Sur la proposition de Mme Laurence DUMONT, commissaire, et après avoir entendu M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie par le ministre du travail, de l'emploi, de la formation professionnelle et du dialogue social d'une demande d'avis sur un projet d'arrêté portant autorisation de traitements automatisés de données à caractère personnel relatifs au service dématérialisé des outils de gestion du Fonds social européen (FSE).
Chaque Etat membre établit, en partenariat avec la Commission européenne, un ou plusieurs programmes opérationnels de financement du FSE pour la période septennale de programmation.
La CNIL s'est prononcée, par délibération n° 2012-265 du 19 juillet 2012, sur le téléservice de l'administration électronique dénommé « Ma démarche FSE » mis en place sous la responsabilité de la délégation générale à l'emploi et à la formation professionnelle (DGEFP), pour le suivi de la gestion du FSE dans le cadre de la programmation 2007-2013.
Le présent projet d'arrêté vise à autoriser les modifications du traitement envisagées pour répondre aux nouvelles exigences de la réglementation européenne pour la programmation 2014-2020, qui se caractérise par la mise en œuvre d'une politique axée sur les résultats et la volonté de mesurer la performance et les progrès accomplis à l'aide de l'intervention du FSE.
A cet effet, la réglementation européenne impose un renforcement des systèmes de suivi et d'évaluation qui passe, en particulier, par l'exigence d'un suivi continu et individuel des participants au programme et par l'obligation faite aux Etats membres d'utiliser un système dématérialisé pour traiter les informations nécessaires au suivi, à l'évaluation, à la gestion financière, aux vérifications et aux audits (règlement n° 1303/2013, art. 125, paragraphe 2, point d, qui fonctionnait jusqu'alors, en France, sur la base du volontariat.
Ces nouvelles obligations réglementaires ont conduit la DGEFP à faire évoluer le système d'information « Ma démarche FSE » qui a vocation à comporter désormais des données identifiantes et de suivi relatives aux participants, bénéficiaires finaux des fonds du FSE, et à être utilisé désormais par les porteurs de projet et un certain nombre d'organismes gestionnaires (l'Etat, les « autorités de gestion déléguées » et les organismes intermédiaires).
La commission estime que les traitements mis en œuvre donnent accès à un téléservice de l'administration dans les conditions visées à l'article 27-II (4°) de la loi du 6 janvier 1978 modifiée qui soumet à autorisation par arrêté ministériel pris après avis motivé et publié de la commission, les traitements mis en œuvre par l'Etat ou des personnes morales de droit public « aux fins de mettre à la disposition des usagers de l'administration un ou plusieurs téléservices de l'administration électronique, si ces traitements portent sur des données parmi lesquelles figurent le numéro d'inscription des personnes au répertoire national d'identification ou tout autre identifiant des personnes physiques ».
La commission relève que dans l'attente de la mise en œuvre du téléservice ainsi modifié, et dans la mesure où la réglementation européenne a pris effet le 1er janvier 2014, un questionnaire « papier » a été mis à la disposition des porteurs de projets par la DGEFP, destiné à leur permettre de collecter les données relatives aux participants. Ces questionnaires sont stockés à titre temporaire sous leur responsabilité et alimenteront le système d'information quand il sera disponible.
Sur la finalité du traitement
Le téléservice « Ma démarche FSE » vise à dématérialiser le dépôt des demandes de subvention FSE, l'étude de leur recevabilité et leur instruction par les organismes gestionnaires.
Il en va de même du dépôt des bilans d'exécution sur les dépenses réalisées par les porteurs de projet, qui font l'objet de « contrôles de service fait » par le service gestionnaire pour une remontée fiabilisée des données à la Commission européenne.
Il appartient, en effet, à chaque autorité de gestion de transmettre par voie électronique à la Commission européenne un rapport annuel de mise en œuvre, des justificatifs de dépense, ainsi que des données structurées pour chaque priorité d'investissement.
Les dispositions prévues par l'article 1er du projet d'arrêté concernant les finalités précitées n'ont pas été modifiées.
