La Commission nationale de l'informatique et des libertés,
Saisie par le ministre du travail, de l'emploi et du dialogue social d'une demande d'avis concernant un projet de décret autorisant la mise en œuvre du traitement automatisé de données à caractère personnel dénommé « I-MILO » ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le règlement (CE) n° 1828/2006 de la Commission du 8 décembre 2006 établissant les modalités d'exécution du règlement (CE) n° 1083/2006 du Conseil du 11 juillet 2006 portant dispositions générales sur le Fonds européen de développement régional, le Fonds social européen et le Fonds de cohésion ;
Vu le règlement (UE) n° 1303/2013 du Parlement européen et du Conseil du 17 décembre 2013 portant dispositions communes relatives au Fonds européen de développement régional, au Fonds social européen, au Fonds de cohésion, au Fonds européen agricole pour le développement rural et au Fonds européen pour les affaires maritimes et la pêche, portant dispositions générales applicables au Fonds européen de développement régional, au Fonds social européen, au Fonds de cohésion et au Fonds européen pour les affaires maritimes et la pêche, et abrogeant le règlement (CE) n° 1083/2006 du Conseil ;
Vu le règlement (UE) n° 1304/2013 du Parlement européen et du Conseil du 17 décembre 2013 relatif au Fonds social européen et abrogeant le règlement (CE) n° 1081/2006 du Conseil ;
Vu le code du travail, notamment ses articles L. 5131-4 et suivants, L. 5134-110 et suivants, L. 5311-1 et suivants, L. 5314-1 et suivants ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-1 (1°) ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2007-1303 du 3 septembre 2007 modifié fixant les règles nationales d'éligibilité des dépenses des programmes cofinancés par les fonds structurels pour la période 2007-2013 ;
Vu le décret n° 2014-580 du 3 juin 2014 relatif à la gestion de tout ou partie des fonds européens pour la période 2014-2020 ;
Après avoir entendu -Mme Laurence DUMONT, commissaire, en son rapport et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
Le ministre du travail, de l'emploi, de la formation professionnelle et du dialogue social a saisi la Commission nationale de l'informatique et des libertés d'une demande d'avis, préalablement à la mise en œuvre d'un traitement de données à caractère personnel dénommé « I-MILO ».
Le traitement « I-MILO » est un système d'information national unique destiné au suivi des jeunes de 16 à 25 ans, par les missions locales pour l'insertion professionnelle et sociale des jeunes.
Ce traitement constitue la nouvelle version du système d'information, dénommé « Parcours », utilisé par les missions locales et les permanences d'accueil, d'information, et d'orientation (PAIO) depuis plusieurs années.
Le traitement « Parcours 1 » mis en œuvre en 1990, et dont la finalité était le suivi des jeunes en crédit-formation individualisé, a connu des évolutions jusqu'en 2012.
La version actuelle « Parcours 3 » est devenue obsolète.
Outre des améliorations techniques nécessaires notamment dans le cadre de la dématérialisation de contrats aidés, l'une des nouveautés du traitement « I-MILO » réside dans l'utilisation du numéro d'inscription des personnes au répertoire national d'identification (NIR) qui sera collecté et traité dans l'outil à des fins d'identification des jeunes.
Le développement et l'exploitation d'« I-MILO » sont confiés à un opérateur privé dans le cadre d'une convention de délégation de service public.
La gestion de la relation avec les jeunes demeure du seul ressort des missions locales, dans la mesure où le traitement projeté comporte le NIR, sa mise en œuvre doit être autorisée par décret, pris après avis motivé et publié de la Commission, en application des dispositions de l'article 27-I (1°) de la loi du 6 janvier 1978 modifiée.
Sur le responsable de traitement et les chargés de mise en œuvre :
L'article 1er du projet de décret (ci-après « le projet ») autorise le ministre chargé de l'emploi, en sa qualité de responsable de la mise en œuvre du service public de l'emploi, à créer un traitement automatisé de données à caractère personnel ayant pour finalité de permettre aux missions locales pour l'insertion professionnelle et sociale des jeunes d'exécuter les missions qui leur incombent.
Il est précisé que les missions locales sont chargées de la mise en œuvre du traitement, confiée jusqu'à présent à la délégation générale à l'emploi et à la formation professionnelle (DGEFP).
La commission relève que les PAIO sont également utilisatrices de « I-MILO » et estime qu'elles devraient être mentionnées dans le projet au même titre que les missions locales.
La commission rappelle qu'il appartient au ministère de garantir que les conventions et partenariats conclus au niveau local par les missions locales sont conformes au projet et de ce fait, aux dispositions de la loi informatique et libertés du 6 janvier 1978 modifiée.
