La Commission nationale de l'informatique et des libertés,
Saisie par la direction générale du travail d'une demande d'avis concernant la mise en œuvre d'un traitement de données à caractère personnel dénommé « SIPSI » ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la directive 2014/67UE du Parlement européen et du Conseil du 15 mai 2014 relative à l'exécution de la directive 96171/CE du 16 décembre 1996 concernant le détachement de travailleurs effectué dans le cadre d'une prestation et modifiant le règlement (UE) n° 1024/2012 concernant la coopération administrative par l'intermédiaire du système d'information du marché intérieur ;
Vu le code du travail, notamment ses articles L. 1262-2-1 et suivants ainsi que ses articles R. 1263-1 et suivants ;
Vu le code des transports et notamment ses articles L. 1331-1 et suivants ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 11 (2°, d) et 27-II (4°) ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Après avoir entendu Mme Marie-France MAZARS, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La direction générale du travail a saisi la Commission nationale de l'informatique et des libertés d'une demande d'avis, préalablement à la mise en œuvre d'un traitement de données à caractère personnel dénommé « SIPSI » visant à permettre aux employeurs établis hors du territoire français, de déclarer les détachements de leurs salariés en France.
Cette demande d'avis porte à la fois sur un projet de décret et sur un projet d'arrêté, rédigés de manière identique et relatifs à la création du téléservice SIPSI. En effet, le ministère a indiqué qu'il existait un doute sur la nature de l'acte réglementaire qui serait adopté pour la création du téléservice. Dans la mesure où il n'appartient pas à la commission de se prononcer sur cette question, la présente délibération porte sur le projet de décret qui lui a été soumis en application de l'article L. 1262-2-2 du code du travail, renvoyant à un décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés, pour fixer les modalités d'application du traitement.
Elle précise néanmoins qu'en tant que de besoin les observations faites valent pour les deux projets qui sont identiques.
Sur les finalités du traitement :
Le traitement dont a été saisie la commission pour avis, tel que précisé par le projet de décret, vise ainsi à mettre en place un téléservice dénommé « SIPSI », permettant aux entreprises établies hors de France et détachant des salariés en France, d'accomplir leurs formalités déclaratives auprès de l'inspection du travail, via un service en ligne, en application de l'article L. 1262-2-2 du code du travail.
Ce traitement vise également à faciliter le contrôle du respect, par les employeurs détachant des salariés en France, des dispositions légales, réglementaires et conventionnelles qui leur sont applicables.
Enfin, il vise à assurer un suivi statistique de la situation du travail salarié détaché en France pour l'information du Gouvernement, de l'Union européenne et des partenaires sociaux.
La commission considère que ces finalités sont déterminées, explicites et légitimes.
Sur la nature des données traitées :
Les données collectées via SIPSI portent sur :
Des données relatives à l'entreprise détachant des salariés en France et à son ou ses dirigeant(s) :

- le nom ou la raison sociale de l'entreprise, le nom, les prénoms, les date et lieu de naissance du ou de ses dirigeant(s) ;
- les adresses postale et électronique, les coordonnées téléphoniques de l'entreprise ou de l'établissement ;
- la forme juridique de l'entreprise, les références de son immatriculation à un registre professionnel ou toutes autres références équivalentes ;
- l'activité principale de l'entreprise ;
- les liens de l'employeur avec l'entreprise ou l'établissement d'accueil du ou des salarié(s) en cas de détachement au sein d'une même entreprise ou d'un même groupe ;
- la désignation du ou des organismes auxquels l'entreprise verse les cotisations de sécurité sociale ;
- l'identité de l'organisme auprès duquel a été obtenue une garantie financière ou une garantie équivalente dans le pays d'origine pour les entreprises de travail temporaire ;

Des données relatives à l'entreprise ou établissement d'accueil en France :

- le numéro d'identification SIRET, le cas échéant, en cas de détachement au sein d'une même entreprise ou d'un même groupe, ainsi qu'en cas de détachement par une entreprise de travail temporaire ;
- le nom ou la raison sociale, les adresses postale et électronique, les coordonnées téléphoniques de l'entreprise utilisatrice, en cas de détachement par une entreprise de travail temporaire ;

Des données relatives au représentant de l'entreprise en France pour la durée de la prestation :

- le nom ou la raison sociale le cas échéant, les prénoms, date et lieu de naissance ;
- l'adresse électronique et postale, les coordonnées téléphoniques ;

