Après avoir entendu M. Eric PERES, commissaire, en son rapport et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
Le 23 octobre 2014, la commission a rendu un avis sur un projet de décret portant création par le ministère du travail, de l'emploi, de la formation professionnelle et du dialogue social d'un traitement automatisé de données à caractère personnel, dénommé « Système d'information du compte personnel de formation » (SI-CPF), relatif à la gestion des droits inscrits ou mentionnés au compte personnel de formation.
La commission a été par la suite saisie par le ministre du travail, de l'emploi, de la formation professionnelle et du dialogue social d'une demande d'avis concernant un projet d'acte réglementaire relatif à la création, par certains des acteurs de la formation professionnelle, de traitements nécessaires à la mise en œuvre des comptes personnels de formation et à la connexion au SI-CPF.
Certains acteurs habilités à intervenir de la formation professionnelle ne sont toutefois pas concernés par ces actes réglementaires mais néanmoins amenés à mettre en œuvre des traitements similaires.
Dans la mesure où la connexion au SI-CPF est indispensable pour bénéficier d'une formation professionnelle et impose de renseigner le numéros d'inscription des personnes au répertoire national d'identification des personnes physiques du titulaire d'un compte accompagné de son nom, la commission a souhaité alléger les formalités pour les acteurs de la formation professionnelle n'étant pas autorisés à traiter de tels numéros.
En effet, lorsqu'un traitement de données à caractère personnel porte sur des données parmi lesquelles figurent des numéros d'inscription des personnes au répertoire national d'identification des personnes physiques, il y a lieu de faire application des dispositions du 6° du I de l'article 25 de la loi du 6 janvier 1978 modifiée prévoyant que le traitement doit être autorisé par la commission.
Toutefois, en application des dispositions du II de l'article 25 de la loi du 6 janvier 1978 modifiée, la commission peut autoriser par une décision unique une catégorie de traitements qui répondent aux mêmes finalités, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires.
Les traitements automatisés de données à caractère personnel mis en œuvre par les organismes de droit privé habilités à intervenir dans le domaine de la formation professionnelle pour mettre en œuvre des comptes personnels de formation et se connecter au SI-CPF sont de ceux qui peuvent, sous certaines conditions, relever de cette définition.
Les responsables de traitement qui adressent à la commission une déclaration comportant un engagement de conformité pour les traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique sont autorisés à les mettre en œuvre.
Tout traitement de données à caractère personnel qui excède le cadre ou les exigences définis par la présente autorisation unique doit en revanche faire l'objet d'une demande d'autorisation spécifique.

Champ d'application et finalités du traitement.

Seuls peuvent faire l'objet d'un engagement de conformité en référence à la présente autorisation unique les traitements mis en œuvre par les organismes de droit privé habilités à intervenir dans le domaine de la formation professionnelle aux fins :

- de mise en œuvre des comptes personnels de formation tel que prévu aux articles L. 6323-1 et suivants du code du travail ;
- de se connecter au système d'information du compte personnel de formation mentionné aux articles R. 6323-12 et suivants du code du travail et créé par le décret n° 2014-1717 du 30 décembre 2014 du ministre du travail, de l'emploi, de la formation professionnelle et du dialogue social pris après avis motivé et publié de la commission.

Données collectées et traitées.
A titre liminaire, la commission rappelle que des données à caractère personnel ne peuvent être collectées que si elles sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie.
Le responsable de traitement doit ainsi être en mesure de justifier du caractère nécessaire des données à caractère personnel effectivement collectées.
Sous cette réserve, les organismes de droit de droit privé habilités à intervenir dans le domaine de la formation professionnelle peuvent, pour atteindre les finalités visées à l'article 1er de la présente décision unique, collecter et traiter des données relatives :

1. Aux informations personnelles du titulaire du compte :

- numéro d'inscription au répertoire national d'identification des personnes physiques (NIR ou numéro de sécurité sociale) ;
- date de création dans le référentiel CPF ;
- sexe ;
- civilité ;
- nom patronymique, usuel, marital, prénoms ;
- date et lieu de naissance ;
- indication de notion de personnes ayant un handicap ;
- adresses personnelles en France et à l'étranger ;
- adresse de son lieu de travail ;
- téléphone(s) et adresse électronique ;
- date et caractère certifié ou présumé du décès.

2. Aux données correspondantes aux comptes d'heures :

- heures acquises au titre du droit individuel à la formation ;
- heures inscrites sur le compte personnel de formation ;
- informations sur la nature des droits : période d'activité et d'inactivité (avec le motif de l'inactivité), date prises en compte ;
- numéro SIRET de l'employeur ;
- code profession ;
- temps de travail ;
- taux de temps de travail ;
- rémunération du titulaire.

