Saisie par le ministère du travail, de l'emploi, de la formation professionnelle et du dialogue social d'une demande d'avis concernant un projet décret portant création d'un téléservice de l'administration électronique ;
Vu la Convention n° 103 du Conseil de l'Europe pour la protection des personnes l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu le code du travail, notamment ses articles L. 5122-1 et suivants ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-II (4°) ;
Vu la loi n° 2013-504 du 14 janvier 2013 relative à la sécurisation de l'emploi, notamment son article 18 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 8 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Sur la proposition de M. Emmanuel de GIVRY, commissaire, et après avoir entendu M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
Sur le fondement de l'article 27-II (4°) de la loi du 8 janvier 1978 modifiée, la Commission nationale de l'informatique et des libertés a été saisie pour avis par le ministère du travail, de l'emploi, de la formation professionnelle et du dialogue social d'un projet de décret portant création, car l'Agence de services et de paiement, d'un téléservice de l'administration électronique visent à dématérialiser et simplifier la procédure de demande d'activité partielle et le versement des indemnisations correspondantes.

Sur la finalité du traitement

La mise en œuvre du téléserservice précité vise à permettre aux entreprises de réaliser de façon dématérialisée leurs demandes d'autorisation de placement en position, d'activité partielle de salariés et d'obtenir, le cas échéant, le paiement des indemnisations correspondantes.
La commission prend acte que les objectifs poursuivis par ce téléservice consistent notamment à simplifier les démarches administratives, à réduire les délais de traitement, à accroitre la fiabilité des données ainsi qu'à faciliter le pilotage du dispositif.
L'article 1er du projet de décret examiné par la commission précise que l'Agence de services et de paiement est autorisée à créer un traitement de données caractère personnel ayant pour finalité :
« 1° La gestion, le contrôle et le suivi des demandes préalables d'autorisation de placement d'activité partielle de salariés et les demandes d'indemnisation ;
2° Le calcul et le paiement de l'allocation d'activité partielle versée à l'établissement ;
3° L'élaboration de données statistiques et financières anonymisées ».
Le commission considère que ces finalités sont déterminées, explicites et légitimes.
Sur la nature des données traitées :
Le projet (le décret examiné par la commission mentionne les catégories de données collectées et traitées par l'Agence de services et de paiement, à savoir :

1° En cas de paiement de l'allocation de l'activité partielle à l'établissement :
- le nom d'usage et le prénom ;
- le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques ;
- la catégorie socioprofessionnelle ;

2° En cas de paiement direct aux salariés de l'allocation d'activité partielle :
- le nom d'usage, le nom de naissance, le prénom, la civilité, la date de naissance ; la commune de naissance, le code INSEE de la commune de naissance,

- le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques ;
- l'adresse, le code postal et la ville de résidence ;
- les coordonnées bancaires.
S'agissant de l'utilisation : du numéro d'inscription des personnes au répertoire national d'identification des personnes physiques, la commission prend acte que cette donnée sera utilisée pour s'assurer de l'identité des demandeurs d'une indemnisation et du respect des conditions légales justifiant son versement.
La commission considère que la collecte et le traitement des données visées ci-dessus sont pertinentes, adéquates et non excessives au regard des finalités poursuivies.
La commission relève néanmoins la collecte d'une catégorie de données non mentionne par le projet de décret, à savoir des identifiants de connexion. Il lui apparaît, dès lors, que le projet de décret devrait âtre complété à ce titre.

Sur la durée de conservation des données

Le projet de décret précise que les données à caractère personnel traitées par l'Agence de services et de paiement ne sont pas conservées au-delà du temps nécessaires pour :
- gérer, contrôler et suivre les demandes préalables d'autorisation de placement en position d'activité partielle de salariés et les demandes d'indemnisation ;
- calculer et payer les allocations d'activité partielle ;
- établir des données statistiques et financières anonymisées.

La commission prend acte que les données seront effectivement conservées par l'Agence de services et de paiement pendant cinq ans.
Le projet de décret précise, par ailleurs, que les données nécessaires à la gestion d'un contentieux relatif à une demande d'indemnisation seront conservées jusqu'au prononcé d'une décision de justice devenue définitive.
La commission considère que ces durées de conservation n'excèdent pas celles qui sont nécessaires à l'accomplissement des finalités poursuivies.
Elle estime néanmoins que le projet de décret devrait être complété pour y mentionner la durée de conservation des identifiants de connexion, à savoir un an.

Sur les destinataires des données

Le projet de décret précise que les données du présent traitement, à l'exception du numéro d'inscription des personnes au répertoire national d'identification des personnes physiques et pour les seules nécessités liées à leurs attributions respectives, sont communiquées aux agents habilités :

- de la délégation générale, à l'emploi et à la formation professionnelle ;
- de l'organisme gestionnaire du régime d'assurance chômage ;

- des services déconcentrés du ministère du travail.

Le projet de décret précise également que les agents des services statistiques du ministère chargé de l'emploi désignés et habilités par leur autorité responsable sont destinataires des données du présent traitement, à l'exception des noms de famille, des noms marital et des numéros d'inscription des personnes au répertoire national d'identification des personnes physiques, et ce, uniquement pour élaborer des données statistiques financières anonymisées.
La commission considère que ces destinataires présentent un intérêt légitime à connaître des données qui leur sont communiquées.

Sur l'information des personnes

La commission relève que la demande d'avis présentée par le ministère du travail, de l'emploi, de la formation professionnelle et du dialogue social mentionne que les personnes concernées par le présent traitement seront informées, conformément à l'article 32 de la loi du 6 janvier 1978 modifiée, par des mentions légales sur formulaire, une mention au le site internet du ministère, ainsi que par les conditions générales d'utilisation du téléservice.
La commission considère que les mesures prévues au titre de l'information des personnes sont satisfaisantes.
Sur les droits d'accès, de rectification et d'opposition des personnes :
Le projet de décret prévoit que les droits d'accès et de rectification, prévus per les articles 39 et 40 de la loi du 6 janvier 1978 modifiée, s'exercent directement auprès de l'Agence de services et de paiement par courrier postal ou par courrier électroniques.
La commission relève que le projet de décret n'écarte pas expressément l'application du droit d'opposition pour motif légitime.
Les dispositions du projet de décret relatives aux droits d'accès, de rectification et d'opposition pour motif légitime n'appellent pas d'observation de la part de. la commission.

Sur la sécurité des données et la traçabilité des actions

La commission observe que l'authentification des utilisateurs est assurée au moyen de mot de passe alphanumériques. Elle rappelle, à ce titre, que des mots de passe doivent être régulièrernent renouvelés, comporter au minimum huit caractères et comprendre au moins une lettre, un chiffre et un caractère spécial. La commission rappelle également que les mots de passe des administrateurs doivent compter au minimum dix caractères.
La commission rappelle que la transmission d'identifiants et de mot de passe par courrier électronique n'est pas de nature à en assurer pas la confidentialité. Elle recommande, par conséquent, que les mots de passe communiqués de cette façon soient obligatoirement modifias par les usagers à l'occasion de leur première connexion au service.
La commission prend acte que des profils d'habilitation définissant les fonctions ou les types d'informations accessibles à un utilisateur ont été définis dans le cadre du présent traitement.
Elle relève qu'une fonctionnalité de journalisation des opérations de consultation, création, mise à jour et suppression a été définie.
La commission observe enfin que les échanges de données sont réalisés au moyen de canaux sécurisés notamment, que les données transmises sont chiffrées.