Après avoir entendu Mme Marie-France MAZARS, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie, par la Direction générale à l'emploi et à la formation professionnelle (DGEFP), d'une demande d'avis préalablement à la mise en œuvre d'un traitement de données à caractère personnel dénommé « Système d'information du compte personnel d'activité » (SI-CPA). Ce traitement, mis en œuvre par la Caisse des dépôts et consignations (CDC), est créé en application de l'article L. 5151-6 du code du travail, issus de la loi n° 2016-1088 du 8 août 2016 relative au travail, à la modernisation du dialogue social et à la sécurisation des parcours professionnels.
Cette demande d'avis porte sur deux projets de décret relatifs, d'une part, à la mise en œuvre du SI-CPA et, d'autre part, à la dématérialisation des bulletins de paie et à leur accessibilité via le CPA.
Dans la mesure où ces traitements sont mis en œuvre par une personne morale de droit public et qu'ils portent sur des données à caractère personnel parmi lesquelles figure le Numéro d'inscription au Répertoire national d'identification des personnes physiques (NIR), ils sont soumis à une demande d'avis sur un projet de décret en Conseil d'Etat (article 27-l-1° de la loi du 6 janvier 1978 modifiée).
Sur la finalité du traitement :
La loi n° 2016-1088 du 8 août 2016 relative au travail, à la modernisatîon du dialogue social et à la sécurisation des parcours professionnels, a créé l'article L. 5151-1 dans le code du travail qui institue le Compte personnel d'activité (CPA) ayant pour objectifs « par l'utilisation des droits qui y sont inscrits, de renforcer l'autonomie et la liberté d'action de son titulaire et de sécuriser son parcours professionnel en supprimant les obstacles à la mobilité. Il contribue au droit à la qualification professionnelle mentionné à l'article L. 6314-1. Il permet la reconnaissance de l'engagement citoyen. »
Le CPA est constitué d'un portail en ligne, composé d'un espace public, comportant des informations d'ordre général sur le CPA, sur son fonctionnement et les services proposés, ainsi que d'un espace privé dont la création est laissée à la main de chaque individu. Cet espace doit permettre au titulaire du compte, s'ille souhaite, de bénéficier des services liés à l'emploi et aux parcours professionnels. Un compte personnel d'activité a vocation à être ouvert pour l'ensemble des individus (salariés et retraités) relevant du secteur privé et, à terme, à l'ensemble des individus y compris les agents publics, les agents des chambres consulaires, les travailleurs indépendants, les professions libérales et assimilées, ainsi que les conjoints collaborateurs.
En effet, sont concernées les personnes âgées d'au moins seize ans occupant un emploi, à la recherche d'un emploi ou accompagnées dans un projet d'orientation et d'insertion professionnelles, accueillies dans un établissement et service d'aide par le travail mentionné à l'article L. 312-1 (5°, a) du code de l'action sociale et des familles (CASF) ou ayant fait valoir ses droits à la retraite. Par exception, les personnes âgées d'au moins quinze ans, ayant accompli la scolarité du premier cycle de l'enseignement secondaire et ayant signé un contrat d'apprentissage, peuvent disposer d'un compte.
La commission rappelle que, conformément aux dispositions des articles L. 5151-1 et 5151-4 du code du travail, la mobilisation des droits inscrits sur le compte personnel d'activité est soumise à l'accord exprès du titulaire du compte. Aucune faute ne peut lui être reprochée en cas de refus de mobilisation du compte.
