Après avoir entendu M. Alexandre LINDEN, commissaire, en son rapport et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La direction de l'animation de la recherche, des études et des statistiques (DARES) du ministère du travail a saisi la Commission nationale de l'informatique et des libertés (CNIL) d'un projet de décret en Conseil d'Etat (ci-après « le projet ») relatif à la mise en œuvre d'un traitement automatisé de données à caractère personnel relatif à un dispositif d'enquêtes portant sur les risques psychosociaux au travail, dénommé « Risques psychosociaux 2016 » ou « RPS 2016 ».
Le projet soumis à la commission pour avis est pris en application de l'article 27-I (1°) de la loi du 6 janvier 1978 modifiée qui soumet à un décret en Conseil d'Etat, pris après avis motivé et publié de la CNIL, les traitements de données à caractère personnel mis en œuvre pour le compte de l'Etat qui portent sur des données parmi lesquelles figure le NIR.
Présentation du dispositif :
Le dispositif d'enquêtes « Risques psychosociaux 2016 » a pour objectifs :
- de mesurer l'exposition aux risques psychosociaux au travail ;
- de mesurer la durée, la répétitivité et la chronicité des facteurs de risques psychosociaux ;
- de mesurer l'évolution des conditions de travail ;
- d'explorer les relations entre travail et santé.
Il comprendra deux phases d'enquêtes :
- la première phase, dite « individus », consistera en une enquête menée en face à face d'octobre 2015 à juin 2016 auprès de 27 000 individus âgés de 15 ans ou plus ;
- la seconde phase, dite « employeurs », consistera en une enquête réalisée par voie postale ou par internet auprès des employeurs désignés par les personnes précédemment interrogées.
Le traitement sera mis en œuvre par la direction de l'animation de la recherche, des études et des statistiques (DARES) du ministère du travail.
La cible du volet « individus » est constituée de l'ensemble des personnes ayant un emploi indépendant ou salarié, public ou privé, stable ou temporaire, âgées de 15 ans ou plus. L'enquête RPS 2016 interrogera l'ensemble des répondants de l'enquête « Conditions de travail 2013 », menée par la DARES, nonobstant leur situation professionnelle (actifs, chômeurs, retraités). Un échantillon complémentaire d'« entrants » sera tiré dans le fichier du recensement 2014 afin de conserver la représentativité des personnes interrogées.
La cible du volet « employeurs » est constituée des employeurs désignés par les personnes précédemment interrogées ainsi que d'un échantillon aléatoire complémentaire d'établissements de toutes tailles afin d'être représentatif de l'ensemble des établissements en France.
A l'issue de l'enquête « individus », les données individuelles de l'enquête feront l'objet d'un appariement avec les données issues du Système national d'information interrégimes de l'assurance maladie (SNIIRAM), dont la Caisse nationale d'assurance maladie des travailleurs salariés (CNAMTS) assume la responsabilité, afin de disposer des consommations de soins des sujets de l'enquête. Cet appariement impose l'utilisation du numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) des personnes interrogées et, le cas échéant, celui de leurs ouvrants droit.
Préalablement à la saisine de la commission, le projet d'enquête a été examiné par le Conseil national de l'information statistique (CNIS) qui a rendu un avis d'opportunité favorable le 11 décembre 2013. Le comité du label du CNIS a ensuite attribué, le 9 janvier 2015, le label d'intérêt général et de qualité statistique à l'enquête RPS pour les années 2015 et 2016, avec caractère obligatoire.
Sur la finalité du traitement :
Aux termes de l'article 1er du projet, celui-ci a vocation à autoriser « la mise en œuvre par la direction de l'animation et de la recherche, des études et des statistiques (DARES) du ministère du travail, de l'emploi, de la formation professionnelle et du dialogue social d'un traitement automatisé de données à caractère personnel relatif à une enquête nationale portant sur les risques psychosociaux au travail, dite “Risques psychosociaux 2016” ou “RPS 2016”.
Ce traitement a pour finalité de mesurer l'exposition aux risques psychosociaux au travail, la durée, la répétitivité et la chronicité des facteurs de risques psychosociaux, l'évolution des conditions de travail et d'explorer les relations entre travail et santé. Les informations sur la dépense de soins engagée visent à permettre d'évaluer le coût médical imputable aux risques psychosociaux et aux mauvaises conditions de travail ».
