La Commission nationale de l'informatique et des libertés,
Saisie par le Commissariat général à l'égalité des territoires d'une demande d'avis portant sur un projet de décret autorisant la création d'un traitement de données à caractère personnel dénommé SYNERGIE pour la gestion des fonds européens 2014-2020 ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu le règlement (UE) n° 1301/2013 du Parlement européen et du Conseil du 17 décembre 2013 portant dispositions communes relatives au Fonds européen de développement régional, au Fonds social européen, au Fonds de cohésion, au Fonds européen agricole pour le développement rural et au Fonds européen pour les affaires maritimes et la pêche, portant dispositions générales applicables au Fonds européen de développement régional, au Fonds social européen, au Fonds de cohésion et au Fonds européen pour les affaires maritimes et la pêche, et abrogeant le règlement n° 1083/2006 du Conseil ;
Vu le règlement (UE) n° 1304/2013 du Parlement européen et du Conseil du 17 décembre 2013 relatif au Fonds social européen et abrogeant le règlement (CE) n° 1083/2006 du Conseil ;
Vu le règlement (UE) n° 480/2014 de la Commission du 3 mars 2014 complétant le règlement n° 1303/2013 du Parlement européen et du Conseil portant dispositions communes relatives au Fonds européen de développement régional, au Fonds social européen, au Fonds de cohésion, au Fonds européen agricole pour le développement durable et au Fonds européen pour les affaires maritimes et la pêche ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-II (4°) ;
Vu la loi n° 2014-58 du 27 janvier 2014 de modernisation de l'action publique territoriale et d'affirmation des métropoles ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2010-112 du 2 février 2010 pris pour l'application des articles 9, 10, et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu le décret n° 2014-580 du 3 juin 2014 relatif à la gestion de tout ou partie des fonds européens pour la période 2014-2020 ;
Vu le décret n° 2016-126 du 8 février 2016 relatif à la mise en œuvre des programmes cofinancés par les fonds européens structurels et d'investissement pour la période 2014-2020 ;
Après avoir entendu Mme Laurence DUMONT, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie par le Commissariat général à l'égalité des territoires (CGET) d'une demande d'avis sur un projet de décret autorisant la création d'un traitement automatisé de données à caractère personnel dénommé « système d'information SYNERGIE » pour la gestion des fonds européens 2014-2020.
Cette saisine intervient suite à l'adoption en 2010 de la stratégie décennale de l'Union européenne appelée « stratégie Europe 2020 » qui vise une croissance intelligente, durable et inclusive et qui détermine plusieurs objectifs en matière de recherche et développement, d'emploi, de lutte contre la pauvreté, d'énergie et de climat.
Pour atteindre ces objectifs, plusieurs politiques doivent être mises en œuvre par les Etats membres, grâce à des projets financés par différents fonds européens.
Pour la période 2014-2020, la Commission européenne a défini de nouvelles exigences pour la gestion des différents fonds. En effet, elle souhaite renforcer les systèmes de suivi et d'évaluation de l'allocation des fonds en imposant aux Etats membres la mise en œuvre d'un système dématérialisé pour traiter l'instruction des demandes portées par les bénéficiaires.
Elle impose également un suivi continu de la réalisation des objectifs de l'Union par les projets mis en œuvre grâce aux fonds.
Elle impose enfin aux autorités de gestion des fonds de mettre en place des mesures de lutte contre la fraude.
Pour répondre à ces exigences, la France crée un système d'information dénommé « SYNERGIE » permettant la gestion administrative, financière et opérationnelle des programmes européens 2014-2020 du Fonds européen de développement régional (FEDER), du Fonds social européen (FSE), du Fonds asile migration et intégration (FAMI), du Fonds de sécurité intérieure (FSI), du Fonds européen d'aide aux plus démunis (FEAD) et de l'Instrument d'aide à la pré-adhésion (IPA).
Ce système d'information devra permettre aux porteurs de projet de déposer leur demande d'attribution de fonds et aux autorités de gestion de les instruire. Il permettra également aux autorités d'audit et de certification d'exercer leurs missions en disposant des informations nécessaires.
