La commission a été saisie par le ministère de l'économie et des finances d'une demande d'avis portant sur un projet de décret en Conseil d'Etat relatif à la création d'un traitement automatisé, dénommé « offre SIRH », ayant pour finalité la gestion administrative et financière des personnels de l'Etat, sur le fondement de l'article 27-I (1°) de la loi du 6 janvier 1978 modifiée.
La création du présent traitement s'inscrit dans le cadre du raccordement du système d'information des ressources humaines (SIRH) des ministères à l'opérateur national de paye (ONP).
Le décret du 15 mai 2007 portant création de l'ONP a confié à ce service à compétence nationale la mission de construire et mettre en place le système d'information de traitement de la fonction paye des administrations de l'Etat, dénommé « SI paye » créé par le décret n° 2012-1055 du 14 septembre 2012.
L'ONP est ainsi chargé d'assurer le paiement des salaires et accessoires de tous les agents à partir des données de gestion administrative saisies dans les SIRH des ministères. Il a également pour mission d'élaborer des référentiels communs auxquels doivent se conformer les SIRH de l'Etat.
Le raccordement passe par la mise en conformité préalable de chaque SIRH avec des normes et référentiels communs, dits « noyau commun FPE (fonction publique d'Etat) », afin de garantir leur bonne articulation avec le SI paye. Le raccordement des différents ministères est prévu, par vagues successives, entre 2012 et 2016.
Sous l'impulsion de l'ONP, certains ministères se sont engagés dans un projet de refonte de leur SIRH pour répondre aux normes et référentiels communs. D'autres ont fait le choix de confier à l'ONP le soin de concevoir et de gérer en mode « fournisseur de services applicatifs » pour leur compte un SIRH conforme et compatible avec le SI paye, conformément à la mission confiée à l'ONP par le décret précité.
Le projet de décret soumis à la commission porte précisément sur la création du traitement, dit « offre SIRH » (OSIRH), conçu et mis en œuvre par l'ONP, proposé aux ministères et institutions qui ne souhaiteraient pas conduire par eux-mêmes l'évolution de leur système.
Ce projet de décret en Conseil d'Etat a vocation à constituer un acte réglementaire unique prévu par l'article 27-III de la loi du 6 janvier 1978 modifiée renvoyant à l'article 26-IV qui dispose que les traitements qui répondent à une même finalité portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par un acte réglementaire unique.
Il s'agit d'une mesure de simplification permettant aux organismes concernés d'accomplir simplement leurs formalités préalables. Chacun de ces traitements doit alors être mis en œuvre conformément à la description qui figure dans ce texte réglementaire et doit faire l'objet d'un engagement de conformité, préalablement adressé à la CNIL.
Sur la finalité du traitement :
Le SIRH interministériel construit par l'ONP, en articulation avec la future application de gestion de la paye de l'ONP, vise à mettre à disposition de l'ensemble des ministères et organismes (établissements publics notamment) adhérents à l'offre, un système informatique unique et mutualisé afin d'assurer la gestion des ressources humaines.
Les données relatives à la situation des agents sont saisies par les ministères dans leur SIRH puis transmises au SI paye qui déclenche les éléments de rémunération dus au regard de ces données. Pour ce faire, l'application OSIRH est mise en relation avec le système dit « SI paye ».
Outre la transmission des données au SI paye, l'offre SIRH permet la transmission au service des retraites de l'Etat (SRE), via l'ONP, de toutes les données nécessaires à l'alimentation du compte individuel retraite (CIR) des agents pour le calcul de leur pension.
Il ressort du dossier présenté à la commission que l'OSIRH met également à la disposition de chaque agent un espace personnel, appelé « self-service », lui permettant d'effectuer les opérations suivantes :
― gérer les demandes de congés (consultation des droits et soldes, saisir ou annuler une demande de congés, suivre la demande) ;
― gérer les demandes de formation (saisir ou annuler une demande de formation, suivre la demande, visualiser et imprimer le passeport de formation, consulter le compteur DIF, accéder à l'historique des demandes de formation et de celles suivies) ;
― consulter l'entretien d'évaluation (consulter le compte rendu d'évaluation en cours, saisir les argumentaires et demandes qui concernent l'agent, visualiser l'historique des comptes rendus des évaluations validés) ;
― accéder à certaines informations contenues dans le dossier administratif (fiche de poste, CV, historique des affectations et de carrière, informations liés au prochain avancement, décorations et distinctions honorifiques, personne à contacter en cas d'urgence, ses numéros de téléphone et mails, adresses, civilité, situation matrimoniale, diplômes, enfants à charge, RIB).
L'OSIRH a vocation à gérer un grand nombre de populations différentes (fonctionnaires titulaires, stagiaires, ouvriers de l'Etat, militaires, apprentis, bénévoles) et a été conçu pour répondre aux besoins spécifiques des « clients » multiples et variés.
Ce traitement répond, d'une part, aux objectifs de la loi organique relative aux lois de finances (LOLF) en matière de RH publiques et, d'autre part, aux missions confiées à l'ONP.
