La Commission nationale de l'informatique et des libertés,
Saisie par la ministre de l'éducation nationale, de l'enseignement supérieur et de la recherche d'une demande d'avis concernant un projet d'arrêté relatif à la mise en œuvre d'un traitement de données à caractère personnel dénommé « OCEAN concours »,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-II (4°) ;
Vu la loi n° 91-715 du 26 juillet 1991 modifiée portant diverses dispositions relatives à la fonction publique ;
Vu l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives, notamment son article 9-1 ;
Vu le décret n° 95-681 du 9 mai 1995 modifié fixant les conditions d'inscription des candidats aux concours d'accès à la fonction publique de l'Etat par voie électronique ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2010-112 du 2 février 2010 pris pour l'application des articles 9, 10, et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu l'arrêté du 2 juin 1994 modifié portant création d'un traitement automatisé d'informations nominatives relatif à la gestion des concours ;
Après avoir entendu Mme Joëlle FARCHY, commissaire, en son rapport et M. Jean Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie, par le ministère de l'éducation nationale, de l'enseignement supérieur et de la recherche, d'un projet d'arrêté portant création d'un traitement automatisé de données à caractère personnel dénommé « OCEAN concours ».
Les concours de recrutement de personnels des services d'administration centrale et des académies sont actuellement gérés par le système d'aide à la gestion automatisé de concours créé par l'arrêté du 2 juin 1994 susvisé, pris après avis de la commission en date du 10 mai 1994.
En raison d'un nombre croissant de candidatures et de la mutualisation des recrutements interministériels, les opérations de gestion des concours et examens professionnels se sont diversifiées. Ainsi, le champ d'application que couvre l'arrêté du 2 juin 1994 précité n'apparaît plus adapté à la gestion de l'ensemble de ces concours et examens. Il a donc été décidé de créer un nouveau traitement, couvrant l'ensemble des opérations de gestion des concours et examens professionnels dénommé « OCEAN concours ».
Le traitement« OCEAN concours » met à disposition des usagers deux téléservices de l'administration électronique. Dans la mesure où il comporte un identifiant des personnes physiques, il relève des dispositions de l'article 27-II (4°) de la loi du 6 janvier 1978 modifiée et doit dès lors être autorisé par un arrêté du ministre compétent, pris après avis motivé et publié de la commission.
Sur la finalité du traitement :
Le traitement « OCEAN concours » a pour finalité la gestion de l'ensemble des opérations propres à l'organisation des concours de recrutement de personnels, des examens professionnels et des opérations de recrutement sans concours aux niveaux national, académique et interministériel.
Il est intégré dans l'application informatique « OCEAN », qui permet l'organisation et la gestion de l'ensemble des concours, recrutements et examens de l'éducation nationale. Outre le traitement« OCEAN concours », cette application comporte ainsi le traitement dénommé « OCEAN », créé par l'arrêté du 22 avril 2013 susvisé, pris après avis de la CNIL en date du 31 mai 2012 et qui a pour finalité la gestion de l'ensemble des opérations propres à l'organisation des examens et concours scolaires aux niveaux académique et national.
Les concours et examens concernés par le traitement « OCEAN concours » sont plus précisément :
- les concours nationaux de recrutement des personnels de l'enseignement de second degré, des personnels d'encadrement, des personnels administratifs, sociaux et de santé et des personnels des bibliothèques ;
- les concours organisés par les académies pour le recrutement des professeurs des écoles, des personnels enseignants de l'enseignement privé et certaines catégories de personnels administratifs, sociaux et de santé ;
- les concours et examens professionnels réservés, les recrutements sans concours dans le corps de la catégorie C, les recrutements dans le cadre du parcours d'accès aux carrières de la fonction publique territoriales, hospitalière et d'Etat (PACTE) et les concours communs à plusieurs administrations.
Le traitement « OCEAN concours » est composé de deux téléservices.
