Retour à la section

Délibération n°2016-347 du 17 novembre 2016

JORF n°0293 du 17 décembre 2016

La Commission nationale de l'informatique et des libertés,
Saisie par le ministère du travail, de l'emploi, de la formation professionnelle et du dialogue social d'une demande d'avis concernant un projet un projet de décret en Conseil d'Etat relatif à l'interopérabilité du système d'information des prestations de services internationales (SIPSI) et du système d'information de la carte d'identification professionnelle des salariés du bâtiment et des travaux publics (SI­ CIP) ainsi qu'à la dématérialisation de la déclaration subsidiaire de détachement effectuée par les maîtres d'ouvrage et donneurs d'ordre ;
Vu la convention n° 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code du travail, notamment ses articles L. 1262-2 et suivants, R. 1263-1 et suivants, L. 8291-1 et suivants et R. 8291-1 et suivants ;
Vu la loi n° 2016-1088 du 8 août 2016 relative au travail, à la modernisation du dialogue social et à la sécurisation des parcours professionnels, notamment son article 105 ;
Vu la loi n° 2015-990 du 6 août 2015 pour la croissance, l'activité, l'égalité des chances économiques, notamment son article 282 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 11 (4°), a) ;
Vu le décret n° 2016-1044 du 29 juillet 2016 relatif à la transmission dématérialisée des déclarations et attestations de détachement de salariés et autorisant un traitement des données à caractère personnel qui y figurent ;
Vu le décret n° 2016-175 du 22 février 2016 relatif à la carte d'identification professionnelle des salariés du bâtiment et des travaux publics ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la délibération n° 2016-160 du 19 mai 2016 portant avis sur un projet de décret relatif à la mise en œuvre d'un traitement de données à caractère personnel dénommé « SIPSI » ;
Vu la délibération n° 2016-024 du 28 janvier 2016 de la Commission nationale de l'informatique et des libertés portant avis sur un projet de décret en Conseil d'Etat relatif au dispositif national de la carte d'identification professionnelle des salariés du bâtiment et des travaux publics ;
Vu le dossier et ses compléments ;
Sur la proposition de Mme Marie-France MAZARS, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,
Emet l'avis suivant :
La commission a été saisie par le ministère du Travail, de l'Emploi, de la Formation professionnelle et du Dialogue social d'une demande d'avis concernant un projet un projet de décret en Conseil d'Etat relatif à l'interopérabilité du système d'information des prestations de services internationales (SIPSI) et du système d'information de la carte d'identification professionnelle des salariés du bâtiment et des travaux publics (SI-CIP) ainsi qu'à la dématérialisation de la déclaration subsidiaire de détachement effectuée par les maîtres d'ouvrage et donneurs d'ordre.
Le présent projet de décret modifie les dispositions du code du travail intégrées par le décret n° 2016-1044 du 29 juillet 2016 relatif à la transmission dématérialisée des déclarations et attestations de détachement de salariés et autorisant un traitement des données à caractère personnel qui y figurent, d'une part, et par le décret n° 2016-175 du 22 février 2016 relatif à la carte d'identification professionnelle des salariés du bâtiment et des travaux publics, d'autre part.
Sur les finalités :
Le projet de décret vise à développer une interopérabilité entre le fichier SIPSI, relatif au traitement automatisé des déclarations de détachement de travailleurs sur le territoire national effectuées par des entreprises établies à l'étranger dans le cadre de prestations de services internationales, et le fichier SI-CIP, relatif au traitement automatisé de la carte d'identification professionnelle des salariés du bâtiment et des travaux publics (BTP).
Cette interopérabilité s'inscrit dans une optique de renforcement de la lutte contre le travail illégal et les fraudes au détachement de travailleurs dans le secteur d'activité du BTP.
Aux termes de l'article 5 du projet de décret, le traitement a pour finalité de garantir la fiabilité de la délivrance des cartes d'identification professionnelle des salariés du BTP pour les salariés détachés sur le territoire national par des employeurs établis hors de France.
Plus concrètement, ce traitement consiste en une transmission automatique à l'Union des caisses de France-Congés intempéries BTP (UCF-CI BTP) des données contenues dans les déclarations de détachement des salariés employés par des entreprises établies hors de France pour effectuer sur le territoire national des travaux mentionnés à l'article R. 8291-1 du code du travail.
Il en résulte que les données contenues dans ie fichier SIPSI sont directement intégrées dans le fichier SI-CIP.
C'est dans ce contexte que les déclarations de détachement mentionnées aux articles R. 1263-3 et suivants, effectuées via le téléservice SIPSI par les employeurs de salariés réalisant des travaux de BTP, valent déclarations en vue de demandes de cartes d'identification professionnelle des salariés du BTP, délivrées par I'UCF-CI BTP.
L'interopérabilité a en ce sens vocation à fiabiliser et à simplifier le dispositif d'édition des cartes d'identification professionnelle des salariés du BTP.
En effet, le flux d'information entre les fichiers permettra de s'assurer que les entreprises concernées ont accompli leurs obligations déclaratives au titre du détachement de leurs salariés, et se substituera à l'obligation de joindre une copie de déclaration de détachement, préalable nécessaire en vue de l'obtention d'une carte d'identification professionnelle. Les données transmises permettent en outre de pré­ initialiser les comptes des entreprises sur le SI-CIP ainsi que les demandes de titres pour les salariés concernés.
Par ailleurs, conformément aux dispositions de l'article 105 de la loi n° 2016-1088 du 8 août 2016 relative au travail, à la modernisation du dialogue social et à la sécurisation des parcours professionnels, l'article 5 du projet de décret prévoit que les maîtres d'ouvrages et les donneurs d'ordre pourront réaliser, par voie dématérialisée, les déclarations de détachement subsidiaires, en cas de manquement à cette formalité par leurs prestataires de services étrangers.
La commission considère que les finalités sont déterminées, explicites et légitimes.
Sur les données traitées :
L'article 5 du projet de décret liste les données suivantes, transmises automatiquement à I'UCF-CI BTP à l'occasion des déclarations de détachement des salariés via le téléservice SIPSI :

