Après avoir entendu M. Eric PERES, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
Le ministre du travail, de l'emploi, de la formation professionnelle et du dialogue social a saisi la Commission nationale de l'informatique et des libertés d'une demande d'avis, préalablement à la mise en œuvre d'un traitement de données à caractère personnel dénommé « système d'information du compte personnel de formation » (Sl-CPF).
Au regard de ses caractéristiques et de ses finalités, le traitement « SI-CPF » est un traitement mis en œuvre pour le compte de l'Etat, qui porte notamment sur des numéros d'inscription des personnes au répertoire national d'identification des personnes physiques, et qui comprend également la mise à disposition des usagers de l'administration d'un téléservice de l'administration électronique.
Sur les finalités du traitement :
Aux termes des articles 1 et 2 du projet de décret soumis à l'examen de la Commission, le traitement « SI-CPF » est créé pour mettre en œuvre le dispositif « compte personnel de formation » (CPF) qui entrera en vigueur le 1er janvier 2015 tel que prévu par le code du travail.
Ce traitement doit permettre :
- de gérer les droits inscrits ou mentionnés dans les comptes personnels de formation ;
- d'offrir aux titulaires d'un compte personnel de formation, par l'intermédiaire d'un portail d'accès accessible sur internet, la possibilité de consulter le nombre d'heures créditées sur leurs comptes et de bénéficier d'information sur les formations éligibles et les abondements complémentaires qui peuvent être sollicités ;
- de mettre à la disposition de chaque titulaire d'un CPF son passeport d'orientation, de formation et de compétences ;
- d'analyser du point de vue statistique l'utilisation du CPF et d'en évaluer la mise en œuvre.
La Commission considère que ces finalités sont déterminées, explicites et légitimes.
Elle souhaite néanmoins attirer l'attention du ministère sur le fait que des personnes peuvent ne pas disposer d'un accès à Internet, sur leur lieu de travail et à leur domicile, ou rencontrer des difficultés pour utiliser les services accessibles à partir de ce réseau.
Afin de répondre aux obligations prévues par les dispositions du code du travail, il apparaît ainsi que le ministère devrait prévoir, en parallèle du portail d'accès accessible sur Internet, un processus permettant aux personnes ne pouvant accéder à Internet, ou rencontrant des difficultés à utiliser les services offerts à partir de ce réseau, de bénéficier des mêmes droits et possibilités que ceux offerts aux personnes pouvant accéder à Internet.
Sur la nature des données traitées :
L'article 8 du projet de décret soumis à avis de la Commission mentionne que le « SI-CPF » peut être alimenté par les traitements automatisés relatifs :
- au Système national de gestion des identifiants ;
- aux données sociales collectées par le Centre national de traitement des données sociales ;
- aux données sociales collectées par la Mutualité Sociale Agricole ;
- aux données sociales collectées au titre des activités mentionnées aux articles L. 6331-55 (salariés intermittents du spectacle) et L. 6331-65 (artistes auteurs) du code du travail ;
- aux traitements automatisés des organismes paritaires collecteurs agréés (OPCA) pour alimenter le compte d'heures en nombre d'heures supplémentaires et correctives ;
- au dispositif interministériel de suivi et d'appui aux jeunes quittant les systèmes de formation initiale sans diplôme ni qualification professionnelle.
Le II de l'article 8 du projet de décret prévoit, par ailleurs, que le traitement « SI-CPF » peut être mis en relation, uniquement dans le cadre de l'accomplissement de ses finalités, avec des traitements automatisés des collectivités et organismes chargés du financement des formations (organisme collecteur paritaire agréé, organisme paritaire agréé au titre du congé individuel de formation, région, Pôle emploi, fonds de développement pour l'insertion professionnelle des handicapés) et avec ceux des organismes de conseil en évolution professionnelle mentionnés à l'article L. 6111-6 du code du travail.