Le téléservice INSCRINET permet aux candidats de procéder par voie électronique à leur inscription à un ou plusieurs concours ou examens professionnels. L'utilisation de ce téléservice est facultative : conformément à l'article 7 du décret du 9 mai 1995 susvisé, les candidats n'ayant pas d'accès à internet disposent de la possibilité d'obtenir un dossier imprimé d'inscription en en faisant la demande par écrit, selon le modèle figurant en annexe de l'arrêté d'ouverture du concours publié au Journal officiel.
Le téléservice PUBLINET permet, d'une part, la publication des résultats d'admissibilité et d'admission et, d'autre part, l'accès pour chaque candidat au détail de ses résultats, au moyen d'un identifiant.
Les candidats aux concours et examens peuvent ainsi remplir un formulaire en ligne leur permettant de s'inscrire aux concours et examens choisis. Cette inscription leur permet de disposer d'un compte, composé d'un identifiant et d'un mot de passe, grâce auquel ils pourront également consulter leurs résultats.
Différents modules au sein du traitement « OCEAN concours » sont enfin utilisés pour l'organisation, l'affectation et le déroulement des concours.
La commission rappelle qu'elle a toujours considéré que la simplification des démarches administratives et l'amélioration des relations entre les administrés et l'administration constituent des finalités légitimes, sous réserve que des mesures de sécurité appropriées soient prévues et que les droits des personnes soient respectés.
Elle considère dès lors que les finalités du traitement sont déterminées, explicites et légitimes, conformément à l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Sur la nature des données traitées :
L'article 2 du projet d'arrêté énumère les catégories de données enregistrées dans le traitement projeté, qui concernent les candidats, les responsables et gestionnaires des concours des rectorats d'académie, ainsi que les présidents et membres de jurys et prestataires extérieurs.
Certaines données concernant les candidats sont collectées indirectement via les traitements de données à caractère personnel EPP, AGAPE et AGORA, régulièrement mis en œuvre par les ministères concernés et relatifs à la gestion des ressources humaines des personnels relevant de ces derniers.
Les données traitées sont relatives à l'état civil, à la vie personnelle et professionnelle des personnes concernées et n'appellent pas, dans l'ensemble, d'observations particulières.
La commission relève néanmoins que des données relatives au poids du candidat seront collectées, dans le cadre du passage de certaines épreuves des concours du certificat d'aptitude au professorat d'éducation physique et sportive (CAPEPS).
Elle relève en outre que les données relatives à la situation familiale et professionnelle sont nécessaires à la gestion de la candidature. Ainsi, la situation familiale peut permettre de déroger à certaines conditions de diplôme et la condition professionnelle peut définir l'académie de passage de l'examen ou du concours.
Pour les besoins éventuels d'aménagement d'épreuves, des données relatives à la présence d'un handicap sont également collectées, présentées sous la forme d'une mention « oui » ou « non » que les personnes concernées sont invitées à cocher.
La commission recommande que des cases à cocher indiquent également le type d'équipement ou d'accompagnement à mettre à disposition du candidat, afin de permettre un soutien effectif de ces personnes.
Pour ce qui concerne les responsables et gestionnaires des divisions des examens et concours des rectorats d'académie, les présidents et membres de jurys et les prestataires extérieurs, les seules données figurant dans le traitement sont relatives aux identifiants de connexion.
La commission estime que les données traitées sont pertinentes, adéquates et non excessives, au regard des finalités poursuivies par le traitement, conformément à l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
Sur la durée de conservation des données :
Le projet d'arrêté prévoit que les données à caractère personnel contenues dans le traitement sont conservées pour une durée de dix ans à compter de la fin de chaque session d'examen ou concours, y compris pour les personnes ne s'étant pas présentées au concours ou à l'examen auquel elles étaient inscrites.