- s'agissant des salariés détachés : nom, prénoms, date et lieu de naissance, nationalité ;
- s'agissant des entreprises qui détachent des salariés en France et de leurs dirigeants : nom ou raison sociale de l'entreprise, nom, prénoms, date et lieu de naissance du ou des dirigeant(s), adresses postales et électroniques, coordonnées téléphoniques de l'entreprise ou de l'établissement, forme juridique de l'entreprise, références de son immatriculation à un registre professionnel ou toutes autres références équivalentes ;
- s'agissant des représentants des entreprises en France, pour la durée des prestations : noms, prénoms, date de naissance, s'il s'agit de personnes physiques ; raison sociale, s'il s'agit de personnes morales ; adresses électroniques et postales, coordonnées téléphoniques ;
- s'agissant de la nature et des conditions de réaiisation des prestations en France : adresse du ou des lieu(x) successifs d'accomplissement des prestations, dates du début de la prestation et de sa fin prévisible.

L'article 3 du projet de décret ajoute qu'à réception des données listées ci-dessus, I'UCF-CI BTP demande aux entreprises à l'origine des déclarations, ou à leurs représentants en France, de lui adresser via son site internet dédié, les données suivantes, pour chaque salarié détaché : photographie d'identité numérisée, sexe, nature du contrat de travail, numéro de l'autorisation de travail ou de la carte de séjour valant autorisation de travail, le cas échéant.
La commission relève que les données ainsi transmises à I'UCF-CI BTP n'excèdent pas celles nécessaires à la gestion et au suivi des titres, listées dans le décret n° 2016-175 du 22 février 2016 relatif à la carte d'identification professionnelle des salariés du BTP.
Elle estime que les données traitées sont pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées.
Sur les destinataires :
La commission constate que le projet de décret ne mentionne pas les catégories de personnes appelées à accéder aux données en raison de leurs missions.
Interrogé sur ce point, le ministère indique que la mise en place de l'interopérabilité ne requiert pas que d'autres destinataires que ceux indiqués à l'article 3 du décret n° 2016-1044 du 29 juillet 2016 et à l'article 3 du projet d'arrêté relatif aux conditions de fonctionnement du traitement automatisé de données à caractère personnel de la carte d'identification professionnelle des salariés du BTP, n'aient accès aux données.
La commission prend bonne note de cette précision et estime que le projet de décret devrait être complété sur ce point afin de renforcer l'information des personnes concernées.
Elle rappelle que l'accès aux différents systèmes d'information par l'ensemble de ces destinataires doit s'appuyer sur une politique de gestion rigoureuse des habilitations et considère, sous cette réserve, que les destinataires présentent un intérêt légitime à accéder en tout ou partie aux données.
Sur les durées de conservation :
Le projet de décret ne précise pas les durées de conservation des données.
Interrogé sur ce point, le ministère renvoie aux durées de conservation mentionnées à l'article 5 du décret n° 2016-1044 du 29 juillet 2016, et à l'article 4 du projet d'arrêté relatif aux conditions de fonctionnement du traitement automatisé de données à caractère personnel de la carte d'identification professionnelle des salariés du BTP, à savoir respectivement cinq ans à compter de la fin de la prestation en France, et cinq ans à compter de la dernière invalidation enregistrée pour le compte du titulaire du titre.
La commission estime que l'ajout de cette précision dans le décret serait également de nature à renforcer l'information des personnes concernées.
Elle estime que les données traitées ne sont pas conservées au-delà du temps nécessaire à l'accomplissement des finalités pour lesquelles elles ont été collectées.
Sur l'information et les droits des personnes :
L'article 3 du projet de décret (projet d'article R. 8293-2 du code du travail) prévoit qu'avant d'effectuer la déclaration auprès de I'UCF-CI BTP, les employeurs informent les salariés de la transmission des données personnelles les concernant.
La commission rappelle que conformément à l'article 32 de la loi « Informatique et Libertés », l'information doit porter sur l'identité du responsable du traitement, les objectifs poursuivis par le traitement, le caractère obligatoire ou facultatif des réponses, les conséquences éventuelles d'un défaut de réponse, les destinataires des données, les droits des personnes, et le cas échéant, les transferts de données hors de l'Union européenne.