Une application du système permettra la réalisation en continu d'analyses nécessaires au suivi.
Enfin, le système d'information comportera un module permettant le dépôt des pièces justificatives nécessaires à l'instruction des dossiers de demande et au suivi des objectifs.
Le traitement projeté met à disposition des usagers, via un mécanisme unique d'authentification, un téléservice de l'administration électronique. Dans la mesure où il comporte un identifiant des personnes physiques, il relève de l'article 27-11 (4°) de la loi du 6 janvier 1978 modifiée.
Sur la finalité du traitement :
Le système d'information SYNERGIE est l'outil de gestion des fonds européens pour la période 2014-2020.
L'article 1er du projet de décret énumère les finalités qu'il poursuit, à savoir :

- permettre le dépôt dématérialisé de demande d'aide au titre des fonds européens visés au VI de l'article 1er du projet de décret ;
- simplifier la gestion, le traitement, la prise en charge et le versement des aides par les services gestionnaires des fonds européens ;
- améliorer la qualité du service rendu aux bénéficiaires, après la décision de l'octroi de l'aide ;
- faciliter les contrôles croisés entre les fonds européens et les audits conformément à la réglementation européenne susvisée ;
- satisfaire aux obligations de l'Union européenne d'établir un système d'enregistrement et de stockage sous forme informatisée des données relatives à chaque opération pour chaque autorité de gestion.

La commission relève que l'amélioration de la qualité de service rendu aux bénéficiaires correspond à l'exigence de l'Union européenne de traiter les demandes de manière dématérialisée.
Elle considère que ces finalités sont déterminées, explicites et légitimes, conformément à l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Sur la nature des données traitées :
Les personnes concernées par le traitement projeté sont essentiellement les porteurs de projet. S'il s'agit majoritairement de personnes morales, les données collectées pourront cependant être relatives à des personnes physiques dans les cas où l'organisme bénéficiaire n'emploierait qu'une personne.
L'article 2 du projet de décret énumère les catégories de données collectées relatives aux porteurs de projet qui sont définies au regard de la liste des données à enregistrer et à stocker sous forme électronique dans le système de suivi, prévues à l'annexe III du règlement délégué 480/2014 de la Commission du 3 mars 2014 précité.
Concernant cette catégorie de personnes, la commission relève qu'un identifiant technique du porteur de projet est collecté. Interrogé sur ce point, le CGET a indiqué que cet identifiant est un numéro unique séquentiel attribué par le système à la création du compte du bénéficiaire, ce qui n'appelle pas d'observations de la commission.
Elle relève également que les dates et lieux de naissance des porteurs de projet sont collectés.
Interrogé sur ce point, le CGET a indiqué que la présence de ces données se justifie par la nécessité de répondre aux indicateurs relatifs aux bénéficiaires, qui imposent de recueillir leur nom et leurs coordonnées. Par ailleurs, il a indiqué que des critères d'éligibilité liés à l'âge peuvent être appliqués.
Enfin, il a précisé que la collecte de ces données permettait d'anticiper des modifications du règlement (UE) n° 1303/2013 du 17 décembre 2013 qui autorisera prochainement les personnes physiques à être directement bénéficiaires des fonds, sous conditions d'âge.
La commission relève néanmoins que les critères d'éligibilité liés à l'âge ne sont applicables actuellement que pour les demandes d'aides relatives au Fonds européen agricole pour le développement (FEADER) et au Fonds européen pour les affaires maritimes et la pêche (FEAMP), lesquels ne sont pas concernés par le traitement projeté.
Elle rappelle que seules les données pertinentes au regard de la finalité du traitement peuvent être collectées. Aussi considère-t-elle qu'à l'heure actuelle la collecte des informations liées à la date et au lieu de naissance du porteur de projet n'apparaît pas justifiée.
La commission relève que des données à caractère personnel concernant les participants finaux seront traitées uniquement dans le cadre du FSE afin de répondre aux exigences européennes qui imposent le contrôle de l'attribution des fonds.