La commission considère que, eu égard à l'intérêt de santé publique que présente cette enquête, la création de ce traitement et les finalités ainsi poursuivies sont déterminées et légitimes.
Sur les modalités d'organisation du dispositif d'enquêtes « RPS 2016 » :
L'article 2 du projet précise que :
- une première collecte des informations par enquête sera réalisée d'octobre 2015 à juin 2016 auprès d'un échantillon représentatif de 27 000 individus âgés de 15 ans ou plus ;
- une seconde collecte d'informations aura lieu auprès des établissements employant au moins un salarié. Ces établissements sont en majeure partie ceux dans lesquels travaillent les salariés interrogés au titre de la première collecte réalisée. Les employeurs publics sont inclus dans le champ de l'enquête ;
- des enquêtes complémentaires ultérieures pourront être mises en œuvre auprès des personnes enquêtées et ayant donné leur accord lors de la première enquête ;
- les individus ayant participé à l'enquête initiale seront inclus dans un dispositif de suivi d'adresse afin de pouvoir les réinterroger dans le cadre de l'enquête sur les conditions de travail prévue en 2019.
La commission prend acte de ce que le projet précise que des formalités préalables devront être effectuées auprès de la CNIL préalablement à la réalisation des enquêtes complémentaires.
Sur la nature des données traitées :
L'article 3 du projet énumère les données collectées directement auprès des personnes faisant l'objet de l'enquête.
Ces données concernent :
1. « Le nom d'usage et le ou les prénoms ;
2. Le sexe, la date et le lieu de naissance ;
3. Le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR), dans les conditions précisées à l'article 4 ;
4. Le cas échéant, les nom de naissance, prénom, date et lieu de naissance et le NIR de leurs ouvrants droit, dans les conditions précisées à l'article 4 ;
5. L'adresse postale ;
6. La situation familiale actuelle, le parcours familial et professionnel : profession et lieu de naissance des parents, événements familiaux ou de santé marquants durant l'enfance, diplômes, premier emploi occupé ;
7. L'activité professionnelle actuelle, les coordonnées de l'établissement employeur, la dernière activité professionnelle des personnes éloignées de l'emploi ;
8. L'organisation du travail : rythmes, autonomie, changements ;
9. L'organisation du temps de travail : horaires, prévisibilité, aménagements ;
10. Les contraintes physiques, mesures de prévention et accidents du travail ;
11. Les relations avec les autres au travail et le ressenti sur l'ambiance, les discriminations, les comportements hostiles ;
12. L'état de santé tel qu'il est perçu par les personnes enquêtées. »
Outres ces données, le traitement comprend également les données relatives à la consommation de soins des personnes enquêtées. Ces données, issues du SNIIRAM, sont communiquées par la CNAMTS à la DARES.
Le dossier de saisine précise en outre que le rapprochement des données de l'enquête avec les consommations de soins médicales des enquêtés, telles qu'issues du SNIIRAM, supposera soit une collecte directe du NIR, soit une collecte indirecte grâce aux informations personnelles (nom de naissance, prénom, sexe, date et lieu de naissance) permettant une recherche du NIR dans le répertoire national d'identification des personnes physiques (RNIPP).
La commission relève que le projet ne mentionne pas l'existence de cette collecte indirecte du NIR et demande qu'il soit complété sur ce point.
Ces données n'appellent pas d'observation de la part de la commission, dès lors qu'elles sont pertinentes, adéquates et non excessives au regard des finalités pour lesquelles elles sont collectées, conformément aux dispositions de l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
Sur la durée de conservation des données :
L'article 8 du projet prévoit une durée de conservation de cinq ans :
- des données d'identification des sujets de l'enquête et, le cas échéant, de leur ouvrant droit (à savoir leurs nom, prénom, date et lieu de naissance, NIR) afin de permettre l'appariement avec les données du SNIIRAM ;
- des informations de contact (nom, prénom, adresse postale des sujets de l'enquête) afin de permettre la réalisation des enquêtes complémentaires et la réinterrogation des personnes dans le cadre de l'enquête sur les conditions de travail prévue en 2019.