Ces mises en relations sont subordonnées à l'information préalable de la Commission, en application du II de l'article 30 de la loi du 6 janvier 1978 modifiée, et, si nécessaire, à la modification des formalités effectuées auprès de la Commission préalablement à la mise en œuvre de ces traitements.
Les données collectées et traitées dans le cadre du traitement « SI-CPF » sont annexées au projet de décret soumis à la Commission. Ces données correspondent à cinq catégories et sont relatives :
1. Aux informations personnelles du titulaire du compte :
- numéro d'inscription au répertoire national d'identification des personnes physiques (NIR ou numéro de sécurité sociale) ;
- date de création dans le référentiel CPF ;
- sexe ;
- civilité ;
- nom patronymique, usuel, marital, prénoms ;
- date et lieu de naissance ;
- indication de notion de personnes ayant un handicap ;
- adresses personnelles en France et à l'étranger ;
- adresse de son lieu de travail ;
- téléphone(s) et adresse électronique ;
- date et caractère certifié ou présumé du décès.
2. Aux données correspondantes aux comptes d'heures :
- heures acquises au titre du droit individuel à la formation ;
- heures inscrites sur le compte personnel de formation ;
- informations sur la nature des droits période d'activité et d'inactivité (avec le motif de l'inactivité), date prises en compte ;
- numéro Siret de l'employeur ;
- code profession ;
- temps de travail ;
- taux de temps de travail ;
- rémunération du titulaire.
3. Aux données des dossiers de formation :
- formations éligibles ;
- historique des opérations effectuées sur le CPF ;
- champs de saisie de commentaires par le titulaire ;
- titre de la formation ;
- intitulé complet de la formation ;
- date d'accord du titulaire pour la mobilisation de ses heures CPF ;
- numéro Siret de l'organisme de formation ;
- raison sociale de l'organisme de formation ;
- durée totale de la formation en heures prévue/durée totale effectuée ;
- coût total de la formation en euros prévue/coût total final ;
- date de la formation ;
- objectif de la formation ;
- niveau/titre le plus élevé obtenu par le stagiaire ;
- statut du stagiaire ;
- catégorie socioprofessionnelle du stagiaire ;
- si stagiaire salarié : numéro Siret, raison sociale et adresse de l'employeur, URSSAF, code APE/NAF, effectif employeur, OPCA de l'entreprise, code IDCC/CCN, imputation ;
- rémunération possible sur les 0.2 % ;
- formation « présentielle » ou à distance ;
- certification partielle ;
- formation interne/externe ;
- contenu de la formation ;
- rythme de la formation ;
- contact formation ;
- parcours de formation ;
- niveau d'entrée obligatoire ;
- code niveau entrée ;
- conditions spécifiques ;
- prise en charge des frais possible
- modalité entrée-sortie ;
- lieu de formation ;
- adresse inscription ;
- coordonnées organisme ;
- contact organisme ;
- renseignement spécifique
- code public visé ;
- financement :
- solde des droits acquis au titre du compte personnel de formation disponible en heures ;
- solde du droit individuel à la formation en heures ;
- droits acquis en heures au titre du compte personnel de formation mobilisés pour la formation ;
- heures du droit individuel à la formation mobilisées pour la formation ;
- coût de la formation en euros, pour les frais pédagogiques, annexes, et montant de la rémunération prise en charge ;
- pour les financements complémentaires, par financeur, et par type de financeur, nom de l'organisme financeur, nombre d'heures financées, montant financé en euros, commentaire.
4. Aux données des passeports d'orientation, de formation et de compétences :
- éludes et formations suivies ;
- diplômes et certifications obtenues ;
- qualifications détenues et exercées ;
- expérience professionnelle ;
- aptitudes et compétences ;
- permis de conduire ;
- langues étrangères ;
- assermentations.
5. Aux données des annuaires techniques des gestionnaires des organismes :
- nom et prénom ;
- organisme employeur ;
- fonction.