La commission en prend acte et recommande que le projet de décret fasse expressément état de cette précision, préalablement à l'énumération des données collectées relatives aux participants.
Elle relève par ailleurs que ces données seront collectées à l'aide d'un questionnaire fourni aux participants à leur entrée dans une action cofinancée par le Fonds social européen sur lequel la commission s'est prononcée par une délibération en date du 13 novembre 2014.
S'agissant des données de connexion, la commission précise qu'il s'agit d'une erreur matérielle et que ces données ne concernent en réalité que les porteurs de projet visés à l'article 2 la du projet de texte.
Aux termes de l'article 3 du règlement n° 1304/2013 relatif au FSE, celui-ci intervient « en faveur des personnes, notamment les personnes défavorisées telles que les chômeurs de longue durée, les personnes handicapées, les migrants, les minorités ethniques, les communautés marginalisées et les personnes de toutes les catégories d'âge victimes de la pauvreté et de l'exclusion sociale », et notamment les Roms (considérant n° 16).
La commission relève qu'il n'existe pas de définition statistique des personnes d'origine étrangère, ni de définition nationale des minorités ethniques, et que la collecte de cette dernière catégorie de données a de plus été jugée contraire au droit français.
Cet indicateur sera renseigné par la mention de la commune de naissance, qui correspondra au code 99999 en cas de naissance à l'étranger, et la réponse éventuelle à la question fermée concernant l'« indication d'un parent né à l'étranger », la première permettant de caractériser les migrants, la seconde les participants d'origine étrangère.
La commission prend acte de ce que le formulaire de collecte prévoit la possibilité de ne pas répondre aux deux questions « Etes-vous sans domicile fixe ou confronté à l'exclusion de votre logement ? » et « Un de vos deux parents est-il né à l'étranger ? » en cochant la case « ne souhaite pas répondre / ne sait pas ».
Concernant les données relatives aux « personnes handicapées » et à une « situation de handicap », la commission relève que ces deux catégories de données se rapportent à une unique question fermée sous la forme « oui/non » dans le formulaire de collecte (« Avez-vous une reconnaissance officielle d'un handicap ? »).
La commission s'interroge donc sur la distinction entre ces deux catégories de données.
Elle constate néanmoins, à la lecture du formulaire, qu'aucune information supplémentaire relative à la nature du handicap ne sera collectée.
La commission prend acte que la collecte des données relatives aux participants via le formulaire précité n'entraînera donc pas la collecte de données sensibles au sens de l'article 8 de la loi du 6 janvier 1978 modifiée. Ce dispositif permet néanmoins de répondre aux critères définis par les indicateurs européens précités.
La commission relève également que des données relatives à la « résidence en zone urbaine sensible » seront collectées. Elle prend acte des précisions apportées par le CGET selon lesquelles, en complément des indicateurs communs définis par la Commission européenne, certains indicateurs spécifiques nationaux ont été définis pour permettre le suivi des engagements nationaux inscrits dans l'Accord de partenariat. Dans ce cadre, l'un des objectifs à tenir par la France est de s'assurer que 10 % du total des fonds FEDER et FSE du programme opérationnel de l'Etat et des programmes régionaux sont destinés aux quartiers prioritaires de la politique de la ville.
L'information relative à la « résidence en zone urbaine sensible » sera ainsi déduite de l'adresse du participant mais ne figurera pas en tant que telle dans le formulaire de collecte des données relatives aux participants.
Des données relatives au « bénéfice d'un contrat aidé » sont également collectées.
Le CGET a justifié la présence de cette donnée pour répondre à l'indicateur commun FSE « participant exerçant un emploi y compris à titre indépendant ».
Cette information sera déduite des pièces justificatives pouvant être collectées mais ne sera pas collectée directement via le formulaire précité.
La commission relève que des pièces justificatives supplémentaires pourront être collectées pour répondre aux exigences européennes dans le cadre de l'instruction des demandes de fonds.
