La commission a été saisie par le ministère de l'intérieur d'une demande d'avis sur un projet de décret en Conseil d'Etat relatif à la mise en œuvre d'un traitement de données à caractère personnel, dénommé « système d'information ressources humaines » (SIRH), ayant pour finalité la gestion des agents de la préfecture de police relevant du budget spécial.
Ce traitement étant mis en œuvre pour le compte de l'Etat et portant sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques, la saisine de la commission pour avis est fondée sur l'article 27-I (1°) de la loi du 6 janvier 1978 modifiée.
Sur la finalité du traitement :
Les agents de la préfecture de police de Paris relevant du statut des administrations parisiennes sont placés sous l'autorité du préfet de police agissant en sa qualité de chef des administrations parisiennes. Ils sont regroupés en 25 corps de fonctionnaires et d'agents non titulaires, relevant du budget spécial et créés par des délibérations du conseil de Paris. Les dispositions statutaires relatives à la fonction publique territoriale leur sont applicables de plein droit, sous réserve des dérogations prévues par le décret du 24 mai 1994 susvisé.
Le système actuel de gestion des ressources humaines de la préfecture de police de Paris ne répond plus, sur les plans technique, fonctionnel et organisationnel, aux exigences de modernisation de la gestion des carrières et des ressources humaines.
Il est en effet constitué de deux applications principales, l'une pour la gestion administrative et l'autre pour le traitement de la paie, qui n'ont pas suivi une évolution technologique suffisante. De nombreuses applications ont été développées successivement au fil des années afin de pallier les faiblesses fonctionnelles du système central.
Le SIRH de la préfecture de police de Paris est un logiciel standard répondant aux exigences réglementaires, statutaires et aux procédures normalisées d'échanges de données.
Le traitement a pour finalité la gestion administrative, financière et opérationnelle des agents de la préfecture de police relevant du statut des administrations parisiennes, des agents régis par le décret n° 88-145 du 15 février 1988 modifié et, enfin, des collaborateurs occasionnels du service public relevant de la préfecture de police.
A ce titre, le SIRH de la préfecture de police prend en compte les domaines suivants :
― traitement de la paie des agents et du déclaratif associé ;
― gestion administrative ;
― gestion administrative du domaine médical ;
― organisation et suivi du dialogue social, tant individuel que collectif ;
― gestion des pensions des agents ;
― interfaces et échanges de données prioritaires ;
― reporting et pilotage, concernant notamment les effectifs et la masse salariale ;
― journalisation des événements ;
― gestion des échéanciers ;
― systèmes d'alertes permettant la prise de connaissance de manière collaborative ;
― production et gestion des arrêtés ;
― production de statistiques.
La commission estime que la finalité poursuivie par le responsable de traitement est déterminée, explicite et légitime.
Sur la nature des données traitées :
L'article 2 du projet de décret soumis à la commission renvoie à une annexe qui liste les catégories de données collectées.
Il s'agit plus précisément de données relatives à :
1. L'identification des personnes :
a) Identification du personnel :
― nom et prénoms ;
― sexe ;
― date et lieu de naissance ;
― nationalité, mode et date d'acquisition ;
― date et lieu de décès éventuel ;
― adresse privée et professionnelle ;
― adresses électroniques ;
― numéros de téléphone ;
― numéros et dates de validité des pièces d'identité ;
― nom, prénoms, téléphone et qualité de la personne à prévenir en cas d'urgence ;
― pour les seules opérations nécessaires à la gestion financière, numéro d'inscription au répertoire national d'identification des personnes physiques ;
b) Situation familiale :
― situation matrimoniale ;
― nom et prénoms du conjoint ;
― date de naissance du conjoint ;
― nom, prénoms et qualité du représentant légal ;
― situation familiale des enfants et/ou des autres personnes à charge :
― nom et prénoms ;
― date de naissance ;
― sexe.
2. La vie professionnelle :
a) Formation, diplômes, distinctions :
― études poursuivies, diplômes obtenus et date d'obtention ;
― distinctions honorifiques ;
― action de formation continue ;
― situation militaire : durée et date des services militaires ou dans la réserve opérationnelle ou du volontariat international ;
b) Carrière :
― matricule ;
― corps, grade ;
― échelon, indice de traitement ;
― recrutement ;
― contrats et avenants aux contrats ;
― position administrative ;
― affectations ;
― postes occupés et catégories d'emploi ;
― qualifications, compétences ;
― notation et évaluations ;
― services antérieurs ;
― absences ;
― congés et motifs ;
― ancienneté et avancement ;
― cessation de fonctions ;
― mandat syndical ;
c) Sanctions :
― nature de la sanction ;
― date de début et de fin, durée totale de la sanction, durée du sursis, date de notification et indications de la prise en compte éventuelle pour les calculs d'ancienneté, les médailles ou la paie.
