La Commission nationale de l'informatique et des libertés,

Saisie par le ministère du travail, de l'emploi et de la santé d'une demande d'avis portant sur un projet d'arrêté relatif à la création d'un téléservice de l'administration, dénommé « service dématérialisé de l'alternance », ayant pour finalité de faciliter la conclusion et la gestion des contrats en alternance ;

Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 2011-893 du 28 juillet 2011 pour le développement de l'alternance et la sécurisation des parcours professionnels et, notamment son article 4 prévoyant la création d'un service dématérialisé de l'alternance ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-II (4°) ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;

Vu le projet d'arrêté du ministre du travail, de l'emploi et de la santé et de la ministre auprès de ce dernier chargée de l'apprentissage et de la formation professionnelle portant autorisation de traitements automatisés de données à caractère personnel relatives au service dématérialisé de l'alternance mis à la disposition des usagers ;

Vu le dossier et ses compléments ;

Sur la proposition de M. Emmanuel de Givry, commissaire, et après avoir entendu les observations de Mme Elisabeth Rolin, commissaire du Gouvernement,

Emet l'avis suivant :

Sur le fondement de l'article 27-II (4°) de la loi du 6 janvier 1978 modifiée, la Commission nationale de l'informatique et des libertés a été saisie pour avis par le ministère du travail, de l'emploi et de la santé d'un projet d'arrêté portant création d'un téléservice de l'administration, dénommé « service dématérialisé de l'alternance » ayant pour finalité de faciliter la conclusion et la gestion des contrats en alternance.

Sur la finalité du traitement :

La mise en œuvre du « service dématérialisé de l'alternance » a notamment pour objectif d'apporter une réponse aux difficultés rencontrées dans la gestion des formations en alternance et, plus particulièrement, des délais de traitement trop longs et une double saisie des données à caractère personnel transmises à ce jour en format papier par voie postale.

Le projet d'arrêté examiné par la commission prévoit d'autoriser la mise en œuvre, par la délégation générale à l'emploi et à la formation professionnelle (DGEFP), d'un téléservice de l'administration dénommé « service dématérialisé de l'alternance ».

L'article 1er du projet d'arrêté prévoit que ce téléservice vise à mettre à la disposition des entreprises et des particuliers un ensemble de services destinés à :

― faciliter la conclusion des contrats en alternance ;

― améliorer la qualité du service rendu aux usagers ;

― faciliter le traitement et la prise en charge des contrats par les organismes concernés ;

― faciliter l'élaboration des traitements de données statistiques anonymes ;

― mettre en cohérence les réseaux d'information existants ;

― faciliter le traitement des versements des aides à l'alternance.

Plus précisément, le « service dématérialisé de l'alternance » doit permettre de délivrer des informations quant à l'alternance et aux droits et obligations en découlant, de simuler des revenus, d'enregistrer les demandes dématérialisées de personnes souhaitant conclure un contrat en alternance, de suivre l'instruction d'une demande ainsi que la décision administrative associée et, enfin, d'assurer des liaisons dématérialisées entre l'administration et ses partenaires par l'intermédiaire d'interconnexions de fichiers.

S'agissant de ces interconnexions, la commission observe qu'il est envisagé d'interconnecter des fichiers de la DGEFP avec ceux de l'Agence centrale des organismes de sécurité sociale (ACOSS) pour calculer des cotisations et des aides dues aux employeurs, d'une part, ainsi que des fichiers de la DGEFP avec ceux de la caisse nationale d'assurance vieillesse (CNAV), pour enregistrer et valider les périodes travaillées des alternants, d'autre part.

La commission relève qu'il est également prévu d'interconnecter des fichiers de la DGEFP avec ceux de l'Association générale des institutions de retraite des cadres (AGIRC) et de l'Association pour le régime de retraite complémentaire des salariés (ARCCO), afin d'enregistrer et valider les périodes travaillées des alternants.

Ces interconnexions de fichiers permettront, en outre, de remonter vers les alternants une information complète sur leurs droits à la retraite, tant pour le régime général que pour le régime complémentaire.

La commission observe que les finalités des fichiers interconnectés, qui relèvent de plusieurs personnes morales gérant un service public, ne correspondent pas à des intérêts publics différents au sens de l'article 25-I (5°) de la loi du 6 janvier 1978 modifiée.

La commission considère que les finalités poursuivies par la mise en œuvre du téléservice dénommé « service dématérialisé de l'alternance » sont déterminées, explicites et légitimes.

Sur les données à caractère personnel traitées :

L'article 2 du projet d'arrêté précise les données à caractère personnel traitées. Il s'agit plus précisément :

S'agissant des employeurs :

― de données d'identification (nom, prénom, adresse, téléphone, fax et adresse électronique) ;

― de données relatives à la vie professionnelle (dénomination, numéro de SIRET, code APE et/ou code NAF, secteur d'activité, activité principale, effectifs, régime social de l'entreprise, convention collective applicable) ;

S'agissant des bénéficiaires des contrats d'apprentissage et de professionnalisation :

― de données d'identification (nom, prénom, adresse, téléphone, sexe, nationalité, date et lieu de naissance, numéro d'inscription sur la liste des demandeurs d'emploi, numéro d'inscription des personnes au répertoire national d'identification des personnes physiques) ;

― de données relatives à la vie personnelle (le cas échéant : nom, prénom, adresse et qualité du tuteur ou du représentant légal) ;

― de données relatives à la vie professionnelle :

― intitulé de l'emploi occupé, date de début et de fin de contrat, durée hebdomadaire du travail, durée de la période d'essai, niveau et coefficient de qualification dans la convention collective, identité des signataires du contrat, date de dépôt et d'enregistrement du contrat, date de la prise de décision de l'organisme instructeur, date d'archivage du contrat, information sur l'ouverture de droits au versement des aides ou décisions d'attribution ;