Le ministère indique que cette durée est nécessaire à l'établissement d'attestations individuelles d'admissibilité aux concours et examens professionnels, ainsi qu'à l'exercice d'un contentieux éventuel.
La commission rappelle néanmoins que la durée de conservation des données enregistrées dans le traitement « OCEAN concours » ne peut être établie qu'au regard des finalités poursuivies par ce dernier. Or, ce traitement a pour seule finalité la gestion de l'ensemble des opérations propres à l'organisation des concours de recrutement de personnels, des examens professionnels et de opérations de recrutement sans concours aux niveau national, académique et interministériel, ce qui ne justifie pas la conservation en base active des données pendant une durée de 10 ans.
Elle considère toutefois que le responsable de traitement peut conserver les données traitées pour l'établissement d'attestations individuelles d'admissibilité aux concours et examens professionnels, ainsi qu'à des fins probatoires, pour une durée adaptée aux contentieux concernés, à condition que ces dernières soient versées dans une base d'archives intermédiaire, dans la mesure du possible sur un support distinct, à laquelle seul un nombre restreint de personnes spécifiquement habilitées a accès.
La commission demande dès lors que, en application de l'article 6 (5°) de la loi du 6 janvier 1978 modifiée, le ministère prévoit des modalités de conservation distinctes pour l'ensemble des données figurant dans le traitement « OCEAN concours », en différenciant la durée de conservation en base active dans les téléservices projetés, qui doit être limitée à la durée strictement nécessaire à la réalisation des finalités poursuivies par ce traitement, de celle applicable aux données stockées en base inactive à des fins probatoires ou de gestion des attestations individuelles d'admissibilité.
Sur les destinataires des données :
L'article 3 du projet d'arrêté prévoit que les destinataires des données sont des personnels internes du ministère, à savoir les personnels des rectorats d'académie, les agents habilités de l'administration centrale, les agents habilités des centres d'épreuves, du président et des membres des jurys de concours ou d'examens professionnels.
Les candidats au concours et examens professionnels ont également accès aux données figurant dans le traitement les concernant.
Des personnes habilitées extérieures au ministère ont également accès aux données. Il s'agit tout d'abord des agents habilités des départements ministériels pour le compte desquels le ministère gère les concours interministériels de recrutement de personnels.
Peut également obtenir communication des données contenues dans le traitement la société chargée, pour le compte du ministère, du traitement des dossiers de reconnaissance des acquis et de l'expérience professionnelle (RAEP).
Par ailleurs, le ministère s'est engagé dans un processus de dématérialisation des copies et des corrections en ligne. Ainsi, à la suite de chaque examen ou concours, les copies sont scannées, permettant ensuite aux correcteurs de les noter sur écran et en ligne grâce à une plate-forme dédiée. Dans ce contexte, la société en charge de la dématérialisation des copies peut également obtenir communication des données contenues dans le traitement de données à caractère personnel projeté.
La commission considère que l'ensemble de ces personnes ont un intérêt légitime à être destinataires, dans la limite du besoin d'en connaître, des données traitées.
Sur l'information et les droits des personnes :
Les candidats sont informés de l'enregistrement de leurs données personnelles dans le système « OCEAN concours » par des mentions figurant sur le site internet. La commission rappelle que l'ensemble des éléments prévus à l'article 32 de la loi du 6 janvier 1978 modifiée doivent être portés à la connaissance des personnes concernées.
Conformément aux articles 39 et 40 de la loi du 6 janvier 1978 modifiée, les droits d'accès et de rectification s'exercent directement auprès des services des examens et concours des rectorats d'académie ou des services des examens et concours de l'administration centrale du ministère.
L'article 5 du projet d'arrêté prévoit que le droit d'opposition prévu à l'article 38 de cette même loi ne s'applique pas au présent traitement, ce qui n'appelle pas d'observations particulières de la commission.
