| N° de demande d’avis : 24016024. | Thématiques : France Travail, réseau pour l’emploi, accompagnement des demandeurs d’emploi, NIR. |
| Organisme(s) à l’origine de la saisine : ministère du travail et de l’emploi. | Fondement de la saisine : article 8. I. 4°.a de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés. |
L’essentiel :
1. Au regard des conditions de saisine et notamment des délais laissés pour son analyse, l’avis de la CNIL et l’absence d’observation de sa part sur certaines dispositions du projet de décret, ne sauraient préjuger de la licéité de l’ensemble des traitements concernés.
2. La CNIL s’inquiète de ce que l’ouverture massive de nouveaux accès au système d’information de France Travail, dans des délais extrêmement contraints, ne soit pas accompagnée par des mesures de sécurité adaptées aux risques, en particulier à court terme. Au regard des violations massives de données ayant récemment affecté certains organismes du secteur social, la CNIL invite le ministère à exiger la mise en œuvre de mesures de sécurité effectives pour l’ensemble des structures du réseau pour l’emploi avant toute mise à disposition de nouveaux outils donnant accès au SI-FT.
3. La CNIL appelle à mieux préciser dans le décret les cas d’utilisation du NIR par France travail. Si cette utilisation peut notamment être admise pour sécuriser l’identification des demandeurs d’emploi, elle ne doit pas conduire à faire du NIR un identifiant général pour les demandeurs d’emploi et leur foyer. La CNIL prend acte de l’engagement du ministère que ce ne sera pas le cas et que le décret sera précisé.
4. Les traitements impliquent la collecte à grande échelle de données particulièrement nombreuses, parmi lesquelles des données relevant de catégories particulières de données : des données dites sensibles (celles relatives notamment à la santé), des « données relatives à des condamnations pénales, infractions ou mesures de sûreté connexes », ainsi qu’à des données dites « hautement personnelles » (données bancaires). Le responsable de traitement devra veiller à collecter et traiter ces données avec la plus grande précaution et en apportant des garanties particulières.
5. Pour chacun des traitements encadrés par le projet de décret, la CNIL recommande au ministère, d’une part, de s’assurer du caractère nécessaire des données collectées au regard des finalités poursuivies et, d’autre part, de distinguer les catégories de données nécessaires pour chacune des finalités poursuivies.
6. La CNIL s’interroge également sur le caractère proportionné des durées de conservation pour chacune des données collectées au regard des nombreuses finalités poursuivies et invite le ministère à clarifier ce point. Il revient par ailleurs au ministère de préciser, pour chacun des traitements et finalités, les destinataires des données nécessaires pour l’exercice de leurs missions.
7. La CNIL observe que le traitement concerne des personnes vulnérables mineures et en situation de handicap. A cet égard, conformément à l’article 12 du RGPD, la délivrance de l’information doit être adaptée aux situations des personnes concernées.
La Commission nationale de l’informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (« loi informatique et libertés »), notamment son article 8. I. 4°.a ;
Vu la loi n° 2023-1196 du 18 décembre 2023 pour le plein emploi, notamment ses articles 1er et 6 ;
Après avoir entendu le rapport de M. Philippe Latombe, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :
I. – La saisine
A. – Le contexte
La loi n° 2023-1196 du 18 décembre 2023 pour le plein emploi présente quatre axes principaux :
1. La transformation du service public de l’emploi par une organisation rénovée et une coopération renforcée en créant un « réseau pour l’emploi » composé de l’ensemble des acteurs du champ de l’emploi et de l’insertion, dont le cercle principal comprend l’Etat, les régions, les départements, les communes et groupements de communes, l’opérateur France Travail (FT), les missions locales pour l’insertion professionnelle et sociale des jeunes (missions locales) et les Cap emploi.