L'article 1er du projet d'arrêté a toutefois été complété par les finalités suivantes :
« - accélérer le traitement du versement du Fonds social européen aux bénéficiaires ;
« - permettre un suivi détaillé et fiable de la mise en œuvre du programme, ainsi que l'évaluation de son efficacité, de son efficience et de son impact en réalisant notamment des enquêtes auprès des participants conformément aux obligations des règlements européens susvisés. »
Ces modifications visent à prendre en compte les principales évolutions de la programmation 2014-2020.
L'accélération du traitement du versement du FSE aux bénéficiaires, désormais inscrite au nombre des finalités du téléservice, traduit le but visé par la dématérialisation obligatoire des procédures.
Le suivi « détaillé et fiable » de la mise en œuvre du programme, ainsi que « l'évaluation de son efficacité, de son efficience et de son impact », visent à connaître l'impact réel des projets financées par le FSE sur la situation particulière des participants, ainsi que l'impact des programmes en termes de réduction de l'exclusion sociale et de lutte contre la pauvreté, notamment en ce qui concerne les populations défavorisées.
Pour ce faire, des données à caractère personnel relatives à chaque participant seront collectées par les porteurs de projets à l'entrée du participant dans un projet financé par le FSE et à sa sortie.
Un suivi des participants sera également effectué six mois suivant la fin de leur participation, dans le cadre d'enquêtes réalisées sous la responsabilité de la DGEFP, sur des échantillons représentatifs de participants.
La commission estime que ces finalités sont déterminées, explicites et légitimes.
Sur la nature des données traitées
L'article 2 du projet énumère les catégories de données à caractère personnel qui feront l'objet d'un traitement par l'intermédiaire du téléservice « Ma démarche FSE ».
Les données seront collectées au moyen d'indicateurs. Un ensemble commun d'indicateurs, énumérés en annexe du règlement n° 1304/2013, a été défini pour permettre de produire des statistiques fiables et robustes qui puissent aisément être agrégées au niveau français et européen. D'autres indicateurs spécifiques aux programmes ont également été définis dans le cadre du pilotage du projet par la DGEFP.
La commission a bien pris acte que les données énumérées par le projet d'arrêté constituent une liste fermée (sous la forme « oui/non »), et non des catégories de données susceptibles de donner lieu à la collecte de données plus détaillées.
Les données à caractère personnel qui font l'objet d'un traitement dans le téléservice concernent les participants et les porteurs de projet.
S'agissant des porteurs de projet, la commission relève que la liste des données mentionnées à l'article 2-II n'a pas été modifiée.
Elle rappelle, toutefois, que seules les données strictement nécessaires à l'attestation des compétences du personnel affecté aux projets financés par la Commission européenne, ainsi que des dépenses engagées pour les rémunérer, devront être collectées. Elle rappelle également l'obligation d'en informer les intéressés dans les conditions prévues à l'article 32 de la loi du 6 janvier 1978 modifiée.
S'agissant des participants, l'article 2-I du projet prévoit le traitement des données relatives à :
- l'identification des personnes physiques (nom, prénom, date et commune de naissance, comprenant, le cas échéant, l'indication de la naissance à l'étranger renseignée par le code 99999, sexe) ;
- leurs coordonnées (adresse, téléphone, adresse électronique) ;
- leur vie professionnelle (statut sur le marché du travail [emploi ou formation], niveau de diplôme) ;
- leur situation familiale (vie en ménage ou monoparentale, enfants à charge) ; leur handicap ;
- leurs difficultés sociales (indication du bénéfice de minima sociaux ; indication de difficultés de logement) ;
- l'indication d'un parent né à l'étranger ;
- des données individuelles relatives aux participants (liste de participants, diplômes, CV, contrats de formation, attestations de formation, rémunérations de participants, feuilles de présence, justificatifs d'absences, éléments de rattachement du public à l'opération, justificatifs permettant d'identifier le type de sortie).
Sur la pertinence des données relatives à l'identité et aux coordonnées des personnes
La DGEFP a indiqué que les données relatives à l'identité et aux coordonnées des personnes seront strictement nécessaires :
- au suivi des participants par les porteurs de projets, auxquels il appartient de les interroger sur leur situation à l'issue des opérations dont ils ont bénéficié ;
- au contrôle des opérations dont les gestionnaires intermédiaires ont la responsabilité (contrôle de l'éligibilité au bénéfice d'une action, des résultats des actions) ;
- au suivi de cohorte auprès d'échantillons de personnes qu'il appartiendra à la DGEFP d'effectuer.