La commission prend acte de ce que ces données seront supprimées à l'expiration de cette durée de conservation.
Eu égard aux deux finalités poursuivies, cette durée de conservation de cinq ans n'appelle pas d'observation de la part de la commission.
Sur les destinataires des données :
Les articles 6 et 7 du projet prévoient que la DARES et les Archives de France sont destinataires :
- « des fichiers de données individuelles sur la consommation de soins issues des opérations décrites à l'article 5 ne permettant aucune identification directe des personnes auprès desquelles l'enquête a été réalisée ;
- des données individuelles issues de l'enquête, décrites au point a de l'article 3, qui ne permettent pas l'identification directe des personnes. »
La commission prend acte de ce que les nom, prénom, sexe, date et lieu de naissance, NIR et adresse postale des personnes ne seront pas transmis à la DARES ou aux Archives de France.
La commission relève que les données indirectement identifiantes seront transmises aux Archives de France dans les conditions fixées par le code du patrimoine et qu'elles sont communicables dans les conditions prévues par le décret n° 2009-318 du 20 mars 2009, pris en application de la loi n° 51-711 du 7 juin 1951 modifiée sur l'obligation, la coordination et le secret en matière de statistiques.
Sur ce point, le projet n'appelle pas d'observation particulière de la commission dès lors qu'il s'agit d'organismes légalement habilités à demander communication des données traitées conformément aux dispositions de l'article 3-II de la loi du 6 janvier 1978 modifiée.
Sur l'information des personnes :
L'article 4 du projet prévoit une information particulière des sujets de l'enquête sur les conditions d'utilisation et de conservation de leur NIR, préalablement à la collecte de ces données par les enquêteurs.
En outre, l'article 2 du projet prévoit que les sujets de l'enquête seront informés de la réalisation de l'enquête par l'envoi d'une lettre-avis accompagnée d'un dépliant d'information et qu'une lettre de relance en cas de non-réponse leur sera adressée. La commission en prend acte.
L'article 9 du projet rappelle que les personnes seront informées du caractère obligatoire des collectes dans les lettres-avis qui leur sont adressées, tout en précisant que les questionnaires prévoient la possibilité de ne pas répondre à une ou plusieurs questions. En particulier, si une personne refuse de communiquer son NIR, l'article 9 du projet précise qu'aucun appariement avec les données du SNIIRAM ne sera réalisé.
La commission considère que la lettre-avis précitée permet de répondre à l'ensemble des obligations issues des dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée.
Cependant, elle relève que les personnes interrogées dans le cadre du volet « individus » ne sont pas explicitement informées du fait que leurs réponses seront utilisées afin de contacter leurs employeurs pour la réalisation du volet « employeurs » de l'enquête RPS 2016. Elle remarque que la lettre-avis destinée aux employeurs précise que ceux-ci sont contactés à la suite de l'interrogation d'au moins un de leurs salariés, sans révéler son identité.
En application du principe de loyauté prévu à l'article 6 de la loi du 6 janvier 1978 modifiée, la commission estime que les salariés devraient également être pleinement informés des modalités de l'enquête, notamment du fait que leurs employeurs seront ensuite interrogés.
Par ailleurs, la commission souligne que les lettres-avis doivent être harmonisées selon que l'on se situe sur la partie « individus » ou « employeurs », conformément à l'avis du comité du label du CNIS rendu le 9 janvier 2015.
Sur les droits d'accès, de rectification et d'opposition des personnes :
La commission relève qu'en raison du caractère obligatoire attaché à l'enquête RPS 2016 l'article 9 du projet exclut l'application du droit d'opposition prévu à l'article 38 de la loi du 6 janvier 1978 modifiée.
L'article 9 du projet précise que les droits d'accès et de rectification des personnes, concernant le volet « individus », s'exerceront auprès de la direction générale de l'Institut national de la statistique et des études économiques (INSEE) ou des directions régionales ou interrégionales de l'INSEE.