3. La situation économique et financière :
― coordonnées bancaires ;
― éléments de rémunération (traitement, indemnités, primes, remboursement de frais, retenues éventuelles) ;
― droits à prestations familiales et sociales, droit au supplément familiale de traitement et ressources déclarées à cette fin.
4. La santé :
― aptitudes médicales et handicap éventuel : type de handicap, date de début, date de fin, taux d'incapacité, taux d'invalidité, adaptation du poste (oui/non) ;
― accidents et maladies professionnelles.
La commission estime que les données collectées sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie.
Sur la durée de conservation des données :
L'article 4 du projet de décret prévoit que les données enregistrées dans le traitement SIRH seront conservées jusqu'à la fin de la cinquième année suivant la date à laquelle les agents cessent définitivement leurs fonctions.
Le projet de décret précise que cette durée de conservation de cinq ans ne s'applique pas :
― aux données relatives aux absences, qui sont conservées pour une durée n'excédant pas deux ans à compter de la date de reprise de l'agent ;
― aux données relatives aux sanctions disciplinaires, qui sont conservées jusqu'à leur effacement du dossier administratif de l'agent.
La commission rappelle que les informations nécessaires au calcul des droits à retraite peuvent être conservées, à des fins de reconstitution de la carrière, jusqu'à la liquidation des pensions des personnes concernées.
La commission estime que les durées de conservation mentionnées dans le projet de décret qui lui a été soumis pour avis n'excèdent pas celles qui sont nécessaires à l'accomplissement de la finalité poursuivie.
Sur les destinataires des données :
L'article 3 du projet de décret prévoit que peuvent accéder à la totalité ou à une partie des données du traitement SIRH, à raison de leurs attributions, les agents, individuellement désignés et spécialement habilités par le préfet de police, des services chargés de la gestion administrative des personnels et de ceux chargés de préparer la liquidation des traitements.
Cet article prévoit également que peuvent être destinataires des données du traitement SIRH :
a) Les agents de la préfecture de police chargés :
― de la gestion du personnel, des pensions et des allocations d'invalidité ;
― des attributions et de la gestion des logements ;
― de la gestion administrative des dossiers médicaux ;
― du dialogue social ;
― de la formation et du recrutement ;
― de la mise à jour de l'annuaire interne de la préfecture de police ;
b) Les agents de la direction régionale des finances publiques chargés de la liquidation de la paie des agents de la préfecture de police ;
c) Les agents chargés du prélèvement pour les mutuelles des cotisations de leurs adhérents relevant du ministère de l'intérieur ;
d) Les agents des caisses primaires d'assurance maladie ;
e) Les agents des caisses d'allocations familiales.
La liste de ces destinataires n'appelle pas d'observation de la part de la commission.
Sur l'information des personnes :
Les personnes concernées seront informées, conformément à l'article 32 de la loi du 6 janvier 1978 modifiée, par un courrier joint à leurs premiers bulletins de paie.
La commission estime que cette modalité d'information des personnes est satisfaisante.
Sur les droits d'accès, de rectification et d'opposition des personnes :
Les droits d'accès et de rectification s'exercent auprès de la direction des ressources humaines de la préfecture de police.
L'article 6 du projet de décret prévoit que le droit d'opposition ne s'applique pas au traitement SIRH.
Ces dispositions n'appellent pas d'observation de la commission.
Sur la sécurité des données et la traçabilité des actions :
Les mesures de sécurité sont prises afin de préserver la sécurité des données et, notamment, empêcher que des tiers non autorisés y aient accès. L'accès au SIRH se fait par un identifiant et un mot de passe confidentiel et personnel d'un niveau de complexité suffisant. Des mécanismes de gestion des habilitations permettent de limiter le périmètre des données auxquelles les utilisateurs peuvent accéder.
Des mesures de traçabilité des actions effectuées dans le SIRH sont également prises.
Les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée.
La commission rappelle toutefois que cette exigence nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.
La présente délibération abroge la délibération n° 2012-405 du 15 novembre 2012 de la Commission nationale de l'informatique et des libertés portant avis sur la précédente version du projet de décret.