Retour à la section

DÉLIBÉRATION n°2015-226 du 9 juillet 2015

JORF n°0230 du 4 octobre 2015

La Commission nationale de l'informatique et des libertés,
Saisie par le ministre du travail, de l'emploi, de la formation professionnelle et du dialogue social d'une demande d'avis concernant un projet de décret en Conseil d'Etat relatif à la création de traitements de données à caractère personnel ayant pour finalité la gestion des comptes personnels de formation,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment le 1° du I de son article 27 ;
Vu la loi n° 2014-288 du 5 mars 2014 relative à la formation professionnelle, à l'emploi et à la démocratie sociale ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2014-1717 du 30 décembre 2014 portant création d'un traitement automatisé de données à caractère personnel dénommé « Système d'information du compte personnel de formation » relatif à la gestion des droits inscrits ou mentionnés au compte personnel de formation ;
Après avoir entendu M. Eric PERES, commissaire, en son rapport et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
Le 23 octobre 2014, la commission a rendu un avis sur un projet de décret portant création par le ministère du travail, de l'emploi, de la formation professionnelle et du dialogue social d'un traitement automatisé de données à caractère personnel, dénommé « Système d'information du compte personnel de formation », relatif à la gestion des droits inscrits ou mentionnés au compte personnel de formation.
La commission a été par la suite saisie par le ministre du travail, de l'emploi, de la formation professionnelle et du dialogue social d'une demande d'avis concernant un projet de décret en Conseil d'Etat relatif à la création, par certains des acteurs de la formation professionnelle, de traitements nécessaires à la mise en œuvre des comptes personnels de formation et à la connexion au « Système d'information du compte personnel de formation ».
Dans la mesure où ces traitements portent sur des données parmi lesquelles figurent des numéros d'inscription des personnes au répertoire national d'identification des personnes physiques, il y a lieu de faire application des dispositions du 1° du I de l'article 27 de la loi du 6 janvier 1978 modifiée qui prévoient que ce type de traitement doit être autorisé par décret en Conseil d'Etat pris après avis motivé et publié de la commission.
Il est prévu que le projet de décret soumis pour avis à la commission constitue un acte réglementaire unique, au sens des dispositions du IV de l'article 26 de la loi du 6 janvier 1978 modifiée, permettant la déclaration de plusieurs traitements. En vertu de ces dispositions, les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires peuvent en effet être autorisés par un acte réglementaire unique.
La mise en œuvre de chaque traitement utilisé par les acteurs de la formation professionnelle visé par le II de l'article 1er du projet de décret soumis à la commission devra être précédée d'un engagement de conformité faisant référence au présent décret, comme le prévoit l'article 7 de ce dernier.
Afin de permettre à la commission d'exercer un contrôle a priori sur ces traitements sensibles, ces engagements devront comporter un dossier technique décrivant le traitement mis en œuvre ainsi que les mesures de sécurité physique et logicielle dont il est assorti, conformément à l'article 7 précité.
Sur la finalité du traitement :
Le projet de décret soumis pour avis à la commission concerne les organismes paritaires collecteurs agréés, les organismes paritaires agréés au titre du congé individuel de formation, les régions ainsi que les opérateurs de conseil en orientation professionnelle qu'elles désignent en application de l'article L. 6111-6 du code du travail, Pôle emploi, le fonds de développement pour l'insertion professionnelle des handicapés, l'Association pour l'emploi des cadres, les missions locales ainsi que les permanences d'accueil, d'information et d'orientation et, enfin, l'Agence des services et de paiement.
Aux termes de l'article 1er de ce projet de décret, ces organismes sont autorisés à créer au sein de leurs services les traitements nécessaires à la mise en œuvre des comptes personnels de formation et à la connexion au « Système d'information du compte personnel de formation », créé par le ministère du travail, de l'emploi, de la formation professionnelle et du dialogue social et mis en œuvre par la Caisse des dépôts et consignations, en application du décret n° 2014-1717 du 30 décembre 2014.
La commission considère que ces finalités sont déterminées, explicites et légitimes.
Sur la nature des données traitées :
L'article 2 du projet de décret soumis à la commission prévoit la possibilité de collecter et de traiter les données énumérées par l'article R. 6323-15 du code du travail, soit des données relatives :

  1. Aux informations personnelles du titulaire du compte :

- numéro d'inscription au répertoire national d'identification des personnes physiques (NIR ou numéro de sécurité sociale) ;
- date de création dans le référentiel CPF ;
- sexe ;
- civilité ;
- nom patronymique, usuel, marital, prénoms ;
- date et lieu de naissance ;
- indication de notion de personnes ayant un handicap ;
- adresses personnelles en France et à l'étranger ;
- adresse de son lieu de travail ;
- téléphone(s) et adresse électronique ;
- date et caractère certifié ou présumé du décès.