Sur la finalité :
Aux termes de l'article 2 du projet soumis à l'examen de la commission, le traitement « I-MILO » est créé pour permettre aux missions locales de « mettre en œuvre une politique locale concertée d'insertion, ainsi que les actions d'insertion, de concertation et d'évaluation, conformément aux missions qui leur sont dévolues par les dispositions des articles L. 5314-2 du code du travail ».
Les missions locales doivent veiller à la continuité de la prise en charge des jeunes tout au long de leurs parcours, notamment en s'appuyant sur un suivi efficace. Le traitement « I-MILO » a donc pour finalités l'amélioration de l'orientation et de la prise en charge des jeunes et la construction des parcours d'insertion adaptés pour les conduire vers l'autonomie, en tenant compte de leurs besoins.
Le traitement « I-MILO » répond également à des besoins de gestion interne et de pilotage des activités des structures mais aussi de production de statistiques diffusables à des tiers comme les services de l'Etat, tel qu'indiqué à l'article 5 du projet.
Il résulte des échanges avec le Gouvernement que le traitement n'a pas pour finalité la lutte contre la fraude, mais qu'il permet d'apporter la garantie d'absence de doublons.
La commission relève que les finalités du traitement « I-MILO » sont identiques à celles de « Parcours 3 », et considère qu'elles sont déterminées, explicites et légitimes.
Enfin, la commission prend acte que le traitement « I-MILO » permet la création de modules spécifiques pour répondre à d'éventuels besoins complémentaires de l'administration ou de missions locales.
Elle rappelle que si la mise en œuvre de ces modules apportait une modification au traitement I-MILO qui sort du cadre commun fixé par le projet, le ministère devrait modifier le décret en ce sens.
Si la mise en œuvre de tels modules conduit à créer un nouveau traitement au bénéfice exclusif d'une ou plusieurs missions locales, il appartiendra auxdites missions locales de s'acquitter auprès de la CNIL des formalités préalables.
La commission rappelle qu'en sa qualité de responsable du traitement le ministère est garant du respect de loi du 6 janvier 1978 modifiée, dans le cadre de sa mise en œuvre au sein des missions locales.
Sur les données traitées :
L'article 3 du projet encadre les catégories d'informations enregistrées dans le traitement « I-MILO ».
Les données collectées et traitées dans le cadre du traitement « I-MILO » sont annexées au projet soumis à la commission. Ces données correspondent à huit catégories et portent sur :
1. Des données relatives à l'identification du jeune : civilité, nom de naissance, usuel, marital, patronymique, prénoms ; date et lieu et naissance, code INSEE des communes et pays de naissance, le cas échéant l'indication de la naissance à l'étranger, indication d'un parent né à l'étranger, sexe ; numéro d'inscription au répertoire national d'identification des personnes physiques (NIR), adresses personnelles en France et à l'étranger, nationalités, date de péremption du titre de séjour, téléphone/fax et adresse électronique, adresses professionnelles, matricule attribué par le traitement, numéro de pièce d'identité du jeune et type de pièce.
2. Des données relatives à la situation familiale : situation matrimoniale et du ménage (vie en ménage ou famille monoparentale, nombre d'enfants ou de personnes à charge), coordonnées des représentants légaux si le jeune suivi est mineur.
3. Des données relatives à la vie professionnelle : formations, diplômes, qualifications, statut sur le marché du travail (emploi ou formation), niveau de formation, scolarité, dernier système de formation initiale, dernière académie ou région d'origine, permis de conduire, langues pratiquées, numéro d'enregistrement interne de l'élève dans le système interministériel d'échanges d'information, qualifications détenues et exercées, expériences antérieures.
4. Des données relatives à la situation du jeune suivi au regard de l'emploi : durée sans emploi, inscription à Pôle emploi, identifiant demandeur d'emploi (IDE), durée d'inscription à Pôle emploi, informations relatives à l'employeur, informations relatives à l'organisme de formation, informations relatives aux dispositifs légaux d'insertion sociale.
5. Des données relatives à la situation au regard de l'aide sociale : indication du statut de bénéficiaire des minima sociaux, inscription et durée des aides, numéros d'allocataire, statut de travailleur handicapé.
6. Des données relatives aux difficultés sociales des personnes : indication de difficultés de logement.
7. Des données relatives au suivi du jeune par la mission locale à savoir : date, type et modalités d'entretien, agent ayant réalisé l'entretien, référent du jeune ; données relatives à son parcours : thème et code de l'action, libellé de l'action, date de création, de réalisation et état de l'action, montant de l'allocation, montant des allocations versées, date et motif de fin de parcours, informations sur les offres d'emploi, informations relatives aux employeurs, informations relatives aux organismes partenaires, informations sur le parcours d'insertion ; à sa formation : formacode (code de référence pour tous les acteurs de la formation professionnelle), intitulé de la formation, ROME de l'emploi recherché, code qualification de l'emploi recherché, spécificités du ROME, date de fin de parcours, appellation, niveau de validation de l'emploi recherché, niveau de qualification de l'emploi recherché.