3. Aux données des dossiers de formation :

- formations éligibles ;
- historique des opérations effectuées sur le CPF ;
- champs de saisie de commentaires par le titulaire ;
- titre de la formation ;
- intitulé complet de la formation ;
- date d'accord du titulaire pour la mobilisation de ses heures CPF ;
- numéro SIRET de l'organisme de formation ;
- raison sociale de l'organisme de formation ;
- durée totale de la formation en heures prévue/durée totale effectuée ;
- coût total de la formation en euros prévue/coût total final ;
- date de la formation ;
- objectif de la formation ;
- niveau/titre le plus élevé obtenu par le stagiaire ;
- statut du stagiaire ;
- catégorie socioprofessionnelle du stagiaire ;
- si stagiaire salarié : numéro SIRET, raison sociale et adresse de l'employeur, URSSAF, code APE/NAF, effectif employeur, OPCA de l'entreprise, code IDCC/CCN, imputation ;
- rémunération possible sur les 0,2 % ;
- formation « présentielle » ou à distance ;
- certification partielle ;
- formation interne/externe ;
- contenu de la formation ;
- rythme de la formation ;
- contact formation ;
- parcours de formation ;
- niveau d'entrée obligatoire ;
- code niveau entrée ;
- conditions spécifiques ;
- prise en charge des frais possible ;
- modalité entrée-sortie ;
- lieu de formation ;
- adresse inscription ;
- coordonnées organisme ;
- contact organisme ;
- renseignement spécifique ;
- code public visé ;
- financement :
- solde des droits acquis au titre du compte personnel de formation disponible en heures ;
- solde du droit individuel à la formation en heures ;
- droits acquis en heures au titre du compte personnel de formation mobilisés pour la formation ;
- heures du droit individuel à la formation mobilisées pour la formation ;
- coût de la formation en euros, pour les frais pédagogiques, annexes, et montant de la rémunération prise en charge ;
- pour les financements complémentaires, par financeur, et par type de financeur, nom de l'organisme financeur, nombre d'heures financées, montant financé en euros, commentaire.

4. Aux données des passeports d'orientation, de formation et de compétences :

- études et formations suivies ;
- diplômes et certifications obtenues ;
- qualifications détenues et exercées ;
- expérience professionnelle ;
- aptitudes et compétences ;
- permis de conduire ;
- langues étrangères ;
- assermentations.

5. Aux données des annuaires techniques des gestionnaires des organismes :

- nom et prénom ;
- organisme employeur ;
- fonction ;
- unité d'appartenance ;
- téléphone et adresse électronique professionnels.

Durée de conservation des données.
La commission rappelle, conformément à l'article 6-5° de la loi du 6 janvier 1978 modifiée, que des données à caractère personnel ne peuvent être conservées que le temps strictement nécessaire à l'accomplissement de la finalité pour laquelle elles ont été collectées.
Les données visées à l'article 2 de la présente décision unique peuvent être conservées au maximum un mois à l'issue des opérations requises pour la gestion des comptes personnels de formation.

Destinataires des données.
La commission rappelle que le responsable d'un traitement de données à caractère personnel est tenu, en application de l'article 34 de la loi du 6 janvier 1978 modifiée, de prendre toutes les garanties utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher que des tiers non autorisés y aient accès.
A ce titre, le responsable d'un traitement de données à caractère personnel doit, avant de transmettre des données à un organisme, opérer un tri parmi ces dernières pour veiller à ce que le destinataire accède aux seules données adéquates, pertinentes et non excessives au regard de la justification de la communication.
En particulier, s'il est saisi d'une demande de communication de données à caractère personnel par un organisme se prévalant d'une disposition légale à l'appui de sa demande, le responsable du traitement doit s'assurer du caractère obligatoire de la disposition invoquée et veiller à ne transmettre que les données strictement nécessaires.
Dans les limites de leurs attributions respectives, et chacun pour ce qui le concerne, seuls les employés spécifiquement habilités du responsable de traitement pourront accéder aux données visées à l'article 2 de la présente autorisation unique.
Ces données ne peuvent être communiquées qu'aux agents et employés spécifiquement habilités des organismes autorisés à se connecter au système d'information du compte personnel de formation.

Information et droits des personnes.
Le responsable du traitement procède, conformément aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée, à l'information des personnes par affichage, envoi ou remise d'un document, ou tout autre moyen équivalent, en indiquant l'identité du responsable de traitement, la finalité poursuivie par le traitement, les destinataires des données et les modalités d'exercice des droits des personnes (droit d'accès, de rectification et d'opposition pour motif légitime).
Les droits d'accès, de rectification et d'opposition définis au chapitre V de la loi du 6 janvier 1978 modifiée s'exercent directement auprès du ou des services que le responsable de traitement doit impérativement désigner.

Mesures de sécurité.
La commission rappelle qu'en application de l'article 34 de la loi du 6 janvier 1978 modifiée le responsable d'un traitement de données à caractère personnel doit prendre toutes les précautions utiles pour préserver la sécurité des données à caractère personnel collectée et traitée au regard des risques présentés par son traitement.
Il doit ainsi au moment de leur collecte, durant leur transmission et leur conservation, empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès.
Le responsable de traitement doit notamment s'assurer :

- que les utilisateurs s'authentifient avec un identifiant et un mot de passe respectant les recommandations de la CNIL, ou par tout autre moyen d'authentification apportant au moins le même niveau de sécurité ;
- qu'un mécanisme de gestion des habilitations permet de garantir que seules les personnes habilitées peuvent accéder aux données nécessaires à la réalisation de leurs missions ;
- que les mesures techniques adéquates garantissent la sécurité des données stockées ou échangées ;
- de la mise en place d'un mécanisme de journalisation des accès à l'application et des opérations.

La commission rappelle enfin que l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.

Publication.
La présente délibération sera publiée au Journal officiel de la République française.