception du formulaire papier en unité territoriale (UT) ;
― l'élaboration d'études statistiques sur des données rendues anonymes à partir des données collectées dans un outil décisionnel.
La commission prend acte que la saisie assistée offre une garantie de qualité de remplissage des dossiers et un traitement rapide des demandes d'homologation des ruptures conventionnelles par l'administration.
La commission considère que les finalités de l'application « TéléRC » sont déterminées, explicites et légitimes.
Sur la nature des données traitées
La commission relève que l'article 2 du projet d'arrêté liste les données à caractère personnel collectées et traitées via deux canaux :
Depuis le portail public :
― données relatives à l'employeur (numéro SIRET, raison sociale, adresse de l'établissement, nom du signataire de la convention, numéro de téléphone, courriel, numéro URSSAF) ;
― données relatives au salarié (civilité, nom, prénom, date de naissance, adresse de correspondance, numéro de téléphone, courriel, qualification, emploi, convention collective) ;
― données relatives au calcul de l'indemnité (ancienneté du salarié, dernier mois rémunéré connu, montant des salaires mensuels des douze derniers mois, primes exceptionnelles des douze derniers mois, montant de la rémunération moyenne, montant brut en chiffres et en lettres de l'indemnité spécifique proposée) ;
― données relatives à l'entretien (date, nom, prénom et qualité des assistants du salarié et de l'employeur) ;
― données relatives à la convention de rupture (montant de l'indemnité de rupture, date de signature des parties, date de fin du délai de rétractation, date de rupture envisagée, autres clauses de la convention).
Depuis l'application de gestion :
La réception des formulaires papier en unités territoriales permet aux agents de créer un dossier depuis leur intranet métier ou de récupérer les informations présaisies depuis le portail public. Les données traitées sont :
― les données issues du formulaire CERFA et renseignées dans le portail public ;
― données rapatriées depuis l'annuaire SIENE interne du ministère (code APE, effectifs de l'établissement, code section d'inspection) ;
― nombre de ruptures conventionnelles dans l'entreprise sur une période de quinze mois, informations sur chaque rupture conventionnelle (unité territoriale d'attribution, numéro du dossier créé, numéro SIRET de l'établissement, nom ou raison sociale de l'établissement, date de réception du formulaire en unité territoriale, décision prise, date de la décision, nom et prénom du salarié) ;
― nature de la décision (irrecevabilité, homologation implicite, homologation expresse, refus, transfert vers l'unité territoriale compétente).
Ces données apparaissent pertinentes au regard de la finalité poursuivie, conformément aux dispositions de l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
Sur la durée de conservation des données
Les données sont conservées deux ans à compter de la date à laquelle l'administration a rendu sa décision sur la demande d'homologation, depuis l'application de gestion. Les données restent accessibles soixante jours du côté du portail public pour les gestionnaires en UT, qu'elles soient récupérées ou non du côté application de gestion.
Les dossiers créés par les usagers sont accessibles pendant trois jours sur le portail public ; au-delà l'usager n'y a plus accès. A l'issue de ce délai, l'usager doit générer le formulaire papier prérempli qu'il adresse à l'administration. Une fois le dossier instruit par l'administration, l'usager peut générer une attestation depuis le portail public. Il dispose pour ce faire d'un délai de six mois à compter de la fin du délai d'instruction. A l'issue de ce délai, le dossier n'est plus accessible.
Ces durées de conservation apparaissent pertinentes au regard de la finalité poursuivie par le traitement.
Sur les destinataires des données
Les destinataires des données sont, à raison de leurs attributions respectives et pour les besoins des missions qui leur sont confiées :
― les agents de l'inspection du travail ;
― les agents de la direction générale du travail au ministère chargé du travail ayant en charge le suivi de la mise en œuvre de ce traitement et de la gestion des demandes d'homologation ;
― les agents des services statistiques du ministère chargé du travail.
La liste de ces destinataires n'appelle pas d'observations de la commission.
Sur l'information des personnes
Les usagers sont informés, conformément à l'article 32 de la loi du 6 janvier 1978 modifiée, de leurs droits d'accès, de rectification et d'opposition sur le portail public www.teleRC.travail.gouv.fr, dans la rubrique « mentions légales ». Ces informations sont également mentionnées sur le formulaire CERFA.
Les conseillers du salarié relevant des directions régionales des entreprises, de la concurrence, de la consommation, du travail et de l'emploi (DIRECCTE) sont informés par courrier de la mise en place d'un traitement automatisé de données susceptibles d'inclure leur identité s'ils interviennent dans une procédure de rupture conventionnelle en assistant un salarié et qu'ils peuvent s'opposer à figurer dans ce traitement.
Ces modalités d'information des personnes apparaissent suffisantes pour la commission.
Sur les droits d'accès, de rectification et d'opposition des personnes
Les droits d'accès, de rectification et d'opposition des personnes s'exercent auprès du ministère du travail, de l'emploi, de la formation professionnelle et du dialogue social, direction générale du travail, bureau des relations collectives du travail (RT 2), ou auprès du service instructeur de la DIRECCTE compétente.
Ces modalités d'exercice des droits des personnes apparaissent suffisantes pour la commission.
Sur la sécurité des données et la traçabilité des actions
La Commission prend acte que des mesures de protection physiques et logiques sont prises pour préserver la sécurité du traitement de données à caractère personnel. Ces mesures visent à empêcher toute utilisation détournée ou frauduleuse des données ou que des tiers non autorisés y aient accès.
Elle prend acte que l'accès au serveur est protégé par login et mot de passe. Les utilisateurs répartis par profils n'ont accès qu'aux fonctions et données autorisées par le profil qui leur est affecté (gestionnaire, observateur, administrateur). Par ailleurs, des firewalls protègent le système des intrusions malveillantes. La traçabilité des mouvements est disponible et utilisable pour détecter et vérifier les mouvements anormaux. L'accès aux logiciels est réservé au personnel habilité.
La commission considère que ces mesures de sécurité sont satisfaisantes au regard des dispositions de l'article 34 de la loi du 6 janvier 1978 modifiée.