  1. Aux données correspondantes aux comptes d'heures :

- heures acquises au titre du droit individuel à la formation ;
- heures inscrites sur le compte personnel de formation ;
- informations sur la nature des droits : période d'activité et d'inactivité (avec le motif de l'inactivité), date prises en compte ;
- numéro SIRET de l'employeur ;
- code profession ;
- temps de travail ;
- taux de temps de travail ;
- rémunération du titulaire.

  1. Aux données des dossiers de formation :

- formations éligibles ;
- historique des opérations effectuées sur le CPF ;
- champs de saisie de commentaires par le titulaire ;
- titre de la formation ;
- intitulé complet de la formation ;
- date d'accord du titulaire pour la mobilisation de ses heures CPF ;
- numéro SIRET de l'organisme de formation ;
- raison sociale de l'organisme de formation ;
- durée totale de la formation en heures prévue/durée totale effectuée ;
- coût total de la formation en euros prévue/coût total final ;
- date de la formation ;
- objectif de la formation ;
- niveau/titre le plus élevé obtenu par le stagiaire ;
- statut du stagiaire ;
- catégorie socioprofessionnelle du stagiaire ;
- si stagiaire salarié : numéro SIRET, raison sociale et adresse de l'employeur, URSSAF, code APE/NAF, effectif employeur, OPCA de l'entreprise, code IDCC/CCN, imputation ;
- rémunération possible sur les 0,2 % ;
- formation « présentielle » ou à distance ;
- certification partielle ;
- formation interne/externe ;
- contenu de la formation ;
- rythme de la formation ;
- contact formation ;
- parcours de formation ;
- niveau d'entrée obligatoire ;
- code niveau entrée ;
- conditions spécifiques ;
- prise en charge des frais possible ;
- modalité entrée-sortie ;
- lieu de formation ;
- adresse inscription ;
- coordonnées organisme ;
- contact organisme ;
- renseignement spécifique ;
- code public visé ;
- financement :
- solde des droits acquis au titre du compte personnel de formation disponible en heures ;
- solde du droit individuel à la formation en heures ;
- droits acquis en heures au titre du compte personnel de formation mobilisés pour la formation ;
- heures du droit individuel à la formation mobilisées pour la formation ;
- coût de la formation en euros, pour les frais pédagogiques, annexes, et montant de la rémunération prise en charge ;
- pour les financements complémentaires, par financeur, et par type de financeur, nom de l'organisme financeur, nombre d'heures financées, montant financé en euros, commentaire.

  1. Aux données des passeports d'orientation, de formation et de compétences :

- études et formations suivies ;
- diplômes et certifications obtenues ;
- qualifications détenues et exercées ;
- expérience professionnelle ;
- aptitudes et compétences ;
- permis de conduire ;
- langues étrangères ;
- assermentations.

  1. Aux données des annuaires techniques des gestionnaires des organismes :

- nom et prénom ;
- organisme employeur ;
- fonction ;
- unité d'appartenance ;
- téléphone et adresse électronique professionnels.