Ces données seront également susceptibles d'être utilisées à des fins de contrôle dans le cadre des audits menés par la Commission européenne et la commission interministérielle de coordination des contrôles (CICC).
La commission prend acte que le NIR n'est pas saisi en tant que tel dans le téléservice « Ma démarche FSE » et ne peut être utilisé comme un critère de requête ou transmis à des organismes tiers, ni exploité, ni utilisé à titre d'identifiant.
S'agissant de l'adresse postale, le ministère a indiqué que cette donnée est nécessaire au suivi des participants par les porteurs de projet qui doivent être en mesure de les contacter par tous moyens. Elle est également nécessaire à la preuve de l'éligibilité des personnes au bénéfice de certains dispositifs, subordonnée à leur appartenance géographique à un quartier prioritaire (au regard de la politique de la ville) ou à une région, Cette éligibilité sera vérifiée automatiquement par le système d'information à l'aide de référentiels intégrés, afin de limiter les risques d'erreur. La commission en prend acte.
Sur la pertinence des autres données relatives aux caractéristiques des participants
La commission relève qu'aux termes de l'article 3 du règlement n° 1304/2013 relatif au FSE, celui-ci « intervient en faveur des personnes, notamment les personnes défavorisées telles que les chômeurs de longue durée, les personnes handicapées,les migrants, les minorités ethniques, les communautés marginalisées et les personnes de toutes les catégories d'âge victimes de la pauvreté et de l'exclusion sociale », notamment les Roms (considérant n° 16).
Afin de pouvoir s'assurer d'une utilisation des fonds au bénéfice de ces populations jugées prioritaires, ledit règlement préconise, au nombre des indicateurs communs relatifs aux investissements du FSE, la collecte de données relatives, notamment, aux participants « migrants, participants d'origine étrangère, minorités (y compris les communautés marginalisées telles que les Roms) ».
La commission relève que cet indicateur sera renseigné par la mention de la commune de naissance, renseignée par le code 99999 en cas de naissance à l'étranger, et la réponse à la question fermée concernant l'« indication d'un parent né à l'étranger », la première, selon le ministère, permettant de caractériser les participants migrants, la seconde, les participants d'origine étrangère.
La DGEFP a indiqué avoir adopté la définition de l'ONU relative aux migrants, a précisé qu'il n'existait pas de définition statistique des personnes d'origine étrangère et a déclaré accepter le risque statistique qui s'attache aux critères retenus. Elle a également indiqué avoir choisi de ne pas collecter d'information sur les minorités, faute de définition nationale de cette notion et leur collecte ayant été jugée contraire au droit français.
Interrogée sur la manière dont les autres pays de l'UE ont caractérisé ces mêmes populations s'agissant de données qui ont vocation à être agrégées au niveau européen, la DGEPF a indiqué ne pas en être informée.
Elle a également précisé qu'elle a choisi de renseigner l'indicateur commun « autres personnes défavorisées » prévu par le règlement précité pour viser des participants tels que les anciens détenus, les personnes qui usent de drogues ou d'alcool, les personnes en situation de très grande pauvreté, à l'aide de critères objectifs tirés du bénéfice de minima sociaux et de difficultés de logement, qu'elle a jugés pertinents.
La commission prend acte de ce que les participants seront libres de ne pas répondre aux deux questions « Etes-vous sans domicile fixe ou confronté à l'exclusion de votre logement ? » et « Un de vos deux parents est-il né à l'étranger ? » en cochant la case « Ne souhaite pas répondre/ne sait pas ».
La commission prend acte de ce que, par ce dispositif, l'administration veille à ne pas procéder à la collecte de données sensibles au sens de l'article 8 de la loi du 6 janvier 1978 modifiée, relatives notamment aux origines raciales ou ethniques des participants, tout en définissant des critères qui puissent permettre de répondre à ceux définis par les autorités communautaires.
