Sur la proposition de M. Emmanuel de GIVRY, commissaire, et après avoir entendu Mme Elisabeth ROLIN, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
Sur le fondement de l'article 27-11 (4°) de la loi du 6 janvier 1978 modifiée, la Commission nationale de l'informatique et des libertés a été saisie pour avis par le ministère du travail, de l'emploi, de la formation professionnelle et du dialogue social d'un projet d'arrêté portant création d'un téléservice de l'administration dénommé « ma démarche Fonds social européen (FSE) ».
Sur la finalité du traitement :
Le téléservice « ma démarche FSE » vise à dématérialiser le dépôt, la recevabilité et l'instruction des demandes de financement FSE, d'une part, ainsi que le dépôt des bilans d'exécution, leur recevabilité et les rapports de contrôle de service fait pour une remontée fiabilisée des données à la Commission européenne, d'autre part.
L'article 1er du projet d'arrêté étudié par la commission mentionne que le téléservice « ma démarche FSE » poursuit les finalités suivantes :
- « faciliter l'accès et simplifier la gestion du Fonds social européen (FSE) en France ;
- améliorer la qualité du service rendu aux usagers ;
- faciliter le traitement et la prise en charge des demandes et des réalisations par les services gestionnaires concernés ;
- faciliter l'élaboration des traitements de données des demandes de subvention ;
- mettre en cohérence les réseaux d'information déjà existants ;
- faciliter les contrôles croisés entre les Fonds européens conformément à la réglementation communautaire ».
La Commission considère que ces finalités sont déterminées, explicites et légitimes.
Sur la nature des données traitées :
Les données à caractère personnel collectées par l'intermédiaire du téléservice « ma démarche FSE » concernent les membres des structures ayant conclu une convention avec le FSE et sont relatives :
- à l'identification des personnes physiques ;
- à la vie professionnelle ;
- à des informations d'ordre économique et financier ;
- au numéro d'inscription des personnes au répertoire national des personnes physiques (NIR).
S'agissant du NIR, la commission prend acte que cette donnée peut figurer de façon incidente sur des documents que le porteur de projet transmet au service gestionnaire en qualité de pièces justificatives. Elle relève toutefois que cette donnée n'est pas saisie en tant que telle dans le téléservice « ma démarche FSE » et ne peut être utilisée comme un critère de requête. Les NIR collectés ne sont pas transmis à des organismes tiers, ni exploités, ni utilisés à titre d'identifiant.
La commission considère que la collecte et le traitement des données à caractère personnel mentionnées à l'article 2 du projet d'arrêté sont légitimes, pertinents et non excessifs au regard des finalités poursuivies.
Sur la durée de conservation des données :
Le programme national FSE de la politique de cohésion de l'Union européenne est programmé pour sept ans. Sa clôture intervient au mieux deux ans après la fin de la période de programmation et la Commission européenne est en mesure de réaliser des contrôles pendant dix ans à compter de la clôture du programme.
Les données à caractère personnel sont ainsi conservées pendant dix-neuf ans, notamment pour permettre la réalisation de contrôles relatifs à l'utilisation des fonds alloués par le FSE.
La commission considère que cette durée de conservation n'excède pas celle qui est nécessaire à l'accomplissement des finalités poursuivies.
Sur les destinataires des données :
Les données à caractère personnel traitées seront accessibles au personnel habilité des gestionnaires du Fonds social européen (autorités de gestion, autorités de gestion déléguées et organismes intermédiaires), d'une part, et celui des autorités et services chargés de contrôler la bonne utilisation du Fonds social au niveau national et au niveau communautaire, d'autre part.
La commission considère que ces destinataires ont un intérêt légitime à accéder aux données du téléservice dénommé « ma démarche FSE ».
Sur l'information des personnes :
Les personnes physiques concernées sont informées des éléments mentionnés à l'article 32 de la loi du 6 janvier 1978 modifiée par une mention sur le site internet du téléservice.
La commission considère que les mesures prévues au titre de l'information des personnes physiques sont satisfaisantes.
Sur les droits d'accès, de rectification et d'opposition des personnes :
Les droits d'accès, de rectification et d'opposition s'exercent auprès des gestionnaires du Fonds social européen (autorités de gestion, autorités de gestion déléguées et organismes intermédiaires).
La commission considère que les droits d'accès, de rectification et d'opposition sont mis en œuvre conformément aux dispositions de la loi du 6 janvier 1978 modifiée.
Sur la sécurité des données et la traçabilité des actions :
La commission rappelle que le téléservice « ma démarche FSE » doit se conformer au référentiel général de sécurité (RGS). Elle prend acte que le responsable de traitement, dans sa démarche de conformité au RGS, a réalisé une analyse des risques présentés par le traitement et mis en œuvre des mesures permettant de traiter les risques considérés comme étant inacceptables. La commission considère que cette démarche permet de s'assurer que les mesures de sécurité mises en place seront proportionnées aux risques identifiés. Elle rappelle néanmoins que, pour être conforme à l'article 34 de la loi du 6 janvier 1978 modifiée, ce type d'analyse doit prendre explicitement en compte les risques qui portent sur les personnes physiques concernées par le traitement. La commission rappelle enfin que l'homologation du téléservice au RGS doit être prononcée par l'autorité administrative, d'une part, et que cette décision d'homologation doit être accessible à partir de la page de connexion au téléservice, d'autre part.
Concernant les modalités d'authentification des utilisateurs, la commission relève que ses recommandations ont été mises en œuvre par le ministère.
Concernant les mesures de traçabilité, un journal des connexions à l'application permettra de détecter d'éventuelles tentatives d'intrusions. Par ailleurs, un journal des accès aux données permettra de tracer l'ensemble des opérations de création ou de modification de données. Ces journaux seront conservés pendant six mois conformément aux recommandations de la commission.
Concernant les supports de stockage usagés, la commission observe que ces derniers seront détruits par des prestataires spécialisés.
Concernant la transmission de données à caractère personnel par internet, la commission observe que les données transmises seront chiffrées au moyen du protocole « https » qui permet de garantir la confidentialité des données. La commission rappelle que cette mesure doit être revue régulièrement afin de rester à l'état de l'art.
Les autres mesures de sécurité n'appellent pas d'observation de la part de la commission.