La commission considère que le traitement de l'ensemble de ces données est adéquat, pertinent et non excessif au regard des finalités poursuivies.
Sur la durée de conservation des données :
L'article 4 du projet de décret prévoit que les données précédemment visées peuvent être conservées au maximum un mois à l'issue des opérations requises pour la gestion des comptes personnels de formation.
La commission considère que cette durée de conservation n'excède pas celle qui est nécessaire à l'accomplissement des finalités poursuivies.
Sur les destinataires des données :
En application de l'article 3 du projet de décret examiné par la commission, seuls les employés et agents spécifiquement habilités à cet effet pourront accéder aux données.
La commission considère que ces personnes présentent un intérêt légitime à accéder aux données prévues par le projet de décret.
Sur l'information des personnes :
Les responsables de traitement, conformément aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée, procéderont à l'information des personnes concernées par affichage, par envoi ou remise d'un document, ou par tout autre moyen équivalent.
La commission considère que les mesures prévues au titre de l'information des personnes sont satisfaisantes.
Sur les droits d'accès, de rectification et d'opposition des personnes :
Le projet de décret prévoit que les droits d'accès et de rectification, prévus par les articles 39 et 40 de la loi du 6 janvier 1978 modifiée, s'exercent directement auprès du ou des service(s) que le responsable de traitement doit impérativement désigner.
Il écarte expressément l'application du droit d'opposition pour motif légitime, comme le dernier alinéa de l'article 38 de la loi du 6 janvier 1978 modifiée le permet.
Ces dispositions du projet de décret relatives aux droits d'accès, de rectification et d'opposition n'appellent pas d'observation de la part de la commission.
Sur la sécurité des données et la traçabilité des actions :
Tel que prévu par l'article 7 du projet de décret soumis à la commission, la mise en œuvre d'un traitement est subordonnée à l'envoi d'un engagement de conformité aux dispositions du décret adopté par le ministre, accompagné d'un dossier technique sommaire décrivant le traitement mis en œuvre, ainsi que les mesures de sécurité physique et logicielle dont il est assorti.
A cet égard, en application de l'article 34 de la loi du 6 janvier 1978 modifiée, la commission rappelle que le responsable d'un traitement de données à caractère personnel doit prendre toutes les précautions utiles au regard des risques présentés par le traitement pour préserver la sécurité des données à caractère personnel.
Il doit ainsi au moment de leur collecte, durant leur transmission et leur conservation, empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès.
Le responsable de traitement doit notamment s'assurer :

- que les utilisateurs s'authentifient avec un identifiant et un mot de passe respectant les recommandations de la CNIL, ou par tout autre moyen d'authentification apportant au moins le même niveau de sécurité ;
- qu'un mécanisme de gestion des habilitations permet de garantir que seules les personnes habilitées peuvent accéder aux données nécessaires à la réalisation de leurs missions ;
- que les mesures techniques adéquates garantissent la sécurité des données stockées ou échangées ;
- de la mise en place d'un mécanisme de journalisation des accès à l'application et des opérations.

La commission rappelle enfin que l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.

1 version

Historique des versions

Version 1

La Commission nationale de l'informatique et des libertés,

Saisie par le ministre du travail, de l'emploi, de la formation professionnelle et du dialogue social d'une demande d'avis concernant un projet de décret en Conseil d'Etat relatif à la création de traitements de données à caractère personnel ayant pour finalité la gestion des comptes personnels de formation,

Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment le 1° du I de son article 27 ;

Vu la loi n° 2014-288 du 5 mars 2014 relative à la formation professionnelle, à l'emploi et à la démocratie sociale ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu le décret n° 2014-1717 du 30 décembre 2014 portant création d'un traitement automatisé de données à caractère personnel dénommé « Système d'information du compte personnel de formation » relatif à la gestion des droits inscrits ou mentionnés au compte personnel de formation ;

Après avoir entendu M. Eric PERES, commissaire, en son rapport et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,

Emet l'avis suivant :

Le 23 octobre 2014, la commission a rendu un avis sur un projet de décret portant création par le ministère du travail, de l'emploi, de la formation professionnelle et du dialogue social d'un traitement automatisé de données à caractère personnel, dénommé « Système d'information du compte personnel de formation », relatif à la gestion des droits inscrits ou mentionnés au compte personnel de formation.

La commission a été par la suite saisie par le ministre du travail, de l'emploi, de la formation professionnelle et du dialogue social d'une demande d'avis concernant un projet de décret en Conseil d'Etat relatif à la création, par certains des acteurs de la formation professionnelle, de traitements nécessaires à la mise en œuvre des comptes personnels de formation et à la connexion au « Système d'information du compte personnel de formation ».

Dans la mesure où ces traitements portent sur des données parmi lesquelles figurent des numéros d'inscription des personnes au répertoire national d'identification des personnes physiques, il y a lieu de faire application des dispositions du 1° du I de l'article 27 de la loi du 6 janvier 1978 modifiée qui prévoient que ce type de traitement doit être autorisé par décret en Conseil d'Etat pris après avis motivé et publié de la commission.