S'agissant du recours au NIR, le ministère a indiqué que le traitement de cette information se justifie au regard du besoin d'identification certaine des titulaires des CPF, estimés à plus de 41 millions de personnes, dans des conditions techniques permettant d'atteindre les performances techniques attendues pour la gestion de 21 millions de lignes pour le calcul et la mise à jour des droits.
La Commission relève que le ministère est conscient de la sensibilité de cette donnée et qu'il a apporté en contrepartie des garanties conformes « à l'état de l'art » quant à son utilisation, notamment pour garantir la sécurité et la confidentialité des échanges et de l'hébergement.
Les autres données personnelles collectées n'appellent pas d'observations particulières.
La Commission considère que le traitement de l'ensemble des données précédemment visées est adéquat, pertinent et non excessif au regard des finalités poursuivies.
La Commission souhaite toutefois rappeler que, si elle mesure pleinement les préoccupations du Gouvernement concernant les modalités d'identification des personnes et son souci de disposer d'un identifiant fiable et pérenne, elle demeure néanmoins particulièrement attentive aux risques qu'induit pour les libertés l'utilisation extensive d'un identifiant national particulièrement signifiant tel que le NIR.
Ces considérations et l'application des dispositions de la loi ont conduit la CNIL à limiter l'utilisation du NIR à la sphère de la santé et à la sphère sociale, et à recommander le recours à des identifiants spécifiques à chaque secteur d'activité.
Aussi, la Commission invite-t-elle le Gouvernement à engager une réflexion sur la création d'identifiants sectoriels spécifiques à l'instar des identifiants propres au ministère de l'Education nationale (« NUMEN » et « INE ») et à l'Administration fiscale (« SPI » et « FIP »).
En outre, elfe relève que le projet de décret soumis à son examen autorise uniquement le ministre du travail, de l'emploi, de la formation professionnelle et du dialogue social à créer un traitement dénommé « SI-CPF », ayant vocation à être mis en œuvre par la Caisse des dépôts et consignations.
Dès lors, les acteurs qui ne sont pas d'ores et déjà autorisés à créer un traitement portant notamment sur des NIR dans ce cadre, par une disposition légale prise après avis de la Commission ou par une autorisation de cette dernière, doivent, s'ils souhaitent traiter cette donnée, engager un processus de mise en conformité avec la loi du 6 janvier 1978 modifiée, au cours duquel il leur sera notamment demandé de justifier du caractère pertinent et indispensable de l'utilisation du NIR au regard du traitement envisagé.
Sur ce point, la Commission prend acte du fait que le projet de décret soumis à la Commission sera modifié afin d'autoriser les organismes visés à l'article 6 et 7 du projet à utiliser le NIR dans le cadre du traitement « SI-CPF », et aux seules fins d'identification des titulaires de CPF.
Il sera également précisé que le projet de décret constitue un acte réglementaire unique, en référence duquel des engagements de conformité devront être adressés à la Commission par les organismes gestionnaires préalablement à la mise en œuvre du traitement.
La Commission estime qu'il conviendrait que le projet de décret rappelle également l'obligation pour chacun des organismes de mettre en place des mesures adéquates afin de garantir la sécurité et la confidentialité des données collectées pour la gestion des droits dans les CPF.
Sur la durée de conservation des données :
L'article 9 du projet de décret prévoit que les données du traitement « SI-CPF » seront conservées jusqu'à l'expiration d'un délai de trois ans à compter du décès des titulaires de CPF.
Il prévoit également que ce délai, en cas de contentieux, sera prorogé jusqu'au prononcé d'une décision juridictionnelle définitive.
Les services du ministère ont justifié la conservation des données des CPF jusqu'au décès des titulaires par l'existence des règles du cumul « emploi I retraite », qui permettent à une personne de reprendre ou de continuer à exercer une activité professionnelle après avoir fait valoir ses droits à la retraite, et le fait que de nouveaux droits au titre de la formation professionnelle peuvent dès lors intervenir après l'ouverture de droits à la retraite et, par conséquent, justifier la non-suppression des données des CPF afin de pouvoir garantir le maintien des droits correspondants.