― nom et adresse de la caisse de retraite et de l'organisme paritaire collecteur agréé (OPCA) ;

― dernière classe fréquentée, intitulé du diplôme le plus élevé, niveau de formation actuel, situation avant l'entrée en contrat, niveau du diplôme préparé, diplôme ou titre préparé et spécialité ;

― le cas échéant : reconnaissance de la qualification de travailleur handicapé, autorisation de travail sur des machines dangereuses ou d'exposition à des risques particuliers ;

― durée des actions de formation d'enseignement ou d'évaluation, nom et adresse du centre de formation, nom prénom qualification et expérience professionnelle du maître d'apprentissage ou du tuteur) ;

― de données relatives à la situation économique et financière (coordonnées bancaires, salaire mensuel à l'embauche, salaire mensuel pendant la période du contrat, montant des avantages en nature éventuels) ;

S'agissant du traitement du numéro d'inscription des personnes au répertoire national d'identification des personnes physiques (NIR), la commission prend acte que cette donnée sera uniquement utilisée pour sécuriser les échanges électroniques et les rapprochements de données réalisés entre la DGEFP, d'une part, et les organismes de sécurité sociale et de retraite concernés (ACOSS, CNAV, AGIRC, ARCCO), d'autre part.

A la lecture de l'article 4 du projet d'arrêté, la commission relève en effet que le NIR ne peut être utilisé, dans un premier temps, que pour transmettre par flux électronique des informations relatives aux contrats en alternance à des organismes autorisés à traiter le NIR à des fins d'identification des personnes dans le cadre d'une mission de sécurité sociale et de retraite et, dans un second temps, pour sécuriser la procédure de rapprochement des données qualifiées reçues de ces organismes.

La commission prend acte que les autres destinataires des données du « service dématérialisé de l'alternance », mentionnés à l'article 5 du projet d'arrêté ne seront pas destinataires du NIR des alternants.

La commission considère que la collecte et le traitement des données mentionnées à l'article 2 du projet d'arrêté sont légitimes, pertinents et non excessifs au regard des finalités poursuivies.

Sur les destinataires :

L'article 5 du projet d'arrêté précise les destinataires habilités à recevoir communication des données traitées par l'intermédiaire du « service dématérialisé de l'alternance ».

Plus précisément, ces données seront accessibles, chacun pour ce qui le concerne :

― aux organismes gestionnaires des branches du régime général de la sécurité sociale ;

― aux chambres consulaires ;

― aux organismes paritaires collecteurs agréés (OPCA) ;

― aux organismes de formation ;

― aux centres de formation des apprentis ;

― aux directions régionales des entreprises, de la concurrence, de la consommation, du travail et de l'emploi (DIRECCTE) et à leurs unités territoriales ;

― à la délégation générale à l'emploi et à la formation professionnelle ;

― à la direction de l'animation de la recherche, des études et des statistiques (DARES).

La commission considère que ces destinataires ont un intérêt légitime à accéder aux données du téléservice dénommé « service dématérialisé de l'alternance ».

Sur les durées de conservation des données :

L'article 6 du projet d'arrêté précise que les données à caractère personnel sont conservées sur le site dématérialisé de l'alternance pendant la durée nécessaire à l'instruction complète du dossier, dans la limite de dix ans à compter de la fin du contrat.

La commission observe que cet article précise également que les données sont conservées par la DARES « en mode anonyme ou en mode individualisé le temps nécessaire à la constitution des panels d'enquêtes réalisées au titre de ses missions d'évaluation des politiques de l'emploi et de formation professionnelle ».

Enfin, la commission relève que l'article 3 du projet d'arrêté précise que les comptes créés en ligne, après l'envoi d'un message d'avertissement au titulaire du compte, sont révoqués un an après la fin du contrat concerné si aucune connexion en mode authentifié n'est effectuée sur le portail de l'alternance.

La commission considère que ces durées de conservation n'excèdent pas celles qui sont nécessaires à l'accomplissement des finalités poursuivies.

Sur l'information des personnes concernées et les droits d'accès et de rectification :

L'article 7 du projet d'arrêté mentionne que les droits d'accès et de rectification, prévus par les articles 39 et 40 de la loi du 6 janvier 1978 modifiée, s'exercent auprès du ministère du travail, de l'emploi et de la santé par courrier postal (7, square Max-Hymans, 75741 Paris Cedex 15) ou par courrier électronique.

La commission relève, par ailleurs, que la demande d'avis présentée par le ministère du travail, de l'emploi et de la santé indique que l'information des personnes concernées sera assurée par une mention sur le site internet du ministère.

La commission considère que les mesures prévues au titre de l'information des personnes sont satisfaisantes.

Sur les mesures de sécurité :

La commission observe que l'authentification des utilisateurs est assurée au moyen de mots de passe alphanumériques. Elle rappelle, à ce titre, que des mots de passe doivent être régulièrement renouvelés, comporter au minimum huit caractères et comprendre au moins une lettre, un chiffre et un caractère spécial.

La commission prend acte, par ailleurs, que des profils d'habilitation définissant les fonctions ou les types d'informations accessibles à un utilisateur ont été définis.

Elle relève également qu'une fonctionnalité de journalisation des opérations de consultation, création, mise à jour et suppression a été définie.

La commission note enfin que les échanges de données entre les différents acteurs sont réalisés au moyen de canaux sécurisés et, notamment, que les données transmises sont chiffrées. Elle prend également acte que les numéros de sécurité sociale font l'objet d'un chiffrement en base.

Ces mesures de sécurité apparaissent satisfaisantes à la commission.

Pour la présidente :

Le vice-président délégué,

E. de Givry