Il est prévu que le projet de décret soumis pour avis à la commission constitue un acte réglementaire unique, au sens des dispositions du IV de l'article 26 de la loi du 6 janvier 1978 modifiée, permettant la déclaration de plusieurs traitements. En vertu de ces dispositions, les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires peuvent en effet être autorisés par un acte réglementaire unique.

La mise en œuvre de chaque traitement utilisé par les acteurs de la formation professionnelle visé par le II de l'article 1er du projet de décret soumis à la commission devra être précédée d'un engagement de conformité faisant référence au présent décret, comme le prévoit l'article 7 de ce dernier.

Afin de permettre à la commission d'exercer un contrôle a priori sur ces traitements sensibles, ces engagements devront comporter un dossier technique décrivant le traitement mis en œuvre ainsi que les mesures de sécurité physique et logicielle dont il est assorti, conformément à l'article 7 précité.

Sur la finalité du traitement :

Le projet de décret soumis pour avis à la commission concerne les organismes paritaires collecteurs agréés, les organismes paritaires agréés au titre du congé individuel de formation, les régions ainsi que les opérateurs de conseil en orientation professionnelle qu'elles désignent en application de l'article L. 6111-6 du code du travail, Pôle emploi, le fonds de développement pour l'insertion professionnelle des handicapés, l'Association pour l'emploi des cadres, les missions locales ainsi que les permanences d'accueil, d'information et d'orientation et, enfin, l'Agence des services et de paiement.

Aux termes de l'article 1er de ce projet de décret, ces organismes sont autorisés à créer au sein de leurs services les traitements nécessaires à la mise en œuvre des comptes personnels de formation et à la connexion au « Système d'information du compte personnel de formation », créé par le ministère du travail, de l'emploi, de la formation professionnelle et du dialogue social et mis en œuvre par la Caisse des dépôts et consignations, en application du décret n° 2014-1717 du 30 décembre 2014.

La commission considère que ces finalités sont déterminées, explicites et légitimes.

Sur la nature des données traitées :

L'article 2 du projet de décret soumis à la commission prévoit la possibilité de collecter et de traiter les données énumérées par l'article R. 6323-15 du code du travail, soit des données relatives :

1. Aux informations personnelles du titulaire du compte :

- numéro d'inscription au répertoire national d'identification des personnes physiques (NIR ou numéro de sécurité sociale) ;

- date de création dans le référentiel CPF ;

- sexe ;

- civilité ;

- nom patronymique, usuel, marital, prénoms ;

- date et lieu de naissance ;

- indication de notion de personnes ayant un handicap ;

- adresses personnelles en France et à l'étranger ;

- adresse de son lieu de travail ;

- téléphone(s) et adresse électronique ;

- date et caractère certifié ou présumé du décès.

2. Aux données correspondantes aux comptes d'heures :

- heures acquises au titre du droit individuel à la formation ;

- heures inscrites sur le compte personnel de formation ;

- informations sur la nature des droits : période d'activité et d'inactivité (avec le motif de l'inactivité), date prises en compte ;

- numéro SIRET de l'employeur ;

- code profession ;

- temps de travail ;

- taux de temps de travail ;

- rémunération du titulaire.

3. Aux données des dossiers de formation :

- formations éligibles ;

- historique des opérations effectuées sur le CPF ;

- champs de saisie de commentaires par le titulaire ;

- titre de la formation ;

- intitulé complet de la formation ;

- date d'accord du titulaire pour la mobilisation de ses heures CPF ;

- numéro SIRET de l'organisme de formation ;

- raison sociale de l'organisme de formation ;

- durée totale de la formation en heures prévue/durée totale effectuée ;

- coût total de la formation en euros prévue/coût total final ;

- date de la formation ;

- objectif de la formation ;

- niveau/titre le plus élevé obtenu par le stagiaire ;

- statut du stagiaire ;

- catégorie socioprofessionnelle du stagiaire ;

- si stagiaire salarié : numéro SIRET, raison sociale et adresse de l'employeur, URSSAF, code APE/NAF, effectif employeur, OPCA de l'entreprise, code IDCC/CCN, imputation ;

- rémunération possible sur les 0,2 % ;

- formation « présentielle » ou à distance ;

- certification partielle ;

- formation interne/externe ;

- contenu de la formation ;

- rythme de la formation ;

- contact formation ;

- parcours de formation ;

- niveau d'entrée obligatoire ;

- code niveau entrée ;

- conditions spécifiques ;