Des données relatives au donneur d'ordre :

- le nom ;
- l'adresse ;
- l'activité principale ;
- le cas échéant, le numéro d'identification SIRET ;

Des données relatives aux salariés détachés en France :

- le nom, les prénoms, date et lieu de naissance, adresse de résidence habituelle et nationalité ;
- la date de signature du contrat de travail ;
- la qualification professionnelle ;
- l'emploi occupé durant le détachement ;

Des données relatives à la nature et aux conditions de réalisation du détachement et des prestations en France :

- l'adresse du ou des lieux successifs où doit s'accomplir la prestation ;
- la date du début du détachement et sa date de fin prévisible ;
- la date du début de la prestation et sa date de fin prévisible ;
- l'activité principale exercée dans le cadre de la prestation ;
- la nature des services accomplis pendant le détachement, en cas de détachement au sein d'une même entreprise ou d'un même groupe ;
- la nature du matériel ou des procédés de travail dangereux utilisés ;
- les heures de début et fin de travail ainsi que les heures et durée des repos ;
- l'adresse du ou des lieux d'hébergement successifs des salariés ;
- le montant de la rémunération brute mensuelle afférente à la prestation ;
- les modalités de prise en charge par l'employeur des frais engagés pour le voyage, l'hébergement et les repas ;
- le taux de salaire horaire brut (attestation de détachement uniquement) ;
- le droit du travail applicable au contrat de travail (attestation de détachement uniquement) ;

Des données nécessaires à l'administration et à l'utilisation de la base par les gestionnaires et les agents de contrôle :

- le nom, le prénom, le service d'appartenance, les droits attribués ;
- l'adresse électronique ;
- l'identifiant et le mot de passe de connexion ;
- l'enregistrement de la date et l'heure de connexion, les modifications et commentaires effectués ;
- les signalements, commentaires et contrôles effectués le cas échéant par les agents de l'inspection du travail à la suite de la réception des déclarations ou attestations de détachement.

Pour effectuer sa déclaration, l'employeur doit se créer un compte dans SIPSI. La commission est informée que les données collectées pour la création de compte sont l'adresse électronique et le mot de passe que l'employeur se sera créé.
La commission relève que les données présentes dans SIPSI, hormis la catégorie de données nécessaires à l'administration et à l'utilisation de la base par les gestionnaires et les agents de contrôle, sont celles que doivent déclarer les employeurs à l'inspection du travail au titre de l'article L. 1262-2-1 du code du travail et L. 1331-1 du code des transports (en cas de prestation de transport), et qui sont énumérées aux articles R. 1263-3 du code du travail et R. 1331-4 du code des transports.
La commission observe toutefois des disparités entre les informations listées par les articles R. 1263-3 et suivants et R. 1331-4, d'une part, et celles du projet de décret qui lui est soumis, d'autre part.
Interrogée sur ce point, la direction générale du travail a indiqué que l'acte soumis à avis est tenu de reprendre l'ensemble des données des articles précités.
La commission prend acte de l'engagement du responsable de traitement de s'assurer de la conformité générale des textes évoqués précédemment, en ajoutant notamment, au projet de décret, les données qui ont été omises. Elle est toutefois informée que, par souci d'harmonisation, plusieurs éléments ont été regroupés au sein de catégories de données plus larges et que certaines données n'ont pas été reprises car la rédaction du projet de décret anticipe l'entrée en vigueur des dispositions du Code des transports, allégeant les formalités déclaratives en matière de détachement applicable au cabotage.
Enfin, la commission attire l'attention du responsable de traitement sur la présence de zones de commentaires libres dans l'outil, permettant aux agents de l'inspection du travail d'apporter des observations ou commentaires concernant notamment les contrôles effectués. Elle rappelle que des précautions doivent être observées pour répondre aux exigences de la loi du 6 janvier 1978 modifiée, éviter l'enregistrement de commentaires inappropriés et garantir que les données contenues dans ces « zones commentaires » soient pertinentes, adéquates et non excessives au regard de la finalité du traitement. Ainsi, elle recommande d'intégrer une mention d'information au niveau des zones de commentaires libres pour prévenir les utilisateurs que ces zones ne doivent pas comporter d'appréciation subjective, ni faire apparaître directement ou indirectement, les origines raciales, les opinions politiques, philosophiques ou religieuse, les appartenances syndicales ou tes mœurs de la personne concernée.
La commission considère que ces données sont adéquates, pertinentes et non-excessives au regard des finalités pour lesquelles elles sont collectées et leurs traitements ultérieurs.
Sur l'origine des données :
La commission observe que les données sont directement communiquées par les employeurs étrangers via le portail SIPSI.
Ce point n'appelle pas d'observation de la part de la commission.
Sur la durée de conservation des données :
Le projet de décret portant création de SIPSI indique que les données sont conservées pendant sept ans à compter de la fin de la prestation en France, directement sur l'outil SIPSI.
Interrogée par la commission sur la justification de cette durée de conservation, la direction générale du travail a précisé que cette durée a été fixée en référence à la durée de prescription de cinq ans pour les délits en matière de travail illégal et en y ajoutant deux ans supplémentaires qu'il a estimés suffisants pour couvrir l'éventuel recours en appel.
La commission propose au responsable de traitement de définir la durée de conservation en prenant en considération l'éventualité d'une procédure administrative ou judiciaire. Elle estime que les données peuvent être conservées dans le portail SIPSI pendant cinq ans à compter de la fin de la prestation en France, compte tenu du délai de prescription en matière de travail illégal puis, le cas échéant, pendant la durée de la procédure administrative ou judiciaire et jusqu'à l'épuisement des voies de recours.
Sur les destinataires des données :
Le projet de décret examiné par la commission liste les personnes habilitées à accéder aux données listées à l'article 4, dans la stricte limite des informations dont elles ont à connaître au regard de leurs fonctions. Ces personnes sont :