Le projet de décret prévoit ainsi que « le traitement des pièces justificatives est strictement limité au contrôle de l'éligibilité des données saisies au I du présent article ainsi que des résultats des actions menées sur leur situation, dans la stricte mesure où ces pièces sont exigées par la Commission européenne ».
La commission en prend acte.
Sur la durée de conservation des données :
L'article 4 du projet de décret prévoit que les données sont conservées pendant une durée de vingt ans à compter du 1er janvier 2014 et jusqu'à l'extinction des pouvoirs de contrôle des services de la Commission européenne relatifs à l'utilisation des fonds.
En effet, les fonds sont mis en œuvre pour une durée de sept ans. L'Union européenne impose ensuite la conservation des données pendant un délai fixé à trois ans supplémentaires.
Par ailleurs, la Commission européenne doit pouvoir réaliser des contrôles liés à la réglementation des marchés publics pendant une durée de dix ans supplémentaires à compter de la clôture des programmes.
De ce fait, les données collectées doivent être conservées au maximum pendant une durée de vingt ans à compter de l'attribution des fonds.
A l'issue de cette durée de conservation, les données seront supprimées.
La commission estime que ces durées n'excèdent pas celles nécessaires à l'exercice des finalités pour lesquelles elles sont collectées, conformément aux dispositions de l'article 6 (5°) de la loi du 6 janvier 1978 modifiée.
Sur les destinataires des données :
L'article 3-III du projet de décret prévoit que sont destinataires des données collectées dans le traitement projeté :

- les agents des corps de contrôle européens dans le cadre des audits menés sur le fonctionnement du système de gestion et de contrôle des programmes européens ;
- le public pour les informations publiées sur le site « Europe en France » ;
- les agents des autorités administratives compétentes pour traiter le suivi, le contrôle, l'évaluation et la valorisation des demandeurs et bénéficiaires d'une aide européenne, en vertu d'un texte législatif ou réglementaire et dûment nécessaires à leurs missions.

S'agissant de cette dernière catégorie de personnes, la commission relève qu'il peut s'agir des agents des autorités de gestion, de certification et d'audit mais également des autorités de coordination des fonds.
Elle relève que seules les autorités de gestion, de certification et d'audit ont un accès direct au système d'information SYNERGIE.
La commission prend acte des précisions apportées par le CGET selon lesquelles les informations publiées sur le site web concernent uniquement des informations générales sur le fonctionnement de l'attribution des aides, telles que les types d'opérations concernées, les types de bénéficiaires. Le site web pourra publier des données provenant de l'agrégateur.
Dans ces conditions, elle estime que les destinataires ont un intérêt légitime à connaître des données contenues dans le traitement projeté.
Sur les droits des personnes concernées :
L'article 5 du projet de décret prévoit que les personnes concernées sont informées de la mise en œuvre du traitement projeté par une mention figurant sur le site web et directement sur le système d'information SYNERGIE.
La commission rappelle que cette mention doit comporter l'ensemble des informations définies à l'article 32 de la loi du 6 janvier 1978 modifiée.
Elle relève par ailleurs que les participants finaux des programmes mis en œuvre dans le cadre du FSE n'auront pas directement accès au traitement SYNERGIE. Elle estime que ces personnes devront être informées du traitement de données à caractère personnel mis en œuvre notamment par une mention conforme aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée figurant sur les questionnaires remis aux participants aux programmes financés par le FSE à des fins d'évaluation.
La commission estime ainsi qu'une sensibilisation des porteurs de projet sur ces points est nécessaire.
L'article 5 du projet de décret prévoit que les droits d'accès et de rectification prévus par les articles 39 et 40 de la loi du 6 janvier 1978 modifiée s'exercent auprès de la direction de l'information et des technologies de l'Agence des services et de paiement.
La commission relève que le projet de décret ne fait pas mention du droit d'opposition. Interrogé sur ce point, le CGET a indiqué que ce droit était écarté dans la mesure où le traitement projeté relève d'une exigence de la réglementation européenne.