Elle souligne qu'en tout état de cause, cette information doit être donnée, aux salariés, d'une part, et aux employeurs, d'autre part, préalablement à la collecte des données, selon des modalités adaptées au nombre de personnes concernées.
Interrogé sur les modalités d'exercice des droits d'accès et de rectification, le ministère renvoie aux dispositions à l'article 4 du décret n° 2016-1044 du 29 juillet 2016 et au projet d'arrêté relatif aux conditions de fonctionnement du traitement automatisé de données à caractère personnel de la carte d'identification professionnelle des salariés du BTP.
Il en résulte que, s'agissant du traitement SIPSI, les droits d'accès et de rectification des données s'exercent auprès du responsable de l'unité départementale de la Direction régionale des entreprises, de la concurrence, de la consommation, du travail et de l'emploi compétente pour le lieu de la prestation. Elle relève, concernant le traitement SI-CTP, que ces droits s'exercent directement auprès de I'UCF-CI BTP.
L'intégration de ces précisions dans le projet de décret contribuerait à renforcer l'information des personnes concernées.
Enfin, le ministère indique que les personnes concernées ne peuvent pas s'opposer à la transmission de leurs informations au moyen de l'interopérabilité entre les fichiers SIPSI et SI-CTP. La commission en prend acte et relève néanmoins que le présent projet de décret n'en fait pas mention.
Sur les mesures de sécurité :
Des profils d'habilitation sont prévus afin de gérer les accès aux données en tant que de besoin. La commission recommande que la gestion et l'usage des habilitations fassent l'objet de procédures formalisées, validées par le responsable de traitement et portées à la connaissance des utilisateurs. Elle recommande également que les permissions d'accès soient supprimées pour tout utilisateur n'étant plus habilité et qu'une revue globale des habilitations soit opérée régulièrement.
Le contrôle des accès repose sur des mots de passe pour lesquelles une structure et une durée de validité ont été fixées. La commission rappelle qu'elle recommande le recours à des mots de passe d'une longueur minimale de huit caractères, composés de minuscules, majuscules, chiffres et caractères spéciaux. Le mot de passe doit être modifié par l'utilisateur dès sa première connexion puis régulièrement.
La commission recommande en outre, pour les administrateurs du traitement que la longueur du mot de passe soit de à dix caractères minimum.
La commission rappelle également que les mots de passe ne doivent pas être stockés en clair en base de données et recommande de stocker les empreintes obtenues par une fonction de hachage à clé secrète adaptée.
Les transferts de données sont sécurisés par la mise en œuvre à la fois d'un VPN IPsec et du protocole SSUTLS pour le chiffrement des flux et l'authentification du serveur. Concernant ce dernier, la commission recommande d'utiliser la version de TLS la plus à jour possible.
Des sauvegardes régulières, au minimum mensuelles, sont réalisées. La commission recommande que le transfert et le stockage des sauvegardes soit sécurisé, notamment par chiffrement des sauvegardes, et que des tests de continuité d'activité soient effectués régulièrement.
La mise au point des logiciels s'effectue sur des données anonymisées.
Les interventions de maintenance font l'objet d'une traçabilité et d'une surveillance. Les supports de stockages destinés à la destruction font l'objet d'une procédure de protection particulière.
La commission recommande de prévoir la mise en place d'une architecture de journalisation permettant de conserver, en assurant leur intégrité, sur une durée de six mois (hors contraintes légales spécifiques), une trace des événements de sécurité et du moment où ils ont eu lieu, en choisissant les événements à journaliser en fonction du contexte, des supports (postes de travail, pare-feu, équipements réseau, serveurs, etc.), des risques et du cadre légal.
Enfin, l'accès aux iocaux et équipement hébergeant ie traitement est sécurisé par un contrôle d'accès physique et la présence d'un gardien.
Sous réserve de ces observations, la commission estime que les mesures de sécurité décrites par le responsable de traitement dans le dossier d'instruction sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi « Informatique et Libertés ».
Elle rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques et de l'évolution des technologies.