Elle prend acte qu'une note conjointe de l'Association des régions de France (ARF) et de la DGEFP est en cours d'élaboration destinée à informer la Commission européenne de l'interprétation faite par les autorités de gestion françaises des indicateurs précités.
Sur la pertinence de l'enregistrement de pièces justificatives dans le système d'information
La DGEFP a indiqué que les informations relatives aux caractéristiques des participants seront renseignées par les porteurs de projet sur une base déclarative et ne donneront pas lieu à l'enregistrement dans le téléservice de documents justificatifs. La commission en prend acte.
En revanche, elle a indiqué que l'enregistrement des pièces nécessaires à l'appréciation de l'éligibilité des participants aux projets était inhérent à la dématérialisation des procédures et que, dans le cadre de certains projets financés par le FSE, la Commission européenne exigeait désormais les pièces justificatives des résultats des actions menées.
La commission demande que le traitement de pièces justificatives soit strictement limité au contrôle de l'éligibilité des participants aux projets, ainsi que des résultats des actions menées sur leur situation, dans la stricte mesure où ces pièces sont exigées par la Commission européenne. Elle prend acte des engagements du ministère de modifier le projet d'arrêté en ce sens.
Elle prend acte, enfin, que les questionnaires papier adressés par la DGEFP et renseignés par les porteurs de projet en l'attente de l'ouverture du téléservice sont en tous points conformes aux dispositions du projet d'arrêté et demande que ces documents papier soient supprimés une fois les données saisies dans « Ma démarche FSE ».
Sur la durée de conservation des données
L'article 5 du projet d'arrêté prévoit que « Les informations mentionnées à l'article 2 du présent arrêté sont conservées pendant une durée de dix-neuf ans à compter du 1er janvier 2014. Cette durée est prorogée, le cas échéant, par la suspension d'un délai consécutif à une procédure judiciaire ou à une demande motivée de la Commission. »
Comme pour la programmation 2007-2013, le programme national FSE de la politique de cohésion de l'Union européenne est prévu pour sept ans. Sa clôture intervient au mieux deux ans après la fin de la période de programmation. En outre, la Commission européenne est en mesure de réaliser des contrôles relatifs à l'utilisation des fonds alloués pendant dix ans à compter de la clôture du programme.
Les données à caractère personnel sont ainsi conservées au maximum pendant dix-neuf ans, à compter du début du programme.
La commission estime que la durée de conservation retenue n'excède pas celle qui est nécessaire à l'accomplissement des finalités poursuivies.
Elle demande que les caractéristiques identifiantes relatives aux personnes concernées, traitées pour répondre à des fins légales, soient conservées le temps et dans la mesure strictement nécessaires à ces fins, dans des conditions physiques et logiques de nature à garantir leur confidentialité, puis supprimées.
Toutefois, interrogée sur le sort des données une fois la durée de conservation échue, la DGEFP a indiqué que les données seraient anonymisées. La commission prend acte des engagements du ministère de modifier le projet de décret sur ce point.
Elle relève que la DGEFP envisage, à terme, la mise à disposition de données préalablement anonymisées.
La commission rappelle, à cet égard, que l'anonymisation des données ainsi mises à disposition devra être effective. Il conviendra donc de démontrer la conformité de la solution et des techniques d'anonymisation mises en œuvre, aux trois critères définis par l'avis du G 29 n° 05/2014, et de la transmettre à la commission.
Si l'un des trois critères n'était pas respecté, il sera alors nécessaire de transmettre une étude des risques de réidentification montrant que les éventuels risques résiduels sont suffisamment faibles pour ne pas porter atteinte à la vie privée des personnes concernées.
La démonstration de conformité ou l'étude des risques de réidentification, et le cas échéant la solution, nécessiteront d'être revues régulièrement pour tenir compte des évolutions des techniques d'anonymisation et de réidentification.
Sur les destinataires des données
L'article 4 du projet prévoit que « les données mentionnées à l'article 2 sont accessibles aux agents des organismes chargés de la gestion du fonds social européen et services nationaux et européens chargés du contrôle de la bonne utilisation du Fonds social européen, à raison de leurs attributions respectives et du besoin d'en connaître ».
