JORF n°0182 du 8 août 2014

DÉLIBÉRATION n°2012-265 du 19 juillet 2012

La Commission nationale de l'informatique et des libertés,

Saisie par le ministère du travail, de l'emploi, de la formation professionnelle et du dialogue social d'une demande d'avis concernant un projet d'arrêté relatif à la mise en oeuvre d'un téléservice de l'administration dénommé « ma démarche Fonds social européen » ;

Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu le règlement (CE) n° 1081/2006 du Parlement européen et du Conseil du 5 juillet 2006 modifié relatif au Fonds social européen, et abrogeant le règlement (CE) n° 1784/1999 ;

Vu le règlement (CE) n° 1083/2006 du Conseil du 11 juillet 2006 modifié portant dispositions générales sur le Fonds social européen de développement régional, le Fonds social européen et le Fonds de cohésion, et abrogeant le règlement (CE) n° 1260/1999 ;

Vu le règlement (CE) n° 1828/2006 de la Commission du 8 décembre 2006 modifié établissant les modalités d'exécution du règlement (CE) n° 1083/2006 du Conseil portant dispositions générales sur le Fonds européen de développement régional, le Fonds social européen et le Fonds de cohésion, et du règlement (CE) n° 1080/2006 du Parlement européen et du Conseil relatif au Fonds européen de développement régional ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-11 (4°) ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu le décret n° 2007-1303 du 3 septembre 2007 modifié fixant les règles nationales d'éligibilité des dépenses des programmes cofinancés par les fonds structurels pour la période 2007-2013 ;

Vu le dossier et ses compléments ;

Sur la proposition de M. Emmanuel de GIVRY, commissaire, et après avoir entendu Mme Elisabeth ROLIN, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
Sur le fondement de l'article 27-11 (4°) de la loi du 6 janvier 1978 modifiée, la Commission nationale de l'informatique et des libertés a été saisie pour avis par le ministère du travail, de l'emploi, de la formation professionnelle et du dialogue social d'un projet d'arrêté portant création d'un téléservice de l'administration dénommé « ma démarche Fonds social européen (FSE) ».
Sur la finalité du traitement :
Le téléservice « ma démarche FSE » vise à dématérialiser le dépôt, la recevabilité et l'instruction des demandes de financement FSE, d'une part, ainsi que le dépôt des bilans d'exécution, leur recevabilité et les rapports de contrôle de service fait pour une remontée fiabilisée des données à la Commission européenne, d'autre part.

L'article 1er du projet d'arrêté étudié par la commission mentionne que le téléservice « ma démarche FSE » poursuit les finalités suivantes :
- « faciliter l'accès et simplifier la gestion du Fonds social européen (FSE) en France ;
- améliorer la qualité du service rendu aux usagers ;
- faciliter le traitement et la prise en charge des demandes et des réalisations par les services gestionnaires concernés ;
- faciliter l'élaboration des traitements de données des demandes de subvention ;
- mettre en cohérence les réseaux d'information déjà existants ;
- faciliter les contrôles croisés entre les Fonds européens conformément à la réglementation communautaire ».

La Commission considère que ces finalités sont déterminées, explicites et légitimes.
Sur la nature des données traitées :
Les données à caractère personnel collectées par l'intermédiaire du téléservice « ma démarche FSE » concernent les membres des structures ayant conclu une convention avec le FSE et sont relatives :

- à l'identification des personnes physiques ;
- à la vie professionnelle ;
- à des informations d'ordre économique et financier ;
- au numéro d'inscription des personnes au répertoire national des personnes physiques (NIR).