Le traitement dont a été saisie la commission vise, plus précisément, à permettre : la consultation, par le titulaire du compte, et l'utilisation, dans le compte personnel d'activité, des droits inscrits ou mentionnés sur le compte personnel de formation (CPF), le compte personnel de prévention de la pénibilité (C3P) ou le compte d'engagement citoyen (CEC).Ce dernier compte est issu de la loi du 8 août 2016 et a pour finalité de recenser les activités bénévoles ou de volontariat du titulaire qui ouvrent des droits, en application de l'article L. 5151- 7 du code du travail. La commission constate que, dans sa première phase, le CPA ne permettra que la consultation des droits ;
- l'accès des titulaires du compte à un service de consultation de leurs bulletins de paie, lorsqu'ils ont été transmis par l'employeur sous forme électronique dans les conditions définies par l'article L. 3243-2 au moyen de la plateforme de services en ligne mentionnée au Il de l'article L. 5151-6 ;
- l'accès des titulaires du compte à des services utiles à la sécurisation des parcours professionnels et à la mobilité géographique et professionnelle, au moyen de ladite plateforme ;
- le partage entre titulaires de compte de tout ou partie des données de leur espace personnel afin de favoriser les échanges sur des questions liées à la sécurisation des parcours professionnels et à la mobilité géographique et professionnelle ;
- l'analyse de l'utilisation et l'évaluation de la mise en œuvre du compte personnel d'activité, notamment par le biais de la statistique.
La commission considère que ces finalités sont déterminées, explicites et légitimes.
Par ailleurs, la commission prend acte que le service de consultation des bulletins de paie transmis par l'employeur sous forme électronique ne pourra ni être partagé ni faire l'objet de services de la part de prestataires tiers.
Sur la nature des données traitées :
Certaines données présentes dans le SI-CPA sont directement renseignées par le titulaire du compte, d'autres proviennent des systèmes d'information du CPF et du C3P, d'autres enfin résultent de l'utilisation des services en ligne relatifs à la sécurisation des parcours professionnels, à la mobilité géographique et professionnelle, ainsi qu'à la dématérialisation des bulletins de paie.
Les données provenant des systèmes d'information du CPF (SI-CPF) et du C3P sont les informations enregistrées dans chacun de ces comptes et listées respectivement par l'article R. 6323-15 du code du travail et par le décret n° 2016-1102 du 11 août 2016. Le SI-CPF recense également les informations du CEC en application des articles L. 5151-7 et suivants du code du travail. La commission constate que les droits acquis au titre de ces comptes sont simplement affichés dans le CPA lorsqu'ils sont consultés via ce compte. L'utilisation des droits n'est possible que depuis le CPF ou le C3P.
La commission relève que l'intégration du CEC dans Je CPF, mise en œuvre par le projet de décret, a pour conséquence d'y intégrer la collecte de nouvelles données relatives aux activités de volontariat et de bénévolat (nombre d'heures consacrées à ces activités, organismes concernés, etc.).
L'ouverture du CPF et du CPA à de nouvelles catégories de personnes a également pour conséquence l'ajout de catégories de données. Ces données ont notamment trait aux informations détenues par les organismes de sécurité sociale, auxquels sont versées, par les personnes concernées, les contributions à la formation professionnelle.
Les données du titulaire contenues dans le CPA, autres que celles provenant des comptes précédemment cités, sont les suivantes :
- les données relatives à son parcours professionnel : activités professionnelles exercées ou ayant été exercées, activités d'engagement citoyen exercées ou ayant été exercées, études et formations suivies ;
- les données relatives à ses compétences professionnelles : aptitudes et compétences, permis de conduire, langues étrangères ;
- les données issues de l'utilisation des services en ligne mentionnés aux 1 et 11-20 et 3° de l'article L. 5151-6 du code du travail ;
- les données relatives à son projet professionnel : métiers envisagés ou recherchés, formations envisagées ou recherchées, région de résidence actuelle ou recherchée, région du lieu de travail actuel et recherché ;
- les données issues du profil professionnel du titulaire du compte : la dénomination de la branche professionnelle d'origine et le code APE (Activité principale exercée) de l'employeur ; l'adresse électronique du titulaire, qui est la seule information collectée relative à ses coordonnées.