Une partie des dispositions de la loi, qui prévoyaient un partage obligatoire des données des bénéficiaires du revenu de solidarité active (RSA), de la prime d’activité (PA) et de l’allocation aux adultes handicapés (AAH), notamment de nature médicale, à un nombre très important d’acteurs publics et privés, a été censurée par le Conseil constitutionnel au motif qu’elles ne présentaient pas suffisamment de garanties et portaient ainsi atteinte à la vie privée des personnes concernées. Aussi, à ce stade, le partage est limité au cercle principal du réseau, mais le gouvernement prévoit d’y ajouter d’autres acteurs ;
2. La refonte du processus d’accompagnement des demandeurs d’emploi :
– d’une part, en inscrivant automatiquement certaines catégories de personnes sur la liste des demandeurs d’emploi, notamment les demandeurs du RSA et les bénéficiaires d’un accompagnement pour l’insertion professionnelle et sociale des jeunes ;
– d’autre part, en les orientant, sur la base de critères nationaux, vers un organisme référent chargé du suivi de leur accompagnement. Un contrat d’engagement, fixe leurs objectifs d’insertion sociale et professionnelle et le niveau d’accompagnement requis. En cas de non-respect de ces engagements, la loi prévoit des sanctions graduées allant de la suspension temporaire des aides à leur suppression partielle ou totale ;
3. Le renforcement des réponses aux besoins des employeurs ;
4. La transformation de Pôle emploi en opérateur FT en renforçant ses missions propres, mais surtout en lui confiant des missions « pour compte commun » afin de permettre la mise en œuvre des missions du réseau pour l’emploi et la coopération renforcée de ses membres.
Les membres du réseau pour l’emploi, énumérés par l’article L. 5311-7 du code du travail (CT), disposant chacun de compétences spécifiques dans l’accompagnement des usagers, sont :
– les présidents des conseils départementaux (CD) : dans les départements de La Réunion, Guyane et Mayotte, ces compétences ont été transférées à France Travail, qui les délègue par convention aux caisses (CAF et caisse gestionnaire du régime des prestations familiales à Mayotte), les régions, les communes et les groupements de communes ;
– France Travail : qui dispose de missions propres (article L. 5312-1, I°, du CT) et de missions dites « pour compte commun » (article L. 5312-1, II°, du CT) ;
– les missions locales : pour les jeunes de seize à vingt-cinq ans ;
– les Cap emploi : pour les travailleurs handicapés ;
– la Caisse nationale d’allocations familiales (CNAF) et la Caisse centrale de la mutualité sociale agricole (CCMSA) (ci-après « les caisses »).
La mise en œuvre de la réforme implique le recueil et le partage des données à caractère personnel des usagers concernés, mais aussi de leur conjoint, concubin, ou partenaire par lequel ils sont liés par un pacte civil de solidarité (ci-après « leur conjoint ») et parfois des membres de leur foyer (enfants ou personnes à charge de moins de 25 ans, au sens de l’article R. 262-3 du CASF), entre autres aux acteurs précités et par le biais de différents flux.
B. – L’objet de la saisine
Le projet de décret en Conseil d’Etat porte sur six traitements de données à caractère personnel :
– le recueil et la transmission aux CD et à FT par la CNAF et la CCMSA de données relatives à une demande de RSA et de PA, ci-après « T1 – RSA et PA » (articles R. 262-102 à R. 262-110 du code de l’action sociale et des familles [CASF]), placé sous la responsabilité de la CNAF et de la CCMSA ;
– la transmission par les présidents des CD à FT des données relatives aux bénéficiaires du RSA et à leurs conjoints, aux CNAF et CCMSA des données relatives aux décisions de sanction et de radiation qu’ils prononcent ainsi qu’aux Comités national et territoriaux pour l’emploi des données relatives aux décisions d’orientations des bénéficiaires et aux critères sur lesquels ils se fondent, ci-après « T2 – bRSA » (articles R. 262-111 à R. 262-116-6 du CASF), placé sous la responsabilité des CD.