8. Des données relatives aux personnels de la mission locale, à savoir : civilité, nom de naissance, usuel, marital, patronymique, prénoms, date de naissance, numéro de téléphone professionnel principal, numéro de fax, courriel professionnelle principale, nom et adresse de la mission locale, courriel de la mission locale, téléphone de la mission locale, fonctions.
La commission relève que l'information relative à la naissance d'un parent à l'étranger répond aux obligations prévues par le règlement n° 1304/2013 du Parlement européen et du Conseil, qui imposent aux Etats-membres un suivi individuel et continu des participants, et des indicateurs communs relatifs à certaines populations. La réponse à cette question est facultative.
Elle constate que, à l'exception du NIR, les données sont identiques à celles traitées dans « Parcours 3 ».
S'agissant du recours au NIR, le ministère a prévu d'utiliser cette donnée, d'une part, pour permettre aux missions locales de gérer la mise en œuvre de dispositifs dont elle a la charge et, d'autre part, pour identifier de manière certaine les jeunes pris en charge.
La commission prend acte que cette donnée est collectée directement auprès du jeune, au moment de la proposition de prescription du contrat aidé et de la constitution du dossier dématérialisé.
Elle note que les missions locales disposent déjà de cette information alors même qu'elles ne sont pas autorisées à la traiter.
En effet, lors de l'habilitation de contrats aidés, les missions locales doivent indiquer le NIR dans les formulaires afin de pouvoir déclencher le paiement des aides allouées par l'agence de services et de paiement.
Par ailleurs, l'utilisation du NIR est souhaitée par le ministre afin de limiter les risques d'erreur de saisie, d'homonymie, de patronymie, de cas de doublons lors du premier contact avec le jeune, en cas de changement de mission locale ou de fusion de deux ou plusieurs missions locales, notamment au vu du grand nombre de jeunes suivis (1,4 million de jeunes sont suivis chaque année).
La commission rappelle que, si elle mesure pleinement les préoccupations du Gouvernement concernant les modalités d'identification des personnes et son souci de disposer d'un identifiant fiable et pérenne, elle demeure néanmoins particulièrement attentive aux risques qu'induit pour les libertés l'utilisation extensive d'un identifiant national particulièrement signifiant tel que le NIR.
La CNIL reste vigilante sur la limitation de l'utilisation du NIR à la sphère de la santé et à la sphère sociale et recommande le recours à des identifiants spécifiques à chaque secteur d'activité.
Aussi, la commission invite-t-elle le Gouvernement à engager une réflexion sur la création d'identifiants sectoriels spécifiques.
Par ailleurs, elle relève que le projet soumis à son examen autorise uniquement le ministre du travail, de l'emploi, de la formation professionnelle et du dialogue social à créer le traitement « I-MILO », mis en œuvre par les missions locales, et souligne qu'il n'emporte pas autorisation de traitement du NIR pour les autres acteurs concernés par l'insertion professionnelle des jeunes.
Dès lors, les acteurs qui ne sont pas d'ores et déjà autorisés à traiter le NIR par une disposition légale ou par une autorisation de la CNIL, s'ils souhaitent traiter cette donnée, devront engager un processus de mise en conformité avec la loi au cours duquel il leur sera demandé de justifier du caractère pertinent et indispensable de cette donnée au regard du traitement envisagé.
L'article 6 du projet prévoit que le traitement « I-MILO » vise à être mis en relation avec des traitements automatisés des collectivités et organismes qui concourent à l'insertion professionnelle du jeune.
Ces mises en relation sont subordonnées à l'information préalable de la commission, en application du II de l'article 30 de la loi du 6 janvier 1978 modifiée, et, si nécessaire, à la modification des formalités effectuées auprès de la commission préalablement à la mise en œuvre de ces traitements, comme le prévoit l'article 12 du projet.
Enfin, la commission relève que les articles 6 et 12 du projet ne mentionnent pas les collectivités territoriales qui sont destinataires des données et dont les traitements peuvent être mis en relation avec I-MILO dans le cadre du suivi des jeunes dans leur parcours d'insertion professionnelle.
La commission prend acte que le ministère s'est engagé à modifier ces articles en ce sens.
Les autres données personnelles collectées n'appellent pas d'observations particulières.
La commission considère que le traitement de l'ensemble des données précédemment visées est adéquat, pertinent et non excessif au regard des finalités poursuivies.
Sur la durée de conservation des données :
L'article 7 du projet prévoit que les informations enregistrées dans le traitement concernant le jeune sont accessibles jusqu'à la date de son vingt-sixième anniversaire, à l'exception de celles concernant tes jeunes inscrits dans un programme en cours à cette date et bénéficiant d'un suivi régulier dans ce cadre. Dans ce cas, ces données et informations sont accessibles jusqu'à la fin du programme ou de la mesure.