Concernant les données issues de l'utilisation des services en ligne, elles ne sont pas listées par le projet de décret car elles dépendent de la nature des services proposés via la plateforme. Néanmoins, il s'agira exclusivement de données relatives à la vie professionnelle du titulaire du compte ou d'informations générales de nature professionnelle telles que des informations sur un secteur d'activité ou encore sur des opportunités d'emploi en lien avec le profil professionnel du titulaire.
Dans le cadre des échanges avec le responsable de traitement, il est apparu que certaines données administratives (adresse postale, adresse électronique, numéro de téléphone) pouvaient être collectées directement auprès de l'usager, afin de permettre aux gestionnaires de la CDC d'entrer en contact avec l'usager, si besoin. Ces données, qui sont également collectées dans le cadre du CPF, ne sont accessibles qu'à l'usager et aux gestionnaires du compte. Par souci de cohérence, la commission recommande que ces données figurent dans Je projet de décret, parmi les informations collectées dans le cadre de la mise en œuvre du CPA.
Hormis les informations nécessaires à la création du compte (NIR, date de création dans le référentiel CPF, sexe, date et lieu de naissance) qui sont issues du SI-CPF, et les données administratives citées précédemment, le CPA contient des informations d'ordre professionnel exclusivement en lien avec les objectifs poursuivis par le CPA.
S'agissant de la dématérialisation des bulletins de paie, ces derniers ne sont pas stockés sur le CPA mais y sont simplement affichés lorsque le titulaire du compte en fait la demande.
La commission estime que ces données sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées.
Sur la durée de conservation des données :
Le projet de décret énonce que les données à caractère personnel enregistrées dans le SI-CPA sont conservées pendant toute la durée d'ouverture du compte et jusqu'à trois ans à compter du décès du titulaire du compte, conformément à ce qu'il est prévu pour le CPF. Le point de départ de la durée de conservation se justifie en raison du fait que les retraités peuvent également bénéficier des droits offerts par le CPA. La durée de conservation est justifiée par le responsable de traitement comme permettant de disposer des informations en cas de contentieux mais également pour réaliser des statistiques.
S'agissant du principe général de dématérialisation des bulletins de paie, énoncé par le projet de décret en Conseil d'Etat portant spécifiquement sur ce point, la durée de conservation des données a été fixée à cinquante ans, à compter de la dématérialisation, ou jusqu'à l'âge de la retraite augmentée de six ans. Le responsable de traitement a fait part de ses difficultés à déterminer une durée de conservation et a finalement adopté les deux durées observées sur le marché des offres de conservation des bulletins de paie dématérialisés, jugées suffisamment longues pour permettre une conservation des bulletins de paie couvrant la quasi-totalité des carrières professionnelles des personnes concernées.
La commission estime que les données collectées ne sont pas conservées sous une forme permettant l'identification des personnes concernées, pendant une durée excédant la durée nécessaire aux finalités du traitement.
Sur les destinataires des données :
Sont habilités à accéder aux données, dans les limites strictement nécessaires à l'exercice de leurs missions :
- les personnels de la Caisse des dépôts et consignations chargés de la mise en œuvre du traitement, pour la gestion du CPA ;
- les agents des organismes de conseil en évolution professionnelle, avec le consentement des titulaires et uniquement pour les données relatives à l'utilisation des services en ligne mentionnés à l'article L. 5151-6-11 du code du travail ;
- les agents de la direction de l'animation, de la recherche, des études et des statistiques (DARES) relevant du ministère chargé de l'emploi et organismes qu'elle mandate à des fins de statistiques ;
- les agents de la délégation générale à l'emploi et à la formation professionnelle (DGEFP) ;
- les agents de la direction générale du travail (DGT) ;
- les agents de la direction de la sécurité sociale (DSS) ;
- les agents de la direction de la jeunesse, de l'éducation populaire et de la vie associative (DJEPVA) ;
- les autres titulaires du compte, dans le cadre des échanges entre titulaires, permis par le CPA.