S’agissant des traitements « T1 – RSA et PA » et « T2 – bRSA », les échanges de données effectués avec les CD en droit commun sont effectués sur les départements de la Guyane, La Réunion et Mayotte par les caisses, sur délégation de France Travail (CAF et caisse gestionnaire du régime des prestations familiales à Mayotte) ;
– les transmissions à FT par la CNAF et la CCMSA de données relatives aux bénéficiaires du RSA, de la PA et de l’allocation aux adultes handicapés (AAH), ainsi qu’à leurs conjoints et aux autres membres du foyer, ci-après « T3 – bRSA, PA et AAH » (articles R. 5312-32 à R. 5312-37 du CT), placé sous la responsabilité de la CNAF et de la CCMSA ;
– le système d’information France Travail, ci-après « T4 – SI-FT » (articles R. 5312-38 à R. 5312-45 du CT), placé sous la responsabilité de FT, et dans certains cas qui seront déterminés par arrêté du ministre chargé de l’emploi, en co-responsabilité avec d’autres organismes (par exemple les Cap emploi) ;
– le système d’information relatif à l’activité partielle, ci-après « T5 – SI-APART » (articles R. 5122-20 à R. 5122-25 du CT), placé sous la responsabilité de l’Agence de services et de paiement (ASP) ;
– la plateforme de l’inclusion, ci-après « T6 – plateforme de l’inclusion » (articles R. 5132-1-19 à R. 5132-1-23 du CT), placé sous la responsabilité du groupement d’intérêt public dénommé « Plateforme de l’inclusion ».
Ces traitements de données concernent au moins 6 millions de personnes (il existe environ 3 millions de bénéficiaires du RSA et 5 millions de demandeurs d’emploi, mais une partie des demandeurs d’emploi touche le RSA).
II. – L’avis de la CNIL
A. – Remarques générales
1. Sur les conditions de saisine
La CNIL a été saisie par le ministère du travail et de l’emploi le 31 octobre 2024 pour avis sur un projet de décret en Conseil d’Etat, avec invocation du délai d’urgence d’un mois. Le 14 novembre 2024, le ministère a transmis une saisine rectificative afin principalement de compléter de dispositions d’application à l’outre-mer et d’ajustements rédactionnels. Les éléments d’instruction, transmis au fil de l’eau, totalisent plus de mille pages de documents.
La CNIL regrette fortement qu’une unique saisine couvre un projet d’une telle envergure, impliquant de multiples traitements de données à caractère personnel concernant plusieurs millions de personnes, qui plus est dans le cadre d’une procédure d’urgence. Ces conditions ne lui permettent pas d’instruire correctement les projets de textes adressés.
Aussi le présent avis de la CNIL et l’absence d’observation de sa part sur certaines dispositions du projet de décret ne sauraient préjuger de la licéité de l’ensemble des traitements concernés.
Compte tenu des conditions de saisine, la CNIL invite le ministère à revenir vers elle aux fins de poursuivre les échanges sur la mise en conformité des différents traitements.
2. Sur la gestion des identités et des habilitations des accédants
La mise en œuvre des traitements précités nécessite l’exposition de services donnant accès au système d’information de France Travail (SI-FT) aux partenaires du réseau pour l’emploi. L’accès à ces services peut se faire par le biais d’un portail, dit « MonPortailPro », d’une application partenaire ou d’interfaces de programmation applicative (API). La gestion des comptes et des habilitations des utilisateurs appartenant aux différentes structures du réseau pour l’emploi sera assurée par des responsables de gestion de compte (RGC), après signature de conventions entre France Travail et chacune des structures concernées.
L’article R. 5312-42-1, VI, du projet de décret prévoit que ces conventions doivent notamment contenir les conditions de délivrance, de durée et de renouvellement des habilitations d’accès au SI-FT, le périmètre d’accès aux données mises à disposition dans le cadre des services dématérialisés, et les garanties de sécurité et de confidentialité apportées par l’organisme.
Au regard des violations massives de données ayant récemment affecté certaines structures du réseau pour l’emploi, la CNIL regrette de ne pas avoir été consultée en amont de cette saisine, par exemple, sur une convention-cadre contenant les exigences minimales de sécurité qui seront exigées des partenaires de FT.