- les agents de l'inspection du travail et les personnes chargées de la coordination de leur action ;
- les agents des services statistiques nationaux et régionaux du ministère chargé du travail ;
- les fonctionnaires ou agents de l'Etat chargés du contrôle des transports terrestres ;
- les autorités étrangères compétentes et bureaux de liaison mentionnés à l'article 3 de la directive 2014/67/UE du Parlement européen et du Conseil du 15 mai 2014 relative à l'exécution de fa directive 96/71/CE du 16 décembre 1996 concernant le détachement de travailleurs effectué dans le cadre d'une prestation et modifiant le règlement (UE) n° 1024/2012 concernant la coopération administrative par l'intermédiaire du système d'information du marché intérieur.

Le projet de décret précise également que dans le cadre de leurs missions et dans les limites de leurs attributions en matière de lutte contre le travail illégal sont également habilités à consulter tout ou partie des données.

- les officiers et agents de police judiciaire ,
- les agents des impôts et des douanes ;
- les agents des organismes de sécurité sociale et des caisses de mutualité sociale agricole agréés à cet effet et assermentés.

La commission note que ces destinataires sont déterminés conformément aux dispositions des articles L. 1263-1 et L. 8271-1-2 du code du travail. Elle relève toutefois que le projet de décret ne reprend pas l'intégralité des destinataires énumérés à l'article L. 8271-1-2 puisque n'y figurent pas :

- les administrateurs des affaires maritimes, les officiers du corps technique et administratif des affaires maritimes et les fonctionnaires affectés dans les services exerçant des missions de contrôle dans le domaine des affaires maritimes sous l'autorité ou à la disposition du ministre chargé de la mer ; les fonctionnaires des corps techniques de l'aviation civile commissionnés à cet effet et assermentés ;
- les agents de Pôle emploi.