Interrogé sur la justification de permettre l'accès aux donnèes à la DGEFP, la DGT, la DSS et la DJEPVA, le responsable de traitement a indiqué que ces directions pouvaient avoir besoin d'y accéder de manière ponctuelle, lorsque la situation d'un individu en cas d'anomalie dans l'alimentation du CPF (DGEFP), du C3P (DGT et DSS) ou du CEG (DJEPVA). L'accès aux données relatives à l'utilisation du CPA leur est également nécessaire pour obtenir des indicateurs de gestion et/ou des indicateurs pour l'amélioration de la connaissance des effets des politiques publiques.
La commission recommande que, par souci de transparence, le projet de décret soit complété pour y faire apparaître ces compléments d'information. Elle recommande également que le projet de décret distingue clairement les destinataires ayant accès à des données personnelles de ceux ayant accès à des données anonymisées.
La commission prend acte du fait que les organismes proposant les services en ligne ne disposeront que d'informations librement renseignées et rendues accessibles dans un espace délimité (le portfolio), par les titulaires de compte, pour recevoir les offres de services exclusivement. Les organismes, via le CPA, n'ont communication ni du NIR des personnes ni de donnée relative à leur identité.
S'agissant de la possibilité d'utiliser des services tiers et de partager tout ou partie des données stockées dans les espaces personnels avec d'autres utilisateurs, la commission relève que cette possibilité est ouverte au titulaire s'il y consent et dans la limite des finalités énumérées ci-dessus. La commission rappelle l'importance pour les usagers du CPA de garder la maîtrise des usages qui sont faits de leurs données.
Elle recommande au responsable de traitement de rappeler, dans le projet de décret, que seul le titulaire du compte peut décider de partager ou non ses informations avec les autres titulaires et qu'à tout moment, il peut décider de cesser le partage d'informations, aussi bien avec les titulaires de compte qu'avec les organismes tiers fournissant les services en ligne.
La commission prend acte du fait que les informations, par défaut, ne sont pas rendues visibles ni aux organismes tiers proposant les services, ni aux autres titulaires de compte.
Sous ces réserves, la commission estime que ces destinataires présentent un intérêt légitime à accéder aux données du présent traitement, dans la limite de leurs attributions et sous réserve que les données effectivement accessibles présentent un lien direct et nécessaire avec leurs fonctions.
Sur les organismes proposant les services en ligne :
La commission note que les organismes tiers fournissant les services en ligne sont sélectionnés sur appels d'offre.
Ces organismes sont susceptibles d'avoir accès aux données à caractère personnel présentes sur le compte, dans le cadre de la fourniture de leurs services via le CPA. Considérés alors comme responsables de traitements pour leurs propres traitements, ils devront réaliser les formalités déclaratives adéquates.
La commission prend acte de ce que le projet de décret relatif à la mise en œuvre du CPA a vocation à constituer un acte réglementaire unique auquel les organismes pourront effectuer un engagement de conformité.
Elle relève également que Je projet d'acte réglementaire limite les catégories de données auxquelles les organismes tiers peuvent avoir accès. En effet, parmi les informations pouvant être renseignées par le titulaire du compte dans son portfolio, peut figurer l'existence d'un handicap éventuel, mais les organismes proposant les services en ligne n'ont pas accès à cette information. La commission en prend acte en relevant néanmoins que l'information, expurgée de tous détails relatifs à la nature ou à l'origine du handicap, pourrait, le cas échéant, constituer une information pertinente dans le cadre de certains services, dès lors que cela peut avoir une incidence sur le type de missions ou d'emplois qui peuvent être proposés à la personne.
De même, la commission prend acte du fait que l'accès à certaines informations relatives aux activités bénévoles est limité lorsque celles-ci sont de nature à faire apparaître, directement ou indirectement, des données sensibles au sens de l'article 8 de la loi du 6 janvier 1978 modifiée.
Enfin, la commission souligne qu'un arrêté ministériel sera pris pour préciser les conditions techniques d'accès aux données, par les organismes tiers, et qu'à cette occasion, elle sera saisie d'une demande d'avis.