- prise en charge des frais possible ;

- modalité entrée-sortie ;

- lieu de formation ;

- adresse inscription ;

- coordonnées organisme ;

- contact organisme ;

- renseignement spécifique ;

- code public visé ;

- financement :

- solde des droits acquis au titre du compte personnel de formation disponible en heures ;

- solde du droit individuel à la formation en heures ;

- droits acquis en heures au titre du compte personnel de formation mobilisés pour la formation ;

- heures du droit individuel à la formation mobilisées pour la formation ;

- coût de la formation en euros, pour les frais pédagogiques, annexes, et montant de la rémunération prise en charge ;

- pour les financements complémentaires, par financeur, et par type de financeur, nom de l'organisme financeur, nombre d'heures financées, montant financé en euros, commentaire.

4. Aux données des passeports d'orientation, de formation et de compétences :

- études et formations suivies ;

- diplômes et certifications obtenues ;

- qualifications détenues et exercées ;

- expérience professionnelle ;

- aptitudes et compétences ;

- permis de conduire ;

- langues étrangères ;

- assermentations.

5. Aux données des annuaires techniques des gestionnaires des organismes :

- nom et prénom ;

- organisme employeur ;

- fonction ;

- unité d'appartenance ;

- téléphone et adresse électronique professionnels.

La commission considère que le traitement de l'ensemble de ces données est adéquat, pertinent et non excessif au regard des finalités poursuivies.

Sur la durée de conservation des données :

L'article 4 du projet de décret prévoit que les données précédemment visées peuvent être conservées au maximum un mois à l'issue des opérations requises pour la gestion des comptes personnels de formation.

La commission considère que cette durée de conservation n'excède pas celle qui est nécessaire à l'accomplissement des finalités poursuivies.

Sur les destinataires des données :

En application de l'article 3 du projet de décret examiné par la commission, seuls les employés et agents spécifiquement habilités à cet effet pourront accéder aux données.

La commission considère que ces personnes présentent un intérêt légitime à accéder aux données prévues par le projet de décret.

Sur l'information des personnes :

Les responsables de traitement, conformément aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée, procéderont à l'information des personnes concernées par affichage, par envoi ou remise d'un document, ou par tout autre moyen équivalent.

La commission considère que les mesures prévues au titre de l'information des personnes sont satisfaisantes.

Sur les droits d'accès, de rectification et d'opposition des personnes :

Le projet de décret prévoit que les droits d'accès et de rectification, prévus par les articles 39 et 40 de la loi du 6 janvier 1978 modifiée, s'exercent directement auprès du ou des service(s) que le responsable de traitement doit impérativement désigner.

Il écarte expressément l'application du droit d'opposition pour motif légitime, comme le dernier alinéa de l'article 38 de la loi du 6 janvier 1978 modifiée le permet.

Ces dispositions du projet de décret relatives aux droits d'accès, de rectification et d'opposition n'appellent pas d'observation de la part de la commission.

Sur la sécurité des données et la traçabilité des actions :

Tel que prévu par l'article 7 du projet de décret soumis à la commission, la mise en œuvre d'un traitement est subordonnée à l'envoi d'un engagement de conformité aux dispositions du décret adopté par le ministre, accompagné d'un dossier technique sommaire décrivant le traitement mis en œuvre, ainsi que les mesures de sécurité physique et logicielle dont il est assorti.

A cet égard, en application de l'article 34 de la loi du 6 janvier 1978 modifiée, la commission rappelle que le responsable d'un traitement de données à caractère personnel doit prendre toutes les précautions utiles au regard des risques présentés par le traitement pour préserver la sécurité des données à caractère personnel.

Il doit ainsi au moment de leur collecte, durant leur transmission et leur conservation, empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès.

Le responsable de traitement doit notamment s'assurer :

- que les utilisateurs s'authentifient avec un identifiant et un mot de passe respectant les recommandations de la CNIL, ou par tout autre moyen d'authentification apportant au moins le même niveau de sécurité ;

- qu'un mécanisme de gestion des habilitations permet de garantir que seules les personnes habilitées peuvent accéder aux données nécessaires à la réalisation de leurs missions ;

- que les mesures techniques adéquates garantissent la sécurité des données stockées ou échangées ;

- de la mise en place d'un mécanisme de journalisation des accès à l'application et des opérations.

La commission rappelle enfin que l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.