La commission a été saisie par le ministère de l'économie, des finances et de l'industrie et par le ministère du budget, des comptes publics et de la réforme de l'Etat (les ministères économiques et financiers) d'une demande d'avis portant sur un projet de décret relatif à la création d'un traitement de données à caractère personnel ayant pour finalité la gestion des ressources humaines (SIRHIUS).
Sur la finalité :
La création du présent traitement par les ministères économiques et financiers s'inscrit dans le cadre du raccordement du système d'information des ressources humaines des ministères à l'opérateur national de paye (ONP).
Créé par le décret n° 2007-903 du 15 mai 2007 portant création d'un service à compétence nationale à caractère interministériel dénommé « opérateur national de paye », l'ONP assurera la paie des traitements, salaires et indemnités accessoires servis par les ordonnateurs principaux et secondaires à l'ensemble des fonctionnaires et agents de l'Etat.
Le raccordement à l'ONP passe par une mise en conformité préalable des systèmes d'information des ressources humaines des ministères (SIRH) avec des normes et référentiels communs, dits « noyau commun FPE », afin de garantir leur bonne articulation avec le système d'information relatif à la paye (SI Paye). En particulier, ces SIRH doivent pouvoir alimenter le SI Paye d'événements de gestion gérés conformément à des règles de gestion et des processus de traitement de l'information définis par l'ONP.
La mise en conformité des systèmes d'information des ministères économiques et financiers implique de réunir les différentes bases de gestion de données RH existantes en une seule application, dénommée SIRHIUS. Le démarrage des travaux de raccordement de SIRHIUS à l'ONP est prévu pour 2013 afin de permettre la liquidation des premières payes en 2014. Dans un premier temps, l'interconnexion ne concernera que certaines catégories d'agents pour finalement concerner l'ensemble des agents en 2016.
La commission considère la finalité poursuivie comme déterminée, explicite et légitime.
Par ailleurs, elle estime qu'il y a lieu de faire application des dispositions de l'article 27-1 (1°) de la loi du 6 janvier 1978 modifiée qui prévoit que sont autorisés par décret en Conseil d'Etat, pris après avis motivé et publié de la commission, les traitements mis en œuvre pour le compte de l'Etat, d'une personne morale de droit public ou d'une personne morale de droit privé gérant un service public, qui portent sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques.
Sur les données collectées :
L'annexe du projet de décret énumère les catégories de données collectées, à savoir :
Les données relatives à l'identification des personnes :
― noms, prénoms et sexe ;
― matricule attribué par le traitement ;
― NIR ;
― identifiant ministériel ;
― matricule douane ;
― adresses personnelles en France et à l'étranger ;
― adresses professionnelles ;
― téléphone/fax et adresse électronique ;
― nationalité ;
― décès (date de décès ou de sortie définitive, lieu et motif de décès).
Les données relatives à la situation familiale :
― situation matrimoniale et nombre d'enfants à charge ;
― conjoint : nom, prénom, date et lieu de naissance, adresses postale et électronique, téléphone, nationalités d'origine et acquise, profession, matricule attribué par le traitement, historisation des changements de situations familiales ;
― maternité : date de déclaration de grossesse, date présumée de l'accouchement, date réelle d'accouchement, nombre d'enfants prévus ;
― enfants : nom, prénom, sexe, date de naissance, statut de l'enfant (légitime, adopté...), date de dépôt de requête d'adoption ;
― personnes à charge : nom, prénom ;
― handicap : groupe, organisme de reconnaissance ;
― autres ayants droit : nom, prénom, dates de début et de fin ;
― personnes à prévenir en cas d'urgence.
Les données relatives à la vie professionnelle :
― diplômes (date d'obtention, niveau), indicateur de présence de documents officiels (permis de conduire, passeport, carte nationale d'identité) et de documents professionnel (certification et permis, habilitations ou assermentations) ;
― langues ;
― visites médicales relevant de la médecine de prévention, adaptations du poste de travail ;
― mandats électifs : type et dates ;
― situation militaire ;
― scolarité (nature, année de promotion, rang), concours ;
― référence des contrats, avenants ou engagements ;
― références des arrêtés, décisions, notifications ;
― corps, grades, échelon, emploi fonctionnel, chevron, indice, mode d'accès aux corps et grade, filière, ancienneté conservée, date d'effet ;
― position statutaire, position administrative, situation à l'étranger ;
― affectation administrative, affectation opérationnelle, fonctions, attributions ;
― sanction : blâme, autres ;
― cumul d'activité ;
― évaluation et notation ;
― droits à la retraite ;
― qualifications détenues et exercées ;
― stages théoriques et pratiques ;
― distinctions honorifiques, décorations.
Les données à caractère économique et financier :
― numéro de compte et identification bancaire ;
― indice de traitement : brut et réel majoré ;
― ancienneté dans l'échelon, réduction d'ancienneté ;
― indemnités, primes, allocations ;
― retenues sur salaires : trop perçus, primes versées à tort, mutuelle, retraite complémentaire ;
― régime de rémunération ;
― régime de sécurité sociale ;
― nouvelle bonification indiciaire ;
― indemnité compensatoire ;
― fin de situation ;
― rémunération précalculée ;
― vacations ;
― indice de pension civile ;
― mutuelle ;
― retraite complémentaire.