Les documents transmis à la CNIL permettent de dégager certaines mesures de sécurité considérées comme « cible à atteindre » par FT pour la création de compte, l’authentification et la gestion des habilitations des utilisateurs du réseau pour l’emploi accédant aux services mis en œuvre :
– tous les accès aux outils et API seront réalisés via une authentification multifacteur. L’obtention d’une dérogation à ce mode d’authentification, par exemple auprès du support technique téléphonique, ne sera plus possible à partir du 1er janvier 2025 ;
– un responsable de gestion de compte (RGC), désigné au sein de chaque structure partenaire, habilite individuellement les utilisateurs des outils en leur attribuant uniquement les droits nécessaires (principe de moindre privilège). Il s’occupe également d’informer les utilisateurs concernant les règles de sécurité et de confidentialité à respecter ;
– une revue des habilitations des utilisateurs est effectuée chaque trimestre ;
– l’ensemble des requêtes donnant accès à une ressource du SI-FT permet l’identification par FT du conseiller à l’origine de la requête, de sa structure de rattachement, de ses habilitations et, le cas échéant, de l’écosystème du demandeur d’emploi concerné.
La CNIL estime que ces exigences cibles de sécurité sont appropriées et de nature à limiter les risques d’accès illégitime à des données à caractère personnel et d’usurpation d’identité d’un conseiller. Ces mesures doivent notamment permettre la détection automatique par FT de certains incidents de sécurité. Néanmoins, la CNIL s’inquiète de leur mise en œuvre effective par les partenaires du réseau pour l’emploi.
En effet, il apparait que des dérogations à ces exigences de sécurité seront accordées dès la mise en œuvre des traitements concernés, avec notamment :
– le recours à des systèmes d’authentification qui ne reposent pas sur des facteurs d’authentification distincts (inhérence, connaissance, possession) et ne constituent donc pas une authentification multifacteur ;
– l’abaissement de la fréquence des revues d’habilitations à une par an ;
– l’existence de requêtes ne permettant pas l’identification et l’authentification par FT des utilisateurs qui en sont à l’origine, abaissant significativement l’efficacité de certaines règles de détection permettant la levée d’alertes en cas de comportements suspects, ainsi que la traçabilité.
Dès lors, la CNIL invite le ministère à exiger la mise en œuvre des mesures de sécurité mentionnées ci-dessus pour l’ensemble des structures du réseau pour l’emploi avant toute mise à disposition des nouveaux outils concernés donnant accès au SI-FT.
3. Sur la sensibilité des données collectées
a) Sur l’utilisation du NIR :
Malgré la rédaction actuelle du projet de décret, le ministère précise que le NIR ne sera pas utilisé comme identifiant général des demandeurs d’emploi de leur conjoint et des membres de leur foyer, mais seulement dans un but de fiabilisation des données d’identité des demandeurs d’emploi, préalablement à l’attribution d’un numéro d’identification par FT. Aussi, il est indiqué que ce numéro d’identification attribué par FT sera utilisé comme identifiant unique pour chaque demandeur d’emploi.
La CNIL prend acte des précisions du ministère s’agissant de la limitation de l’utilisation du NIR. Elle estime possible l’utilisation du NIR pour fiabiliser la base de données mais invite le ministère à mieux circonscrire, dans le décret, son utilisation à cette finalité et ce, dans le respect des conditions dans lesquelles peuvent être mis en œuvre les traitements de données à caractère personnel reposant sur la collecte du NIR, compte tenu des spécificités de ce numéro et de son caractère signifiant.
Par ailleurs, l’article 7 du projet de décret prévoit la modification du décret du 19 avril 2019 afin de permettre aux membres du réseau pour l’emploi de traiter et partager le NIR dans le cadre de la mise en œuvre des missions mentionnées à l’article L. 5311-8 du code du travail, notamment :
– la mise en œuvre des procédures et des critères communs d’orientation des demandeurs d’emploi ou rencontrant des difficultés sociales et professionnelles ;
– la mise en œuvre d’un socle commun de services au bénéfice des personnes et des employeurs ainsi que des méthodologies et des référentiels établis par les Comités national et territoriaux ;
– la participation à l’élaboration d’indicateurs communs de suivi, de pilotage et d’évaluation des actions ;
– la mise en œuvre de l’interopérabilité des systèmes d’information avec le SI-FT, lorsque celle-ci est nécessaires aux missions précitées ;
– l’organisation de la participation des bénéficiaires des services à la définition et à l’évaluation des actions du réseau pour l’emploi.