La commission considère la finalité poursuivie comme déterminée, explicite et légitime.
Sur la nature des données traitées :
Les données collectées correspondent aux données listées dans le noyau RH FPE, élaboré par l'ONP et que tous les ministères doivent intégrer dans leur système d'information de gestion des ressources humaines en vue du raccordement à l'ONP.
Elles concernent les agents de l'Etat mais également leurs proches (conjoint, enfant ou personne à charge).
Le dossier présenté par le ministère indique que les informations collectées sont nécessaires au calcul de la paye et des cotisations (ou des déclarations à caractère légal), à la gestion des ressources humaines (gestion administrative, formation, gestion des carrières, sanction, etc.), à la déclaration automatisée des données sociales unifiée (DADSU) par l'employeur, à l'attribution des prestations sociales ainsi qu'à alimenter le compte individuel de retraite (CIR).
L'article 2 du projet de décret liste les catégories de données collectées.
Certaines de ces données appellent les observations suivantes de la part de la commission.
Le NIR de l'agent est utilisé pour le paiement du salaire, les échanges avec le service des retraites de l'Etat et pour l'alimentation du compte individuel de retraite, ce qui apparaît légitime la commission ayant toujours admis une utilisation du NIR dans la sphère sociale.
S'agissant du NIR relatif à l'enfant ou à la personne à charge, le ministère justifie la collecte de cette information par l'obligation de la faire figurer dans la déclaration annuelle des données sociales unifiée (DADSU) envoyée aux organismes sociaux.
S'agissant de la date d'acquisition de la nationalité, la commission prend acte des observations transmises par le ministère précisant que cette donnée n'est utile que pour les agents des services chargés des cultes d'Alsace-Moselle. La nationalité figurera sous la forme agent « membre de l'UE » et « hors UE ».
La commission prend acte du fait que certaines données sont collectées uniquement auprès des agents des départements d'outre-mer (DOM) pour le calcul des prestations familiales et sociales. En effet, dans les DOM, ces prestations ne sont pas versées par les caisses d'allocations familiales, mais directement par l'Etat employeur.
La commission rappelle que, dans le cadre d'une demande de prestations sociales, les données relatives à la santé de l'agent ou de la personne à charge qui sont nécessaires pour décider de l'octroi de l'allocation ne peuvent être collectées et traitées que par le service médical compétent.
Les données relatives au handicap sont exclusivement accessibles par les médecins du ministère. Les gestionnaires de l'application ont uniquement connaissance du fait que l'agent concerné ou, le cas échéant la personne à charge est en situation de handicap et n'ont pas accès au détail des données enregistrées et notamment au type de handicap.
La commission estime que les informations relatives au handicap ou à la maladie doivent être recueillies au travers de questions fermées oui/non. En outre, elle prend acte de ce que le taux de handicap et la date de la décision de la commission des droits et de l'autonomie des personnes handicapées seront collectés dès lors que ces données sont nécessaires pour renseigner la DADS-U.
Compte tenu des nombreuses informations susceptibles d'être collectées, il conviendrait de rappeler dans le projet de décret que les données mentionnées à l'annexe du projet de décret ne doivent être collectées par les administrations concernées que lorsqu'elles sont nécessaires à la gestion administrative (principe de pertinence) ou justifiées par une disposition législative ou réglementaire.
A cet égard, le traitement envisagé ne devra pas comporter de champ obligatoire s'il n'existe pas d'obligation pour les administrations justifiant la collecte des données.
Par ailleurs, chaque ministère reste responsable des données de gestion administrative présentes dans son SIRH et il lui appartient de s'assurer que les données à caractère personnel enregistrées dans le traitement sont strictement nécessaires à la gestion administrative de l'agent considéré ou pour satisfaire aux obligations déclaratives prévues par les lois et les règlements dans le cadre de la finalité du traitement.
Votre rapporteur propose que l'article 2 du projet de décret soit complété par le paragraphe suivant : « Les données à caractère personnel ne peuvent être enregistrées dans le traitement que si elles sont strictement nécessaires à la gestion administrative de l'agent concerné ou pour satisfaire aux obligations déclaratives prévues par les lois et les règlements dans le cadre de la finalité du traitement. »
Sur la durée de conservation des données :
L'article 3 du projet de décret prévoit que « les données sont conservées jusqu'à la fin de la cinquième année suivant la date à laquelle, pour quelque motif que ce soit, les agents publics concernés cessent définitivement leurs fonctions ».
Sont également conservées pendant cinq ans au maximum les informations relatives aux sanctions ainsi que celles concernant l'authentification et la traçabilité des accès.
A ce titre, en application de l'article 6 (5°) de la loi du 6 janvier 1978 modifiée, la commission rappelle que des données à caractère personnel ne peuvent être conservées sous une forme permettant l'identification des personnes concernées que pour le temps nécessaire à l'accomplissement de la finalité poursuivie.
La commission considère que les données relatives à un agent ne doivent pas être conservées dans la base active accessible aux services gestionnaires au-delà de la période d'emploi de la personne concernée.