Les données relatives aux élections professionnelles :
― mandats électifs syndicaux : restitution pour établissement des listes ;
― décharges de services pour activités syndicales ;
― autorisation d'absences : mandat syndical, instances paritaires.
Les données relatives au temps de travail :
― horaires ;
― régime horaire, badgeage, typologie de l'accord sur la réduction du temps de travail ;
― congés : annuels, maladie ordinaire, formation professionnelle, longue maladie, grave maladie, présence parentale, congé de longue durée ;
― absences (autorisations d'absence, absences injustifiées, grève, décharges) : dates, durées, motifs ;
― temps partiels, temps incomplet et cessation progressive d'activité ;
― accident de travail et maladie professionnelle ;
― compte épargne-temps.
La commission prend acte de ce que :
― la mention « nationalité d'origine/acquise » n'est utilisée que pour les agents en poste à l'étranger ;
― concernant le handicap, les données suivantes sont également collectées : avis, dates et nom des instances rendant des avis, situation juridique, taux ou groupe d'invalidité et description des aménagements de poste.
La commission considère que ces précisions pourraient utilement être mentionnées dans le projet de décret.
Sur la durée de conservation :
L'article 3 du projet de décret prévoit que les données sont conservées dans l'application SIRHIUS « jusqu'à la fin de la cinquième année suivant la date à laquelle, pour quel que motif que ce soit, les agents publics concernés cessent définitivement leurs fonctions ».
Sur l'archivage des données, les ministères ont indiqué que le dispositif d'archivage n'était pas encore finalisé et qu'une déclaration complémentaire auprès de la commission avant l'expiration du délai de cinq ans sera effectuée.
Sur les destinataires des données :
L'article 4 du projet de décret prévoit que « ont un accès direct aux données mentionnées à l'article 2, pour les besoins exclusifs des missions qui leur sont confiées, les agents chargés de la gestion administrative des personnels et de la préparation de la paye ». La commission prend acte que ces gestionnaires administratifs disposent d'un accès global aux données des agents dont ils sont responsables.
En outre, le projet de décret précise que « peuvent être destinataires de tout ou partie des données mentionnées à l'article 2, à raison de leurs attributions respectives et dans la limite des besoins d'en connaître les agents :
― de la gestion du personnel ;
― du calcul des pensions et de la gestion du compte individuel de retraite ;
― de la liquidation de la paye ».
Ces destinataires n'appellent pas d'observations de la part de la commission.
Sur l'information et le droit d'accès :
Les ministères économiques et financiers ont indiqué que les agents sont informés, conformément à l'article 32 de la loi du 6 janvier 1978 modifiée, au moment de leur première prise de fonctions, par la remise d'une note de présentation de SIRHIUS. L'espace « agents » de l'application, qui permet aux agents d'accéder à l'ensemble des données les concernant, reprend également cette mention d'information, de même que le portail « Ressources humaines » de chacune des directions.
En outre, les personnes concernées peuvent exercer leur droit d'accès et de rectification en ligne à partir de l'espace « agents » ou auprès des centres de services de ressources humaines des ministères économiques et financiers.
La commission prend également acte du fait que les droits d'accès et de rectification des tiers (enfant, conjoint, personne à charge de l'agent) s'exercent auprès des centres de services de ressources humaines dont relève l'agent concerné.
Par ailleurs, l'article 6 du projet de décret prévoit que le droit d'opposition ne s'applique pas au présent traitement.
La commission estime que ces modalités d'information et d'exercice des droits sont satisfaisantes.
Sur les transmissions d'informations :
Outre la transmission des données au SI Paye, SIRHIUS permet la transmission :
― au service des retraites de l'Etat (SRE) des éléments d'immatriculation des nouveaux agents et des données relatives aux positions d'activité nécessaires à l'alimentation du compte individuel retraite (CIR) ;
― au secrétariat général des ministères des seules données du dossier individuel nécessaires à l'attribution aux nouveaux agents d'un numéro d'identification propre (identifiant ministériel).
Ces dispositions n'appellent pas d'observations de la part de la commission.
Sur les mesures de sécurité :
La commission prend acte que l'application SIRHIUS est rendue disponible sur le réseau des ministères économiques et financiers, réseau privé virtuel non chiffré. Ce réseau a fait l'objet d'un audit de l'Agence nationale de la sécurité des systèmes d'information ayant donné lieu à la mise en place de préconisations. Il présente donc un niveau de sécurité acceptable.
Concernant l'authentification des utilisateurs, la commission déplore que les ministères économiques et financiers n'aient pas défini de règle uniforme portant sur les contraintes applicables aux mots de passe des utilisateurs de SIRHIUS. il est donc impossible d'apprécier la conformité de ces règles à la doctrine de la commission, celles-ci étant laissées à l'appréciation de chaque direction.
Concernant la journalisation des accès aux données, les ministères indiquent que seuls des fonctionnalités de journalisation des connexions à l'application sont mises en place, l'extension de cette fonctionnalité de journalisation au détail des données accédées posant des problèmes tant financiers que techniques. La commission déplore que les ministères économiques et financiers n'aient pas intégré de telles fonctionnalités dès la conception du traitement.
Enfin la commission estime que les mécanismes d'anonymisation utilisés dans le cadre du traitement apparaissent de nature à garantir l'anonymat des personnes concernées.