Les données à caractère personnel traitées seront accessibles au personnel habilité des gestionnaires du Fonds social européen (autorités de gestion, autorités de gestion déléguées et organismes intermédiaires), d'une part, et des autorités et services chargés de contrôler la bonne utilisation du Fonds social au niveau national et au niveau communautaire, d'autre part.
La commission relève que ces droits seront limités aux données personnelles strictement nécessaires à leur intervention, dans la limite de leurs attributions et de leur champ géographique d'intervention et qu'une gestion rigoureuse des habilitations d'accès aux données (en lecture et en écriture) a été mise en place en fonction des attributions des utilisateurs du système.
Elle relève que la Commission européenne sera exclusivement destinataire de données agrégées concernant les opérations cofinancées par le FSE, sauf pour ce qui concerne les opérations d'audit.
La commission considère que ces destinataires ont un intérêt légitime à accéder aux données du téléservice dénommé « Ma démarche FSE ».
Elle rappelle qu'en tout état de cause l'accès aux données doit s'effectuer dans des conditions conformes à la loi du 6 janvier 1978 modifiée et à la doctrine de la commission.
Sur l'information des personnes
Les personnes physiques concernées seront informées, conformément à l'article 32 de la loi du 6 janvier 1978 modifiée, par voie orale par les porteurs de projet ainsi que par le biais d'une mention sur le site internet du téléservice.
La commission estime que seule une information claire, complète et explicite est de nature à permettre aux participants d'exercer pleinement leurs droits. Elle estime que pour être satisfaisante, l'information orale effectuée auprès d'eux par les personnels habilités des porteurs de projet doit s'accompagner de la remise d'une notice d'information conforme aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée.
Cette notice devra être fournie selon des modalités adaptées à leur état et devra, en particulier, comporter des informations relatives aux modalités de mise en œuvre du suivi, assorties de la possibilité de s'opposer aux enquêtes réalisées par la DGEFP sur les échantillons représentatifs de participants.
Les informations mentionnées à l'article 32 devront également figurer sur les questionnaires remplis par les porteurs de projet, ainsi que sur les formulaires que les participants devront remplir pour participer à une action de formation.
Les participants devront, notamment, être informés de la possibilité de ne pas répondre aux questions dont la collecte n'obéit pas à une obligation légale à laquelle le responsable de traitement est soumis.
La commission estime également qu'il importe de sensibiliser les porteurs de projet sur ces points et prend acte des engagements du ministère en ce sens.
Elle rappelle, en outre, que les personnels des porteurs de projet doivent être dûment informés du traitement des données qui les concernent dans le cadre du système d'information « Ma démarche FSE », conformément aux dispositions de l'article 32 précité.
Sur les droits d'accès, de rectification et d'opposition des personnes
Les droits d'accès et de rectification s'exercent auprès de la DGEFP en adressant à celle-ci un courrier postal accompagné de la copie d'un justificatif d'identité.
La commission demande que les modalités de mise en œuvre de l'ensemble des droits reconnus aux personnes par la loi du 6 janvier 1978 modifiée soient clairement précisées dans la notice d'information précitée et prend acte qu'une procédure de vérification d'identité du demandeur est mise en place.
Dans ces conditions, la commission considère que les droits d'accès, de rectification et d'opposition sont mis en œuvre conformément aux dispositions de la loi du 6 janvier 1978 modifiée.
Sur la sécurité des données et la traçabilité des actions
La commission estime que, compte tenu de l'enjeu du système d'information retenu en termes de protection des données, du fait en particulier de sa portée nationale et du caractère stigmatisant des données qui concernent des populations vulnérables, une attention toute particulière doit être portée à la confidentialité et à la sécurité des données.
Elle rappelle que le responsable du traitement doit prendre toutes précautions techniques et organisationnelles utiles pour préserver la sécurité des données et, notamment, empêcher qu'elles ne soient déformées ou endommagées ou que des tiers non autorisés y aient accès.
Elle rappelle également que le téléservice « Ma démarche FSE » doit se conformer au Référentiel général de sécurité (RGS) et que l'homologation du téléservice au RGS doit être prononcée par l'autorité administrative, d'une part, et que cette décision doit être accessible à partir de la page de connexion au téléservice, d'autre part.