Sur l'information des personnes :
Les personnes bénéficient d'une information sur la mise en œuvre du CPA au moyen d'une mention d'information, conforme à l'article 32 de la loi du 6 janvier 1978 modifiée, présente dans le CPA. La commission est informée du fait que l'espace public du portail CPA, accessible à tous sur Internet, comporte un certain nombre d'informations d'ordre général relatives au CPA, à son fonctionnement et à son utilisation.
La commission considère que ces modalités d'information sont satisfaisantes.
Sur les droits d'accès, de rectification et d'opposition des personnes :
Les personnes sont informées de ce que leurs droits d'accès et de rectification, prévus aux articles 39 et 40, s'exercent auprès de la CDC.
En revanche, le droit d'opposition est écarté par l'acte réglementaire dans le cadre du présent traitement, conformément aux dispositions de l'article 38-111.
Sur la sécurité des données et la traçabilité des actions :
La commission rappelle tout d'abord que le traitement étant un téléservice d'une autorité administrative au sens de l'ordonnance no 2005-1516 du 8 décembre 2005 susvisée, il doit être conforme au référentiel général de sécurité (RGS) prévu par le décret no 2010-112 du 2 février 2010 susvisé. Elle rappelle qu'il revient au responsable de traitement d'attester formellement de la sécurité de celui-ci au travers d'une homologation RGS et d'en publier l'attestation d'homologation sur le site du téléservice. La commission recommande également qu'une étude d'impact sur la vie privée (PIA) soit réalisée concernant la protection de ces données.
La commission observe que les échanges de données sont réalisés via des canaux de communication chiffrés et assurant l'authentification de la source et de la destination. L'accès au téléservice est sécurisé au moyen du protocole HTIPS. Concernant le recours à ce protocole, la commission recommande d'utiliser la version de TLS la plus à jour possible. Elle prend note que des profils d'habilitation sont prévus afin de gérer les accès aux données.
Le traitement étant hébergé et géré par la CDC au même titre que la CPF, la commission recommande que des mesures soient prévues pour assurer le cloisonnement entre ces traitements. La commission recommande également que les bases de données et leurs sauvegardes soient chiffrées. Elle appelle également à la mise en place d'une architecture de journalisation permettant de conserver, sur une durée de six mois (hors contraintes légales spécifiques), une trace des événements de sécurité et du moment où ils ont eu lieu, en choisissant les événements à journaliser en fonction du contexte, des supports (postes de travail, pare-feu, équipements réseau, serveurs…), des risques et du cadre légal.
La commission relève que l'accès au téléservice est sécurisé par la mise en œuvre d'une authentification réalisée soit par l'intermédiaire du dispositif FranceConnect, soit par l'intermédiaire de mots de passe dont la complexité est conforme aux préconisations de la commission.
Elle observe que le téléservice propose à l'usager, lorsque ce dernier ne dispose pas déjà d'un compte CPF, d'un moyen d'inscription fondé sur la communication du patronyme et du NIR. Elle appelle à ce que le responsable de traitement prenne des mesures organisationnelles en conséquence afin de limiter les cas d'usurpation d'identité à la première connexion.
Enfin, elle rappelle que l'anonymisation des données qui seront mises à disposition sous la forme de données ouvertes doit être effective. Il conviendra donc de démontrer la conformité de la solution et des techniques d'anonymisation mises en œuvre, aux trois critères définis par l'avis du G 29 n° 05/2014, et de la transmettre à la commission. A défaut, si ces trois critères ne peuvent être réunis, une étude des risques de ré identification doit être menée et, en fonction du droit national, être soumise à l'autorité de protection des données compétente pour valider, ou non, le processus d'anonymisation proposé. Cette étude consistera à démontrer que les risques, liés à la publication du jeu de données anonymes, n'ont pas d'impact sur la vie privée et les libertés des personnes concernées.