La CNIL observe que l’usage du NIR n’apparait pas toujours nécessaire pour atteindre ces objectifs et que sa collecte dans de telles circonstances apparait disproportionnée. Aussi, elle prend acte de l’engagement du ministère de modifier le projet de décret afin de préciser et de limiter les finalités pour lesquelles le NIR sera collecté.
b) Sur la collecte de données sensibles :
Les traitements impliquent la collecte à grande échelle de données particulièrement nombreuses, parmi lesquelles des données relevant de catégories particulières de données : des données dites sensibles (notamment relatives à la santé), des « données relatives à des condamnations pénales, infractions ou mesures de sûreté connexes », ainsi qu’à des données dites « hautement personnelles ».
A ce titre, le projet d’article R. 5312-42 dispose que seront notamment collectées les données relatives à « la situation familiale y compris la présence d’un enfant en situation de handicap ou des problèmes de santé d’un enfant, l’état de santé… ». Il prévoit également que sera collecté pour certaines finalités spécifiques de l’opérateur FT « le type et l’origine du handicap ».
Aussi, en raison de l’extrême sensibilité de ces traitements, elle invite le ministère à collecter et traiter ces données avec la plus grande précaution et en fournissant des garanties particulières. Le traitement des données sensibles, sur le fondement du b ou du g du 2 de l’article 9 du RGPD, nécessite notamment de prendre des mesures de sécurité renforcées, de sensibilisation des agents accédant à ces données, d’habilitations strictes et de rendre impossible toute recherche réalisée spécifiquement à partir de requêtes portant sur ces données. La CNIL appelle également à ce que le traitement de données relevant de l’article 46 de la LIL restent strictement dans le cadre des dérogations ouvertes par cet article, s’agissant notamment des personnes autorisées à en connaître.
4. Sur l’information et les droits des personnes
Le projet de décret prévoit que l’information des personnes concernées est assurée, selon les traitements, par la CNAF et la CCMSA ou par FT, notamment par l’intermédiaire de leurs sites web et lors du dépôt de demande d’allocation.
Au regard du public concerné incluant des mineurs et des personnes en situation de handicap, la délivrance de l’information devra être adaptée conformément à l’article 12 du RGPD, notamment via la mise à disposition d’une mention d’information au format « Facile à lire et à comprendre » (FALC).
En plus d’une information écrite, la CNIL rappelle qu’une information orale des personnes concernées délivrée par les organismes référents est recommandée, afin de s’assurer de la bonne compréhension des informations communiquées
Ces mentions d’information devront être accessibles et mises à jour afin de prendre en compte l’évolution des cadres juridiques du traitement.
Sur l’exercice des droits des personnes, le projet de décret écarte expressément pour chacun des traitements l’exercice du droit d’opposition en application de l’article 56 de la loi du 6 janvier 1978 modifiée.
Or, les traitements sont fondés sur des bases légales distinctes, telles que les missions d’intérêt public poursuivies par les responsables de traitement, l’obligation légale de traitement de données résultant notamment de formalités obligatoires et, de façon résiduelle, le consentement.
Dès lors, la CNIL s’interroge sur une limitation aussi générale du droit d’opposition.
La CNIL rappelle, d’une part, que, pour pouvoir apporter valablement des limitations au droit d’opposition des personnes, la mesure normative prise à cet effet doit contenir certaines « dispositions spécifiques » minimales énumérées à l’article 23.2 du RGPD et, d’autre part, que l’article 56 de la loi énonce qu’une telle exclusion doit être prévue par « une disposition expresse de l’acte instaurant le traitement ».
La CNIL invite en conséquence le ministère à compléter le projet de décret afin de satisfaire entièrement aux exigences de ces articles.