L'article 9 du projet précise également que les droits d'accès et de rectification des personnes, concernant le volet « employeurs », s'exerceront auprès du « prestataire sous la responsabilité de la DARES » et que le service auprès duquel les personnes peuvent exercer leurs droits sera identifié dans la lettre-avis qui leur est adressée.
Or, l'article 29 (2°) de la loi du 6 janvier 1978 modifiée impose que l'acte autorisant la création du traitement précise « le service auprès duquel s'exerce le droit d'accès ».
En conséquence, la commission demande que le projet soit complété afin de préciser le service auprès duquel les personnes concernées par le volet « employeurs » pourront exercer leurs droits.
Sous réserve des observations précédentes, la commission estime que les modalités d'information et d'exercice des droits des personnes sont de nature à garantir l'exercice effectif de leurs droits.
Sur la sécurité des données et la traçabilité des actions :
L'article 5 du projet dispose que « le rapprochement des informations collectées par enquête avec les données du Système national d'information interrégimes de l'assurance maladie précité est précédé d'un chiffrement du NIR permettant de garantir la confidentialité des données lors des transferts ».
Si le chiffrement du NIR permet d'en garantir la confidentialité lors de son transfert, les rapprochements avec les données du SNIIRAM seront réalisés après le double hachage du NIR en clair et des éléments d'identité de l'assuré. La commission relève que l'article 5 du projet précise également ces éléments. Elle rappelle cependant que les données du SNIIRAM ne doivent être appariées ni à l'identifiant FOIN1 ni aux NIR des sujets de l'enquête, et que l'identifiant FOIN2 ne doit pas être transmis à l'extérieur du SNIIRAM.
L'article 10 du projet précise que la DARES, en sa qualité de responsable de traitement, « garantit la sécurisation des transferts de données et met en place une politique de gestion d'habilitations d'accès aux données ».
Toutefois, les conditions de conservation des données ainsi que les modalités d'accès n'étant pas indiquées, la commission demande que cet article soit complété afin de préciser que les données seront conservées par chacun des intervenants dans des conditions de nature à assurer, notamment, leur confidentialité et leur intégrité.
Elle recommande à cet égard qu'une étude des risques pesant sur la vie privée des personnes soit menée et mise à jour régulièrement.
S'agissant des mesures spécifiques mises en œuvre, décrites dans le dossier, le personnel de la DARES et de l'INSEE s'authentifie au moyen d'un mot de passe composé de huit caractères et comportant trois types de caractères distincts.
Au sein du Groupe des écoles nationales d'économie et statistique (GENES), les personnes habilitées à accéder aux données disposent d'un boîtier spécifique (« SD-Box »), boîtier fourni par le GENES permettant l'accès à un espace de stockage dédié au dispositif d'enquêtes « RPS 2016 », sur les serveurs du centre d'accès sécurisé distant aux données (CASD). L'authentification est réalisée par le recours à un dispositif biométrique.
Les modalités d'accès aux données par le personnel habilité de la CNAMTS ne sont pas précisées. La commission rappelle que ces personnels habilités doivent être authentifiés avant tout accès aux données.
Les accès aux données sont tracés et ces traces sont horodatées.
Les transferts de données sont sécurisés soit par le recours à des protocoles sécurisés, soit par le chiffrement des données préalablement à leur inscription sur les supports matériels utilisés pour leur transmission, soit par une combinaison de protocoles sécurisés et de chiffrement des données. L'algorithme de chiffrement utilisé est un algorithme asymétrique.
S'agissant des clés privées utilisées pour déchiffrer les données, la commission rappelle qu'elles doivent être conservées secrètes par les destinataires des données.
Au sein de la DARES, les données conservées sont des données indirectement identifiantes. Elles sont conservées sur un serveur sécurisé à accès physique et logique restreint.
Les modalités de suppression des données par les différents intervenants du traitement de données ne sont pas précisées dans le dossier.
La commission demande que les modalités de suppression définitive des données, une fois celles-ci transmises à la DARES, ou à l'issue de la durée de conservation, soient prévues et mises en œuvre.
Les autres points du projet n'appellent pas, en l'état et au regard de la loi du 6 janvier 1978 modifiée, d'autres observations de la commission.