La direction générale du travail, interrogée sur ce point, a indiqué vouloir restreindre l'accès aux données aux seules personnes visées dans le projet de décret au motif notamment qu'il s'agissait des autorités susceptibles d'intervenir en la matière.
La commission note également qu'au sein de l'Union européenne, les autorités étrangères compétentes et les bureaux de liaison mentionnés à l'article 3 de la directive 2014/67/UE du Parlement européen et du Conseil du 15 mai 2014 peuvent recevoir communication des données en application de l'article R. 1263-11 du code du travail.
Au regard de ces éléments, la commission considère que ces destinataires présentent un intérêt légitime à accéder aux données du présent traitement, sous réserve que les données effectivement accessibles présentent un lien direct et nécessaire avec leurs fonctions.
Sur l'information des personnes :
L'information des personnes, telle que prévue à l'article 32 de la loi du 6 janvier 1978 modifiée, est délivrée aux employeurs via des mentions légales intégrées à la plateforme SIPSI.
La commission prend acte des difficultés d'informer les autres personnes concernées conformément à l'article 32, compte tenu des modalités de mise en œuvre du traitement, en particulier parce qu'elles n'ont pas accès à la plateforme et qu'elles ne sont pas nécessairement en contact avec les autorités françaises compétentes.
Elle considère, compte tenu de ces elements, qu'il peut être fait application des dispositions de l'article 32-III alinéa 2 de fa loi du 6 janvier 1978 modifiée qui prévoit une dérogation à l'obligation d'information préalable notamment lorsque cette obligation implique des efforts disproportionnés par rapport à l'intérêt de la démarche.
Néanmoins, la commission prend note que le responsable de traitement envisage de demander aux employeurs établis hors de France qu'une information soit délivrée à l'ensemble des personnes concernées par le traitement, préalablement à l'enregistrement de leurs données dans SIPSI.
En outre, elle estime que, dans l'hypothèse où les personnes seraient contactées par les agents de contrôle de l'inspection du travail, une information pourrait leur être délivrée à cette occasion afin qu'elles puissent exercer leurs droits le cas échéant.
Sous ces réserves, la commission considère que ces modalités d'information des personnes concernées sont satisfaisantes.
Sur les droits d'accès, de rectification et d'opposition des personnes :
Le projet de décret prévoit que les droits d'accès et de rectification des données, prévus aux articles 39 et 40 de la loi du 6 janvier 1978 modifiée, s'exercent auprès du responsable de l'unité départementale de la Direction régionale des entreprises, de la concurrence, de la consommation, du travail et de l'emploi (DIRECCTE) compétente pour le lieu de la prestation.
S'agissant du droit de rectification, la commission est informée que ni la DIRECCTE ni la direction générale du travail n'ont la possibilité de modifier ou supprimer une donnée sur l'outil SIPSI. Ainsi, la direction générale du travail envisage de signaler la modification dans l'outil via la zone de commentaire utilisée pour effectuer des observations, ou de prendre contact avec l'employeur déclarant pour l'inviter à modifier sa déclaration.
Le droit d'opposition prévu à l'article 38 de la loi susvisée ne trouve pas à s'appliquer au présent traitement, ainsi que le prévoit le projet de décret.
Sur la sécurité des données et la traçabilité des actions :
La commission rappelle tout d'abord que le traitement étant un téléservice d'une autorité administrative au sens de l'ordonnance n° 2005-1516 du 8 décembre 2005 susvisée, il doit être conforme au référentiel général de sécurité (RGS) prévu par le décret n° 2010-112 du 2 février 2010 susvisé. Elle rappelle également qu'il revient au responsable de traitement d'attester formellement de la sécurité de celui-ci au travers d'une homologation RGS et d'en publier l'attestation d'homologation sur le site du téléservice.
La commission estime que le projet de décret, silencieux sur les mesures de sécurité à prendre pour la mise en œuvre du traitement, devrait être complété en ce sens.
Les accès, pour l'administration et l'utilisation de la base par les gestionnaires et les agents de contrôle, seront réalisés par l'intermédiaire d'un identifiant et un mot de passe dont la complexité n'a pas été précisée. La commission rappelle qu'une politique satisfaisante de mot de passe implique que ceux-ci soient composés de dix caractères pour les utilisateurs disposant de privilèges élevés (administrateurs notamment) et de huit caractères minimum pour les autres utilisateurs, comprenant au moins trois des quatre types de caractères suivants : majuscules, minuscules, chiffres et caractères spéciaux. Ils doivent en outre être définis ou modifiés dès la première connexion par l'utilisateur, puis régulièrement renouvelés et ne doivent pas être stockés en clair.
En revanche, le projet de décret et le dossier annexé ne font pas mention des modalités d'accès des employeurs à la piateforme. A cet égard, la commission rappelle que si ceux-ci peuvent créer un compte, le dispositif d'authentification devra être conforme aux recommandations précitées.
Les traces des accès et actions opérées par les gestionnaires et agent de contrôle seront enregistrées et horodatées. Les traces générées lors des télédéclarations par l'employeur, comprenant l'adresse IP, sont également enregistrées et horodatées. La commission demande à ce que ces données soient précisées dans le projet de décret.
Les transferts de données sont sécurisés par le recours au protocole SSL. Concernant le recours à ce protocole, la commission recommande de ne plus utiliser SSLv3, mais d'utiliser la version de TLS la plus à jour possible.
Sous réserve des précédentes observations, les mesures de sécurité décrites sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée.
La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.