Sur la sécurité des données et la traçabilité des actions :
Le traitement « OCEAN concours » comprenant deux téléservices de l'administration, il appartient au ministère d'attester de sa conformité au décret n° 2010-112 du 2 février 2010 susvisé relatif aux échanges électroniques entre les usagers et les autorités administratives (Référentiel général de sécurité) et de le mentionner sur le site. La commission relève qu'une homologation à ce référentiel est actuellement en cours.
Chaque candidat dispose d'un couple identifiant/mot de passe qui lui est propre. S'agissant uniquement d'opérations de consultation des données saisies par lui-même (téléservice « INSCRINET ») ou des résultats obtenus par lui aux concours ou examens (téléservice « PUBLINET »), ce choix semble proportionné.
Pour l'authentification des utilisateurs aux différents modules du traitement « OCEAN concours », une politique de mot de passe est mise en place sous la responsabilité de l'administrateur système de chaque académie. A cet égard, la commission rappelle qu'une politique satisfaisante de mot de passe implique que ceux-ci soient composés de huit caractères au minimum, comprenant au moins trois des quatre types de caractères suivants : majuscules, minuscules, chiffres et caractères spéciaux. Ils doivent en outre être définis, ou modifiés dès la première connexion, par l'utilisateur, puis régulièrement renouvelés et ne doivent pas être stockés en clair.
Des profils d'habilitation définissent les accès, rôles et informations disponibles aux différents utilisateurs des modules constitutifs du traitement, qui ne peuvent ainsi accéder qu'aux informations qui leur sont nécessaires. La commission rappelle que les permissions d'accès doivent être supprimées pour tout utilisateur n'étant plus habilité et qu'une revue globale des habilitations doit être opérée à une fréquence régulière.
En ce qui concerne le module de dématérialisation et de correction en ligne des copies mis en œuvre, la commission rappelle que la bonne gestion des périphériques de type copieur/scanneur nécessite que seules les personnes habilitées soient autorisées à utiliser ces matériels. De plus, des procédures spécifiques doivent être prévues pour vider ou chiffrer les disques durs/buffer susceptibles de conserver des copies des documents scannés.
Les échanges d'information sont sécurisés, soit par l'utilisation de réseaux sécurisés pour les transferts internes, soit au moyen du protocole HTTPS pour les transferts sur internet. Concernant le recours à ce protocole, la commission recommande d'utiliser la version de TLS la plus à jour.
Un cloisonnement du traitement est prévu, celui-ci étant isolé physiquement. Les serveurs de données sont hébergés dans des locaux dont l'accès est restreint et sécurisé et un logiciel antivirus est installé et régulièrement mis à jour sur les équipements prenant part au traitement. Un système de détection d'intrusion est également utilisé.
Le ministère prévoit la mise en place de mesures de traçabilité, l'identification de l'utilisateur, l'horodatage et la nature de l'intervention étant conservées. Les incidents informatiques font également l'objet d'une journalisation. La commission recommande la mise en place de procédures d'analyse de ces traces pour identifier des accès frauduleux ou des utilisations abusives des données.
Des sauvegardes quotidiennes sont réalisées et stockées dans un endroit garantissant leur sécurité et leur disponibilité. Les données sont archivées à la fin de chaque session de recrutement. La commission rappelle que l'accès à ces données doit se faire selon des modalités spécifiques et que les archives obsolètes doivent être détruites de manière sécurisée.
Le ministère prévoit d'avoir recours à des sous-traitants pour la dématérialisation des copies et pour la maintenance des logiciels et équipements. A cet égard, la commission souligne l'importance de fixer contractuellement des objectifs de sécurité à tous les sous-traitants impliqués dans la mise en œuvre du traitement « OCEAN concours » et de s'assurer de l'effectivité des garanties offertes par ceux-ci au regard de la loi du 6 janvier 1978 modifiée.
Au regard de ces éléments, la commission estime que les mesures de sécurité décrites sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée. Elle rappelle néanmoins que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.