Au sujet du délai de conservation de 3 ans commençant à courir à compter des décès des titulaires des CPF, le ministère a indiqué qu'il s'agit du délai nécessaire pour que la Direction de l'animation de la recherche, des études et des statistiques (DARES) puisse exercer ses missions, qui consistent notamment à réaliser des enquêtes et études statistiques sur l'emploi, le travail et la formation professionnelle en France afin d'éclairer la conception et la mise en œuvre des politiques publiques dans ces domaines, notamment par le suivi et l'évaluation des résultats des politiques menées.
Le ministère a par ailleurs précisé que la conservation de données indirectement nominatives dans le cadre d'une finalité statistique s'explique par la nécessité de réaliser l'évaluation annuelle du CPF prévue par l'article L. 6323-9 du code du travail.
Dans la mesure où le rapport du Conseil national de l'emploi, de la formation et de l'orientation professionnelles doit porter sur la consommation des heures de CPF, mais également sur des éléments qualitatifs permettant de mesurer les éventuelles inégalités d'accès à la formation professionnelle (sexe, âge, diplômes, emplois occupés, situation géographique, etc.), il apparaît effectivement nécessaire de conserver des données à caractère personnel pour le préparer.
La Commission prend toutefois acte du fait que, dans le cadre de la sous-finalité statistique et d'évaluation du CPF, les NIR et données nominatives (noms / prénoms) ne seront pas traités, d'une part, et que le ministère a prévu que les organismes chargés de réaliser des statistiques ou d'évaluer le CPF ne pourront pas récupérer directement les données nécessaires à ces missions à partir de la base contenant l'intégralité des données du « S1-CPF », d'autre part.
Au regard de ces éléments, la Commission considère que les durées de conservation des données prévues par le projet de décret n'excèdent pas celles qui sont nécessaires à l'accomplissement des finalités poursuivies.
Elle estime néanmoins nécessaire, notamment au regard de l'article L. 6323-1 du code du travail prévoyant qu'un CPF doit être fermé lorsque son titulaire est admis à faire valoir l'ensemble de ses droits à la retraite, que les comptes des titulaires ayant atteint l'âge légal de départ à la retraite soient fermés, sans pour autant supprimer les données correspondantes, ce qui laissera la possibilité de réactiver des comptes en cas de reprise d'une activité professionnelle ouvrant droit à la formation professionnelle.
Sur les destinataires des données :
L'article 5 du projet de décret examiné par la Commission indique que les titulaires de CPF peuvent accéder directement aux données les concernant, via le portail d'accès au site Internet « www.moncompteformation.gouv.fr », ainsi que constituer et mettre à jour leurs données relatives à leurs informations personnelles, leur dossier de formation et leur passeport d'orientation, de formation et de compétences.
L'article 6 de ce texte précise ensuite la liste des personnes habilitées à accéder directement aux données du traitement « SI-CPF », à savoir :
- les personnels de la Caisse des dépôts et consignations assurant la gestion du traitement « SI-CPF » pour les données strictement nécessaires à l'exercice de leurs missions, soit pour la constitution et la mise à jour des données relatives aux comptes d'heures et de formation ;
- pour la constitution et la mise à jour des données relatives aux comptes d'heures, au projet de formation, aux sources de financement en heures et en montant de la formation :
- les agents des collectivités et organismes chargés du financement des formations et mentionnés aux 3° (organisme collecteur paritaire agréé), 4° (organisme paritaire agréé au titre du congé individuel de formation), 7° (région), 8° (Pôle emploi) et 9° (fonds de développement pour l'insertion professionnelle des handicapés) du II de l'article L. 6323-4 du code du travail ;
- les agents des organismes de conseil en évolution professionnelle mentionnés à l'article L. 6111-6 du code du travail, pour les données relatives aux compte d'heures de formation, à l'historique des formations suivies ou au contenu du passeport d'orientation, de formation et de compétences, lorsque cet organisme a été autorisé à cet effet par le titulaire du compte ;
- les agents des employeurs assurant la gestion du financement de la formation au titre du droit individuel à la formation mentionné aux articles L. 6323-1 et suivants du code du travail.