5. Sur les mesures de sécurité
Le texte conduit à une extension des traitements de données opérés par FT et ses partenaires, en particulier du nombre d’entités accédant aux données des demandeurs d’emploi. Cette extension accroît les risques de sécurité auxquels les traitements sont exposés. La CNIL s’inquiète de ce que l’ouverture massive d’accès aux partenaires de FT, dans des délais extrêmement contraints, ne soit pas accompagnée par des mesures de sécurité adaptées aux risques, en particulier à court terme (voir notamment ci-avant la section sur la gestion des identités et des habilitations des accédants).
En effet, les acteurs et systèmes d’information sur lesquels reposent les traitements considérés ont vocation à entrer dans le champ de la directive (UE) 2022/2555 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (directive NIS 2), dont la transposition doit intervenir prochainement. Dans cette perspective, les systèmes d’information de France Travail, en particulier, ont vocation à faire l’objet d’exigences de sécurité accrues qui s’étendront au moins en partie aux différentes entités accédant à ces systèmes.
Si la CNIL relève qu’une démarche d’homologation et plan d’action de sécurisation des traitements sont initiés, elle regrette que ce plan d’action ne précise pas de calendrier prévisionnel au-delà du 1er trimestre 2025, particulièrement concernant les partenaires réalisant certaines opérations de contrôle essentielles au sein de leur propre système d’information, par exemple l’authentification des utilisateurs ou la gestion des périmètres d’accès.
Des mesures de sécurité techniques et organisationnelles doivent être mises en œuvre, tant pour les utilisateurs des applications du réseau pour l’emploi accédant aux services mis en œuvre que pour des acteurs avec un profil technique (administrateur, RGC, consultant, infogérant, etc.). La CNIL invite le ministère à faire aboutir ces travaux de sécurisation avec toutes les parties prenantes avant la mise en œuvre effective des nouveaux traitements concernés. Elle souligne notamment l’importance de mettre en place des actions de formation et de sensibilisation au sein de l’ensemble des entités accédant aux données.
Elle invite également l’ensemble des parties prenantes à tirer parti des recommandations que l’ANSSI a formulées afin d’aider les organismes à remédier aux insuffisances de sécurité constatées lors de la gestion des récents incidents qui ont affecté les entités du secteur social, afin de limiter la probabilité de survenance d’incidents de grande ampleur similaires.
Les exigences de sécurité, prévues par les articles 5.1.f et 32 du RGPD, nécessitent la mise à jour régulière de l’analyse d’impact relative à la protection des données (AIPD) et de ses mesures de sécurité au regard de la réévaluation régulière des risques et au fur et à fur mesure de la mise en œuvre des plans d’action de sécurisation des SI.
B. – Remarques spécifiques
1. Sur le traitement « T1 – RSA et PA » :
Il ressort du II du projet d’article R. 262-102 du CASF que le traitement poursuit plusieurs finalités, notamment :
– le recueil et la transmission aux CD par les CNAF et CCMSA des demandes de RSA ;
– l’instruction des demandes de RSA et l’examen du droit à la prime d’activité, conformément à l’article L. 843-1 du code de la sécurité sociale ;
– l’attribution par les caisses d’assurance maladie assurant la prise en charge des frais de santé du demandeur, sauf en cas de refus de celui-ci, de la protection complémentaire en matière de santé pour les demandeurs dont les ressources sont présumées ne pas excéder le montant forfaitaire prévu à l’article L. 262-2 du code de l’action sociale et des familles ;
– le recueil et la transmission à FT des données nécessaires pour l’inscription automatique du demandeur du RSA ainsi que de son conjoint solidarité sur la liste des demandeurs d’emploi ;
– la communication à FT des données nécessaires à l’identification par FT de l’organisme compétent pour prononcer l’orientation du demandeur d’emploi.
Le projet d’article R. 262-103 énumère les données qui devront être collectées dans le cadre du présent traitement, sans pour autant justifier dans quelles mesures elles sont nécessaires aux finalités poursuivies.