La commission en prend note et relève que l'article 38 de la loi du 6 janvier 1978 modifiée prévoit que le droit d'opposition peut être écarté par une disposition expresse de l'acte autorisant le traitement.
Elle invite donc le CGET à compléter le projet de décret sur ce point.
Sur la sécurité des données et la traçabilité des actions :
La commission rappelle tout d'abord que le traitement étant un téléservice d'une autorité administrative au sens de l'ordonnance n° 2005-1516 du 8 décembre 2005 susvisée, il doit être conforme au référentiel général de sécurité (RGS) prévu par le décret n° 2010-112 du 2 février 2010 susvisé relatif aux échanges entre les usagers et les autorités administratives. Elle rappelle qu'il revient au responsable de traitement d'attester formellement de la sécurité de celui-ci au travers d'une homologation RGS et d'en publier l'attestation d'homologation sur le site du téléservice.
L'accès au téléservice est sécurisé au moyen du protocole HTTPS. Concernant le recours à ce protocole, la commission recommande d'utiliser la version de TLS la plus à jour possible.
Les échanges de données sont réalisés via des canaux de communication chiffrés et assurant l'authentification de la source et de la destination. L'authenticité de la clé du destinataire a été vérifiée. Des mesures spécifiques sont mises en œuvre pour assurer la confidentialité des clés secrètes.
Des profils d'habilitation sont prévus afin de gérer les accès aux données en tant que de besoin. Les permissions d'accès sont supprimées pour tout utilisateur n'étant plus habilité. Une revue globale des habilitations est opérée.
Le responsable de traitement a mis en place une politique de mots de passe conforme à la recommandation de la commission. Les mots de passe sont conservés hachés. La commission recommande d'appliquer la fonction de hachage HMAC à clé secrète ou d'ajouter un « sel » avant de hacher les mots de passe.
Une journalisation des opérations de consultation, création, modification et suppression du traitement est réalisée.
La commission recommande de limiter la durée de conservation des journaux à six mois.
Sur les mises en relation du système d'information SYNERGIE :
L'article 1-IV du projet de décret prévoit que, pour assurer les finalités du traitement, le système d'information SYNERGIE est mis en relation avec plusieurs systèmes d'information.
En premier lieu, SYNERGIE est mis en relation avec les logiciels de gestion des programmes d'aides (via des échanges de flux) mis en œuvre par les autorités de gestion et pour leur compte.
En second lieu, le système d'information SYNERGIE est mis en relation avec le système d'information ARACHNE à des fins de lutte contre la fraude. En effet, conformément à l'article 125.4 du règlement général n° 1303/2013 du 17 décembre 2013 précité, chaque autorité de gestion doit mettre en place des mesures de lutte contre la fraude. La Commission européenne met ainsi à disposition des autorités de gestion l'outil ARACHNE permettant d'atteindre cet objectif. Il est alimenté par des données issues des projets cofinancés par les fonds européens mais aussi par des données externes et permet de calculer et d'attribuer une note de risque à chaque projet d'opération.
La consultation du système d'information ARACHNE peut se faire lors des phases de sélection des projets, au cours de la réalisation de l'opération et lors des demandes de paiement finales. Cette consultation doit donner lieu à une décision de l'autorité de gestion.
En troisième lieu, les données collectées dans le système d'information SYNERGIE sont mises en relation avec les outils de l'Agence des services et de paiement afin de répondre aux finalités visées au point II de l'article 1er du décret.
Enfin, le système d'information SYNERGIE est mis en relation avec les applications de gestion du Fonds européen agricole pour le développement rural « OSIRIS », du Fonds européen pour les affaires maritimes et la pêche « ISIS » et du Fonds social européen « Ma démarche FSE ».
Les données provenant de ces systèmes d'information seront intégrées dans l'agrégateur à des fins de suivi, de pilotage, d'évaluation et de valorisation de l'utilisation des fonds européens en France. Les données contenues dans SYNERGIE ne seront pas intégrées dans les systèmes d'information OSIRIS, ISIS et « Ma démarche FSE ».
Ces dispositions n'appellent pas d'observations particulières.