S'agissant du NIR, la commission prend acte que cette donnée peut figurer de façon incidente sur des documents que le porteur de projet transmet au service gestionnaire en qualité de pièces justificatives. Elle relève toutefois que cette donnée n'est pas saisie en tant que telle dans le téléservice « ma démarche FSE » et ne peut être utilisée comme un critère de requête. Les NIR collectés ne sont pas transmis à des organismes tiers, ni exploités, ni utilisés à titre d'identifiant.
La commission considère que la collecte et le traitement des données à caractère personnel mentionnées à l'article 2 du projet d'arrêté sont légitimes, pertinents et non excessifs au regard des finalités poursuivies.
Sur la durée de conservation des données :
Le programme national FSE de la politique de cohésion de l'Union européenne est programmé pour sept ans. Sa clôture intervient au mieux deux ans après la fin de la période de programmation et la Commission européenne est en mesure de réaliser des contrôles pendant dix ans à compter de la clôture du programme.
Les données à caractère personnel sont ainsi conservées pendant dix-neuf ans, notamment pour permettre la réalisation de contrôles relatifs à l'utilisation des fonds alloués par le FSE.
La commission considère que cette durée de conservation n'excède pas celle qui est nécessaire à l'accomplissement des finalités poursuivies.
Sur les destinataires des données :
Les données à caractère personnel traitées seront accessibles au personnel habilité des gestionnaires du Fonds social européen (autorités de gestion, autorités de gestion déléguées et organismes intermédiaires), d'une part, et celui des autorités et services chargés de contrôler la bonne utilisation du Fonds social au niveau national et au niveau communautaire, d'autre part.
La commission considère que ces destinataires ont un intérêt légitime à accéder aux données du téléservice dénommé « ma démarche FSE ».
Sur l'information des personnes :
Les personnes physiques concernées sont informées des éléments mentionnés à l'article 32 de la loi du 6 janvier 1978 modifiée par une mention sur le site internet du téléservice.
La commission considère que les mesures prévues au titre de l'information des personnes physiques sont satisfaisantes.
Sur les droits d'accès, de rectification et d'opposition des personnes :
Les droits d'accès, de rectification et d'opposition s'exercent auprès des gestionnaires du Fonds social européen (autorités de gestion, autorités de gestion déléguées et organismes intermédiaires).
La commission considère que les droits d'accès, de rectification et d'opposition sont mis en œuvre conformément aux dispositions de la loi du 6 janvier 1978 modifiée.
Sur la sécurité des données et la traçabilité des actions :
La commission rappelle que le téléservice « ma démarche FSE » doit se conformer au référentiel général de sécurité (RGS). Elle prend acte que le responsable de traitement, dans sa démarche de conformité au RGS, a réalisé une analyse des risques présentés par le traitement et mis en œuvre des mesures permettant de traiter les risques considérés comme étant inacceptables. La commission considère que cette démarche permet de s'assurer que les mesures de sécurité mises en place seront proportionnées aux risques identifiés. Elle rappelle néanmoins que, pour être conforme à l'article 34 de la loi du 6 janvier 1978 modifiée, ce type d'analyse doit prendre explicitement en compte les risques qui portent sur les personnes physiques concernées par le traitement. La commission rappelle enfin que l'homologation du téléservice au RGS doit être prononcée par l'autorité administrative, d'une part, et que cette décision d'homologation doit être accessible à partir de la page de connexion au téléservice, d'autre part.
Concernant les modalités d'authentification des utilisateurs, la commission relève que ses recommandations ont été mises en œuvre par le ministère.
Concernant les mesures de traçabilité, un journal des connexions à l'application permettra de détecter d'éventuelles tentatives d'intrusions. Par ailleurs, un journal des accès aux données permettra de tracer l'ensemble des opérations de création ou de modification de données. Ces journaux seront conservés pendant six mois conformément aux recommandations de la commission.
Concernant les supports de stockage usagés, la commission observe que ces derniers seront détruits par des prestataires spécialisés.
Concernant la transmission de données à caractère personnel par internet, la commission observe que les données transmises seront chiffrées au moyen du protocole « https » qui permet de garantir la confidentialité des données. La commission rappelle que cette mesure doit être revue régulièrement afin de rester à l'état de l'art.
Les autres mesures de sécurité n'appellent pas d'observation de la part de la commission.

1 version

Pour la présidente :

Le vice-président délégué,

E. de Givry