Conformément au principe de minimisation, la CNIL recommande au ministère, d’une part, de s’assurer du caractère nécessaire des données collectées au regard des finalités poursuivies et, d’autre part, de distinguer les catégories de données nécessaires pour chacune des finalités poursuivies.
2. Sur le traitement « T2 – bRSA » :
a) Sur les données collectées :
Il ressort du II du projet d’article R. 262-111 du CASF que le traitement poursuit plusieurs finalités, notamment la transmission de données à FT, aux CAF et CCMSA et aux comités national et territoriaux pour l’emploi dans le cadre des missions exercées par chacun de ces acteurs.
Le projet d’article R. 262-112 énumère les données qui devront être collectées dans le cadre du présent traitement, sans pour autant justifier dans quelle mesure elles sont nécessaires aux finalités poursuivies.
La CNIL prend acte de l’engagement du ministère modifier le projet de décret afin de supprimer ces transmissions mentionnées au 4° et 5° du II du R. 262-11 du CASF, ce flux étant couvert par les dispositions propres du SI FT.
La CNIL s’interroge notamment sur la nécessité pour les comités national et départementaux pour l’emploi d’être destinataires de données relatives aux décisions d’orientations des bénéficiaires du RSA et de leur conjoint au regard des missions qu’ils poursuivent en vertu des articles L. 5311-09 et 5311-10 du code du travail.
Conformément au principe de minimisation, la CNIL recommande au ministère d’une part, de s’assurer du caractère nécessaire des données collectées au regard des finalités poursuivies et, d’autre part, de distinguer les catégories de données nécessaires pour chacune des finalités poursuivies.
b) Sur les durées de conservation :
Le projet d’article R. 262-113 du CASF renvoie pour les durées de conservation des données susmentionnées à celles retenues pour le SI-FT.
Compte tenu des conditions de saisines sus exposées, la CNIL n’est pas en mesure de se prononcer sur le caractère adapté des différentes durées de conservation. Elle observe cependant que le traitement présente plusieurs dizaines de finalités. En conséquence la CNIL invite le ministère à distinguer clairement les durées de conservation en fonction de chacune de ces finalités.
c) Sur les destinataires :
Le projet d’article R. 262-114 mentionne comme seuls destinataires des données les agents de FT désignés et habilités par l’autorité responsable de cet organisme, lorsque les données sont nécessaires à l’exercice de leurs missions.
Le ministère précise que seul FT est destinataire de ce traitement et s’engage à clarifier en ce sens les dispositions projetées.
Au regard des finalités poursuivies cependant, la CNIL invite le ministère de prévoir également comme destinataires les comités national et territoriaux pour l’emploi lorsque l’accès aux données est nécessaire pour l’exercice de leurs missions.
Aussi, la CNIL prend acte des engagements de modifier le projet d’article relatif aux destinataires du SI de FT afin de prévoir ces destinataires de données. Il s’engage également à préciser que les données qui leur seront transmises ne permettront pas de réidentifier les personnes concernées.
3. Sur le traitement « T3 – RSA, PA et AAH »
a) Sur la base légale :
Le projet d’article R. 5312-32 du CT indique que les caisses sont responsables du traitement ; or il se fonde sur les nécessitées liées à la fois à l’exercice des missions d’intérêt public de FT ainsi que sur l’exécution des obligations légales auxquelles il est assujetti.
La CNIL rappelle, en application de l’article 6.1.e du RGPD, que l’intérêt public mobilisé doit être celui du responsable du traitement et invite le ministère à mobiliser une différente base légale.
b) Sur les données collectées :
Le projet d’article R. 5312-34 du CT prévoit la suppression des données relatives aux allocataires bénéficiaires du RSA, de la PA et de l’AAH qui ne sont pas demandeurs d’emploi, conjoint ou membre du foyer d’un demandeur d’emploi – et qui ne sont donc pas concernés par les finalités du présent traitement – dans un délai d’un mois. Cela signifie que les données de l’ensemble des bénéficiaires de ces allocations (RSA, PA et AAH) qu’ils soient ou pas demandeurs d’emploi, conjoints ou membres du foyer, sont transmises à FT afin que ce dernier puisse effectuer un tri.