1 version

Historique des versions

Version 1

La Commission nationale de l'informatique et des libertés,

Saisie par le ministère du travail, de l'emploi, de la formation professionnelle et du dialogue social d'une demande d'avis concernant un projet un projet de décret en Conseil d'Etat relatif à l'interopérabilité du système d'information des prestations de services internationales (SIPSI) et du système d'information de la carte d'identification professionnelle des salariés du bâtiment et des travaux publics (SI­ CIP) ainsi qu'à la dématérialisation de la déclaration subsidiaire de détachement effectuée par les maîtres d'ouvrage et donneurs d'ordre ;

Vu la convention n° 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu le code du travail, notamment ses articles L. 1262-2 et suivants, R. 1263-1 et suivants, L. 8291-1 et suivants et R. 8291-1 et suivants ;

Vu la loi n° 2016-1088 du 8 août 2016 relative au travail, à la modernisation du dialogue social et à la sécurisation des parcours professionnels, notamment son article 105 ;

Vu la loi n° 2015-990 du 6 août 2015 pour la croissance, l'activité, l'égalité des chances économiques, notamment son article 282 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 11 (4°), a) ;

Vu le décret n° 2016-1044 du 29 juillet 2016 relatif à la transmission dématérialisée des déclarations et attestations de détachement de salariés et autorisant un traitement des données à caractère personnel qui y figurent ;

Vu le décret n° 2016-175 du 22 février 2016 relatif à la carte d'identification professionnelle des salariés du bâtiment et des travaux publics ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2016-160 du 19 mai 2016 portant avis sur un projet de décret relatif à la mise en œuvre d'un traitement de données à caractère personnel dénommé « SIPSI » ;

Vu la délibération n° 2016-024 du 28 janvier 2016 de la Commission nationale de l'informatique et des libertés portant avis sur un projet de décret en Conseil d'Etat relatif au dispositif national de la carte d'identification professionnelle des salariés du bâtiment et des travaux publics ;