Elles sont ensuite directement anonymisées à l'exception des données collectées dans le cadre des programmes et mesures cofinancés par le Fonds social européen (FSE) qui font l'objet d'une conservation intermédiaire pendant une durée de dix-neuf ans pour les seuls besoins du contrôle et des audits prévus dans le cadre des programmes FSE. Ces données sont ensuite anonymisées à l'issue de ce délai.
En effet, le programme national FSE de la politique de cohésion de l'Union européenne est prévu pour sept ans. Sa clôture intervient au mieux deux ans après la fin de la période de programmation. En outre, la Commission européenne est en mesure de réaliser des contrôles relatifs à l'utilisation des fonds alloués pendant dix ans à compter de la clôture du programme.
Cette durée est prorogée par la suspension d'un délai consécutive à une procédure judiciaire ou, dans le cas d'un co-financement par le Fonds social européen, à une demande motivée de la Commission européenne.
Au regard de ces éléments, la commission considère que ces durées de conservation des données n'excèdent pas celles qui sont nécessaires à l'accomplissement des finalités poursuivies.
Sur les destinataires :
L'article 5-I du projet mentionne les destinataires des données personnelles et l'article 5-II liste les destinataires des données anonymisées.
Les accès aux données sont conditionnés par l'habilitation des agents, qui ont accès uniquement aux données nécessaires à leur mission, dans le cadre de leur fonction.
La commission relève que chaque mission locale accède exclusivement à ses données dont elle garde l'entier contrôle, même dans une configuration d'hébergement mutualisé_
Elle estime que, pour des raisons de protection et de confidentialité des données, le transfert d'un dossier d'une structure à une autre doit avoir été autorisé par le ministère, étant précisé que ce dernier n'accède pas au contenu des dossiers.
La commission constate également que le traitement « I-MILO » permet la transmission aux destinataires chargés du contrôle de la gestion des fonds du FSE, en application des nouveaux règlements UE n° 1303/2013 et n° 2014-2013 du Parlement qui imposent un renforcement des systèmes de suivi et d'évaluation.
Elle prend acte que la DARES figure au nombre des destinataires des données nominatives nécessaires à des études longitudinales ponctuelles et des données non-nominatives dans le cadre de sa mission d'évaluation et d'élaboration de statistiques.
La commission rappelle que ces destinataires ne doivent recevoir que les seules informations strictement nécessaires à l'exercice de leurs missions.
Sur l'information des personnes :
Les personnes concernées par le traitement « I-MILO » seront informées, conformément à l'article 32 de la loi du 6 janvier 1978 modifiée, par une mention figurant dans le formulaire de premier accueil et par voie d'affichage dans les locaux des missions locales.
La commission considère que les mesures prévues au titre de l'information des personnes sont satisfaisantes.
Sur les droits d'accès, de rectification et d'opposition des personnes :
Le projet prévoit que les droits d'accès et de rectification, prévus par les articles 39 et 40 de la loi du 6 janvier 1978 modifiée, s'exercent directement auprès du directeur de la mission locale dont relève l'intéressé.
Il écarte expressément l'application du droit d'opposition pour motif légitime, comme le dernier alinéa de l'article 38 de la loi du 6 janvier 1978 modifiée le permet.
Ces dispositions du projet relatives aux droits d'accès, de rectification et d'opposition n'appellent pas d'observation de la part de la commission.
Sur la sécurité du traitement :
La commission relève qu'une procédure d'homologation au référentiel général de sécurité (RGS) est prévue et qu'elle visera à garantir la sécurité des échanges entre les administrations concernées.
Elle relève également qu'« I-MILO » est concerné par l'alerte de sécurité publiée le 15 octobre 2014 par le Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (CERT). La commission a été informée par le ministère qu'un plan d'action était en cours afin de corriger la vulnérabilité du protocole sécurisé SSLv3 dans les meilleurs délais. A cet égard, la commission estime indispensable que le correctif soit appliqué au traitement « I-MILO » avant l'ouverture des accès à l'application.
Des profils d'habilitation définissant les fonctions ou les types d'informations accessibles à un utilisateur ont été définis et l'accès au traitement « I-MILO » est sécurisé par la mise en œuvre d'une authentification par identifiant et mot de passe conforme aux préconisations de la commission.
Les échanges de données sont réalisés au moyen de canaux sécurisés et, notamment, les données transmises sont chiffrées.
Par ailleurs, toutes les opérations de consultation, création, mise à jour, suppression sont tracées et conservées pendant sept mois.
La commission rappelle que des garanties doivent être prises pour assurer la sécurité des données et en particulier de l'utilisation du NIR.
Sous réserve de son observation relative à l'alerte émise le 15 octobre 2014 par le CERT, les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée. La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.