Bien que les données ne soient pas intégrées dans les bases informatiques de FT mais sauvegardées sous forme de fichier brut, cette transmission constitue bien un traitement de données à caractère personnel. Or, conformément au principe de minimisation des données (article 5 du RGPD), seules les données strictement nécessaires pour atteindre la finalité poursuivie doivent être traitées. Aussi, la CNIL considère que la transmission de l’ensemble des données des allocataires est disproportionnée.
La CNIL prend acte des engagements du ministère en ce sens s’agissant de la transmission dans un premier temps des seules données permettant d’identifier si un bénéficiaire est également demandeur d’emploi, et dans un second temps, en cas de confirmation, de la transmission de l’ensemble des données.
S’agissant des nombreuses données, particulièrement sensibles, qui sont uniquement nécessaires à la personnalisation des sanctions en fonction de la situation de la personne, la CNIL estime que ces données ne doivent être collectés que pour les seules personnes faisant l’objet d’une sanction et non pour l’ensemble des demandeurs d’emploi qui pour la plupart ne feront jamais l’objet d’une telle procédure.
Par conséquent, elle invite le ministère à prévoir une interrogation des bases de données des caisses afin de ne cibler que les données nécessaires relatives au demandeur d’emploi concerné par la proposition de sanction.
4. Sur le traitement « T4 – SI-FT »
a) Sur les finalités :
Le projet d’article R. 5312-38 du CT prévoit notamment une finalité de prévention et de lutte contre la fraude. La détection de la fraude par FT, portant notamment sur les allocations chômage, repose a priori principalement sur l’exploitation de signalements et de données obtenues par le biais de croisements permettant de faire émerger des facteurs de risque.
La CNIL ne dispose pas de tous les éléments nécessaires pour se prononcer sur ce sujet sur lequel elle est particulièrement attentive. Elle s’interroge néanmoins sur la proportionnalité de l’utilisation de nouvelles catégories de données collectées – notamment sur les conjoints et membres du foyer – dans le cadre de l’identification de facteurs de risques associés à une demandeur afin de déterminer l’opportunité de réaliser un contrôle.
b) Sur les données collectées :
Le projet d’article R. 5312-42-1, III, prévoit un accès par catégories de public suivi sans toutefois limiter les catégories de données nécessaires aux missions des accédants concernant ses personnes.
Par ailleurs, le projet d’article R. 5312-42-1 du CT prévoit une fonction de recherche nationale, permettant à l’ensemble des acteurs cités dans le II° du même article d’accéder aux données d’identification et de contact des demandeurs d’emploi, ainsi que leur organisme référent, sur l’ensemble du territoire national, sur la base de l’utilisation du NIR. La CNIL renvoie sur ce point aux observations effectuées précédemment quant à l’élargissement important de son utilisation.
La CNIL invite le responsable du traitement à prévoir les mesures de sécurité appropriées afin de contrôler les accès à ces données pour prévenir les accès illégitimes, et d’alerter, le cas échéant (voir ci-avant la section concernant la gestion des identités et des habilitations des accédants).
c) Sur les durées de conservation :
Le projet d’article 5312-44 du CT prévoit une durée de conservation des données de 10 ans en base active à compter de la cessation d’inscription sur la liste des demandeurs d’emploi sans dépasser une durée totale de 20 ans.
La CNIL s’interroge sur le caractère proportionné d’une telle durée pour chacune des données collectées au regard des nombreuses finalités poursuivies.
Le projet de décret prévoit par ailleurs que les données techniques et de traçabilité seront conservées durant 6 mois, conformément aux recommandations de la CNIL en matière de journalisation.
La CNIL invite le responsable du traitement SI-FT à prévoir un regroupement des données de traçabilité dans un système dédié et sécurisé facilitant la détection, notamment automatique, des comportements suspects et incidents de sécurité avant l’expiration de cette durée de conservation.