Seules certaines catégories d'informations, en application de dispositions législatives et réglementaires, peuvent être conservées au-delà du départ de l'agent, sur un support d'archive, conformément aux règles applicables en matière d'archives publiques.
S'agissant plus particulièrement de la durée de conservation des sanctions, la commission rappelle que, dans le respect du droit de la fonction publique, les sanctions adressées à l'agent sont soumises à une durée de conservation limitée : sauf dispositions législatives contraires, les données relatives aux motifs d'absence ne peuvent être conservées plus de deux ans et (si aucune sanction n'est intervenue dans cette période) le blâme doit être effacé au bout de trois ans.
Il conviendrait dès lors de mettre en place une politique de purge des données afin de ne traiter que les données nécessaires à la gestion des personnels encore en poste, conformément aux dispositions légales en vigueur.
Sur les destinataires des données :
L'article 4 du projet de décret prévoit que « seuls ont accès, à raison de leurs attributions et dans la limite du besoin d'en connaître, à la totalité ou une partie des données mentionnées à l'article 2 les agents individuellement désignés et spécialement habilités et organismes adhérents à l'offre SIRH ».
L'article précise également que « peuvent être destinataires de tout ou partie des données [...], à raison de leurs attributions respectives et dans la limite du besoin à en connaître, les agents en fonctions dans les services de l'Etat chargés de la gestion des pensions et des opérations de paie des agents qui relèvent des ministres et organismes adhérents à l'offre SIRH ».
Ces destinataires n'appellent pas d'observations.
La commission souhaite néanmoins rappeler que les habilitations d'accès à tout ou partie des informations envisagées par le ministère devront correspondre, comme l'indique le décret, aux fonctions de chaque agent dans la limite de leurs attributions et du besoin qu'ils ont d'en connaître.
Sur l'information des personnes :
Le projet de décret soumis à l'avis de la commission ne comporte pas de disposition relative à l'information des personnes concernant l'existence du traitement, conformément aux prescriptions de l'article 32 de la loi du 6 janvier 1978 modifiée.
Il conviendrait que chaque ministère informe de manière individuelle les personnels sur l'existence du traitement, de sa finalité, des destinataires des informations, des droits qui leur sont reconnus par la loi ainsi que du caractère facultatif de certaines informations ainsi que des conséquences à leur égard d'un défaut de réponse.
Sur les droits d'accès, de rectification et d'opposition des personnes :
La commission relève que l'information des agents sur leur droit d'accès aux informations est prévue sur les bulletins de salaire. L'espace « self-service » de l'agent reprend également cette mention d'information.
L'indication des modalités de cet accès figure à l'article 6 du projet de décret qui précise que « les droits d'accès et de rectification prévus aux articles 39 et 40 de la loi du 6 janvier 1978 [...] s'exercent soit directement par l'agent, en consultation, à certaines informations contenues dans son dossier administratif, soit auprès du gestionnaire de ressources humaines dont relève chaque agent ».
La commission estime que cet article devrait être modifié pour supprimer les termes : « à certaines informations contenues dans » jugés trop imprécis. A minima, le projet de décret devrait préciser de quelles données il s'agit.
Il conviendrait également que chaque ministère précise aux agents la possibilité qu'ils ont de demander la rectification ou la suppression des informations qui sont uniquement accessibles en consultation, dès lors qu'ils justifient leur demande auprès du gestionnaire.
Le projet de décret exclut l'exercice du droit d'opposition en application des dispositions de l'article 38, alinéa 3, de la loi du 6 janvier 1978 qui dispose que ce droit ne s'applique pas « lorsque le traitement répond à une obligation légale ou lorsque l'application de ces dispositions a été écartée par une disposition expresse de l'acte autorisant le traitement ».
Sur la sécurité des données et la traçabilité des actions :
L'authentification à l'application de collecte de données se fera sur la base d'un identifiant et d'un mot de passe.
La gestion des habilitations permettra à chaque organisme de définir pour chaque utilisateur les droits d'accès aux fonctions (consultation, création, modification, suppression d'un élément donné) et aux données en fonction des attributions et missions de l'agent.
L'authentification des utilisateurs du « self-service » se fera par login et mot de passe.
L'application SIRH permettra de réaliser des requêtes. Seuls les agents individuellement désignés et spécialement habilités par les organismes adhérents à l'offre SIRH pourront réaliser ces requêtes à raison de leurs attributions et dans les limites de l'article 4 du projet de décret. L'ensemble des requêtes feront l'objet d'une traçabilité.
La commission rappelle que toutes les actions de consultation et requêtes doivent être tracées, afin de conserver un historique des accès, modifications et suppressions de données non autorisées.
Le dossier technique mentionne également la présence de mots de passe (passés et actuel) de l'utilisateur au titre des informations conservées dans l'annuaire. Ces mots de passe sont chiffrés, des procédés cryptographiques mettant en œuvre des fonctions de hachage.
Les autres points n'appellent pas d'observations de la commission.