Vu le dossier et ses compléments ;

Sur la proposition de Mme Marie-France MAZARS, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,

Emet l'avis suivant :

La commission a été saisie par le ministère du Travail, de l'Emploi, de la Formation professionnelle et du Dialogue social d'une demande d'avis concernant un projet un projet de décret en Conseil d'Etat relatif à l'interopérabilité du système d'information des prestations de services internationales (SIPSI) et du système d'information de la carte d'identification professionnelle des salariés du bâtiment et des travaux publics (SI-CIP) ainsi qu'à la dématérialisation de la déclaration subsidiaire de détachement effectuée par les maîtres d'ouvrage et donneurs d'ordre.

Le présent projet de décret modifie les dispositions du code du travail intégrées par le décret n° 2016-1044 du 29 juillet 2016 relatif à la transmission dématérialisée des déclarations et attestations de détachement de salariés et autorisant un traitement des données à caractère personnel qui y figurent, d'une part, et par le décret n° 2016-175 du 22 février 2016 relatif à la carte d'identification professionnelle des salariés du bâtiment et des travaux publics, d'autre part.

Sur les finalités :

Le projet de décret vise à développer une interopérabilité entre le fichier SIPSI, relatif au traitement automatisé des déclarations de détachement de travailleurs sur le territoire national effectuées par des entreprises établies à l'étranger dans le cadre de prestations de services internationales, et le fichier SI-CIP, relatif au traitement automatisé de la carte d'identification professionnelle des salariés du bâtiment et des travaux publics (BTP).

Cette interopérabilité s'inscrit dans une optique de renforcement de la lutte contre le travail illégal et les fraudes au détachement de travailleurs dans le secteur d'activité du BTP.

Aux termes de l'article 5 du projet de décret, le traitement a pour finalité de garantir la fiabilité de la délivrance des cartes d'identification professionnelle des salariés du BTP pour les salariés détachés sur le territoire national par des employeurs établis hors de France.

Plus concrètement, ce traitement consiste en une transmission automatique à l'Union des caisses de France-Congés intempéries BTP (UCF-CI BTP) des données contenues dans les déclarations de détachement des salariés employés par des entreprises établies hors de France pour effectuer sur le territoire national des travaux mentionnés à l'article R. 8291-1 du code du travail.

Il en résulte que les données contenues dans ie fichier SIPSI sont directement intégrées dans le fichier SI-CIP.

C'est dans ce contexte que les déclarations de détachement mentionnées aux articles R. 1263-3 et suivants, effectuées via le téléservice SIPSI par les employeurs de salariés réalisant des travaux de BTP, valent déclarations en vue de demandes de cartes d'identification professionnelle des salariés du BTP, délivrées par I'UCF-CI BTP.

L'interopérabilité a en ce sens vocation à fiabiliser et à simplifier le dispositif d'édition des cartes d'identification professionnelle des salariés du BTP.

En effet, le flux d'information entre les fichiers permettra de s'assurer que les entreprises concernées ont accompli leurs obligations déclaratives au titre du détachement de leurs salariés, et se substituera à l'obligation de joindre une copie de déclaration de détachement, préalable nécessaire en vue de l'obtention d'une carte d'identification professionnelle. Les données transmises permettent en outre de pré­ initialiser les comptes des entreprises sur le SI-CIP ainsi que les demandes de titres pour les salariés concernés.

Par ailleurs, conformément aux dispositions de l'article 105 de la loi n° 2016-1088 du 8 août 2016 relative au travail, à la modernisation du dialogue social et à la sécurisation des parcours professionnels, l'article 5 du projet de décret prévoit que les maîtres d'ouvrages et les donneurs d'ordre pourront réaliser, par voie dématérialisée, les déclarations de détachement subsidiaires, en cas de manquement à cette formalité par leurs prestataires de services étrangers.

La commission considère que les finalités sont déterminées, explicites et légitimes.