A cet égard, la commission prend acte des démarches de conformité au RGS mises en place par le responsable du traitement et de ce qu'un audit régulier du téléservice « Ma démarche FSE » sera réalisé et qu'une mise à jour de l'étude RGS sera réalisée annuellement.
Concernant la transmission de données à caractère personnel par internet, la commission relève que les données transmises seront chiffrées au moyen du protocole « https ». La commission rappelle que cette mesure doit être revue régulièrement afin de rester à l'état de l'art.
Concernant les modalités d'authentification des utilisateurs, la commission relève que ses recommandations ont été mises en œuvre par le ministère, notamment pour la gestion des habilitations et l'accès aux seules données nécessaires.
Concernant les supports de stockage usagés, la commission prend acte que ces derniers seront détruits par des prestataires spécialisés.
Concernant les mesures de traçabilité, un journal des connexions à l'application permettra de détecter d'éventuelles tentatives d'intrusions et de tracer l'ensemble des opérations de création ou de modification de données. Ces journaux seront conservés pendant six mois, conformément aux recommandations de la commission.
Les mesures de sécurité qui concernent le téléservice « Ma démarche FSE » n'appellent pas d'observation de la part de la commission.
La commission relève, en revanche, qu'elle dispose de peu d'informations sur les conditions de sécurité mises en œuvre au niveau local par les porteurs de projet auxquels le RGS n'est pas applicable.
Elle prend acte, toutefois, que les porteurs de projet pourront accéder à des données agrégées relatives à leurs participants à des fins de pilotage, mais ne seront pas en mesure d'extraire des données individuelles à partir du téléservice « Ma démarche FSE ».
La commission estime qu'il importe de sensibiliser les porteurs de projet à la nécessaire confidentialité qui s'attache aux données collectées dans le cadre de la gestion du FSE. Elle prend acte, à cet égard, de l'engagement du ministère que la politique de sécurité en cours d'élaboration à destination des gestionnaires sera étendue aux porteurs de projet. Cette politique de sécurité comportera notamment des recommandations de bonnes pratiques en matière de gestion des données, que celles-ci soient collectées sur support papier en l'attente de l'ouverture du portail, ou sur support électronique.
La commission estime, à cet égard, que les porteurs de projet qui n'ont pas à collecter les informations nécessaires à la gestion du FSE dans le cadre de leurs missions actuelles devront être soumis à l'obligation d'utiliser le portail pour collecter les données et, en cas d'impossibilité, devront supprimer les données qu'ils détiennent dès qu'elles auront été enregistrées dans le portail « Ma démarche FSE ».
Dans ces conditions, les mesures de sécurité mises en place sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée.
La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.
Sur la responsabilité des traitements et les formalités à accomplir
La commission rappelle qu'en sa qualité d'autorité de gestion la DGEFP est responsable des traitements réalisés dans le cadre du suivi des participants.
Elle est ainsi responsable du respect des règles de protection des données par les services chargés de la mise en œuvre (comprenant ses propres agents, les autorités de gestion déléguées, les organismes intermédiaires, les sous-traitants tels les consultants externes en charge des enquêtes d'insertion à six mois), ainsi que les porteurs de projet qui collectent les données exclusivement à l'aide du téléservice « Ma démarche FSE ».
La commission observe, à cet égard, que les conseils régionaux, également autorités de gestion pour leur propre compte, seront soumis aux même obligations, notamment déclaratives auprès de la CNIL.
Les porteurs de projet ne sont pas responsables du traitement des informations qu'ils saisissent uniquement dans l'application de gestion mise à leur disposition par l'autorité de gestion, mais doivent informer les intéressés, pour le compte de cette dernière, dans les conditions prévues à l'article 32 de la loi du 6 janvier 1978 modifiée.
Toutefois, s'ils transfèrent à l'autorité de gestion compétente des informations qu'ils avaient déjà en base pour un traitement relevant de leur responsabilité, ils seront soumis à l'obligation d'effectuer une déclaration modificative, portant sur l'existence d'un nouveau destinataire des données, et devront en informer les intéressés.