Enfin, l'article 7 du projet d'arrêté prévoit que seront destinataires des données à caractère personnel strictement nécessaires à l'exercice de leurs missions :
- les agents de la Caisse nationale d'assurance vieillesse dans le cadre de la mission de gestion du compte personnel de prévention de la pénibilité qui lui est dévolue par l'article L. 4162-11 du code du travail ;
- les agents de la Direction de l'animation de la recherche, des études et des statistiques et des organismes qu'elle mandate au moyen de conventions de recherches, pour leur exploitation à des fins statistiques destinées à évaluer les dispositifs ou à la recherche ;
- les agents de la Délégation générale à l'emploi et à la formation professionnelle notamment dans le cadre de l'évaluation prévue à l'article L. 6323-9 du code du travail.
La Commission considère que les organismes précités présentent un intérêt légitime à accéder directement ou recevoir les données prévues par le projet d'arrêté examiné par la Commission.
Sur l'information des personnes :
Les personnes concernées par le traitement « SI-CPF » seront informées, conformément à l'article 32 de la loi du 6 janvier 197 modifiée, par une mention insérée au portail d'accès au site Internet « www.moncompteformation.gouv.fr ».
La Commission considère que les mesures prévues au titre de l'information des personnes sont satisfaisantes.
Sur les droits d'accès, de rectification et d'opposition des personnes :
Le projet de décret prévoit que les droits d'accès et de rectification, prévus par les articles 39 et 40 de la loi du 6 janvier 1978 modifiée, s'exercent directement auprès du correspondant Informatique et Libertés de la Caisse des dépôts et consignations.
Il écarte expressément l'application du droit d'opposition pour motif légitime, comme le dernier alinéa de l'article 38 de la loi du 6 janvier 1978 modifiée le permet.
Ces dispositions du projet de décret relatives aux droits d'accès, de rectification et d'opposition n'appellent pas d'observation de la part de la Commission.
Sur la sécurité des données et la traçabilité des actions :
La Commission relève qu'une étude de risque a été menée conformément au référentiel général de sécurité (RGS) et qu'une procédure d'homologation est en cours.
La Commission observe que les échanges de données sont réalisés au moyen de canaux sécurisés et que l'accès à certaines données sensibles, notamment les numéros de sécurité sociale (NIR), a été sécurisé par des solutions techniques adaptées.
Toutefois, la Commission relève que le portail d'accès au site internet « www.moncompteformation.gouv.fr » est concerné par l'alerte de sécurité publiée le 15 octobre 2014 par le centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (CERT). La Commission a été informée par le ministère qu'un plan d'action était en cours afin de corriger la vulnérabilité du protocole sécurisé SSLv3 dans les meilleurs délais. A cet égard, La Commission estime indispensable que le correctif soit appliqué au traitement « SI-CPF » avant l'ouverture des accès à l'application.
La Commission note que des profils d'habilitation définissent les fonctions ou type d'informations accessibles aux utilisateurs.
Par ailleurs, l'accès au téléservice est sécurisé par la mise en œuvre d'une authentification réalisée par l'intermédiaire de mots de passe dont la complexité est conforme aux préconisations de la Commission.
La Commission relève également qu'une fonctionnalité de journalisation des opérations de création, de mise à jour et de suppression des données a été définie, et que la durée de conservation des traces est proportionnée à leur finalité de détection d'accès frauduleux.
Sous réserve de son observation relative à l'alerte émise le 15 octobre 2014 par le CERT, les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée.
La Commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.