Sur les données traitées :

L'article 5 du projet de décret liste les données suivantes, transmises automatiquement à I'UCF-CI BTP à l'occasion des déclarations de détachement des salariés via le téléservice SIPSI :

- s'agissant des salariés détachés : nom, prénoms, date et lieu de naissance, nationalité ;

- s'agissant des entreprises qui détachent des salariés en France et de leurs dirigeants : nom ou raison sociale de l'entreprise, nom, prénoms, date et lieu de naissance du ou des dirigeant(s), adresses postales et électroniques, coordonnées téléphoniques de l'entreprise ou de l'établissement, forme juridique de l'entreprise, références de son immatriculation à un registre professionnel ou toutes autres références équivalentes ;

- s'agissant des représentants des entreprises en France, pour la durée des prestations : noms, prénoms, date de naissance, s'il s'agit de personnes physiques ; raison sociale, s'il s'agit de personnes morales ; adresses électroniques et postales, coordonnées téléphoniques ;

- s'agissant de la nature et des conditions de réaiisation des prestations en France : adresse du ou des lieu(x) successifs d'accomplissement des prestations, dates du début de la prestation et de sa fin prévisible.

L'article 3 du projet de décret ajoute qu'à réception des données listées ci-dessus, I'UCF-CI BTP demande aux entreprises à l'origine des déclarations, ou à leurs représentants en France, de lui adresser via son site internet dédié, les données suivantes, pour chaque salarié détaché : photographie d'identité numérisée, sexe, nature du contrat de travail, numéro de l'autorisation de travail ou de la carte de séjour valant autorisation de travail, le cas échéant.

La commission relève que les données ainsi transmises à I'UCF-CI BTP n'excèdent pas celles nécessaires à la gestion et au suivi des titres, listées dans le décret n° 2016-175 du 22 février 2016 relatif à la carte d'identification professionnelle des salariés du BTP.

Elle estime que les données traitées sont pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées.

Sur les destinataires :

La commission constate que le projet de décret ne mentionne pas les catégories de personnes appelées à accéder aux données en raison de leurs missions.

Interrogé sur ce point, le ministère indique que la mise en place de l'interopérabilité ne requiert pas que d'autres destinataires que ceux indiqués à l'article 3 du décret n° 2016-1044 du 29 juillet 2016 et à l'article 3 du projet d'arrêté relatif aux conditions de fonctionnement du traitement automatisé de données à caractère personnel de la carte d'identification professionnelle des salariés du BTP, n'aient accès aux données.

La commission prend bonne note de cette précision et estime que le projet de décret devrait être complété sur ce point afin de renforcer l'information des personnes concernées.

Elle rappelle que l'accès aux différents systèmes d'information par l'ensemble de ces destinataires doit s'appuyer sur une politique de gestion rigoureuse des habilitations et considère, sous cette réserve, que les destinataires présentent un intérêt légitime à accéder en tout ou partie aux données.

Sur les durées de conservation :

Le projet de décret ne précise pas les durées de conservation des données.

Interrogé sur ce point, le ministère renvoie aux durées de conservation mentionnées à l'article 5 du décret n° 2016-1044 du 29 juillet 2016, et à l'article 4 du projet d'arrêté relatif aux conditions de fonctionnement du traitement automatisé de données à caractère personnel de la carte d'identification professionnelle des salariés du BTP, à savoir respectivement cinq ans à compter de la fin de la prestation en France, et cinq ans à compter de la dernière invalidation enregistrée pour le compte du titulaire du titre.

La commission estime que l'ajout de cette précision dans le décret serait également de nature à renforcer l'information des personnes concernées.

Elle estime que les données traitées ne sont pas conservées au-delà du temps nécessaire à l'accomplissement des finalités pour lesquelles elles ont été collectées.

Sur l'information et les droits des personnes :

L'article 3 du projet de décret (projet d'article R. 8293-2 du code du travail) prévoit qu'avant d'effectuer la déclaration auprès de I'UCF-CI BTP, les employeurs informent les salariés de la transmission des données personnelles les concernant.

La commission rappelle que conformément à l'article 32 de la loi « Informatique et Libertés », l'information doit porter sur l'identité du responsable du traitement, les objectifs poursuivis par le traitement, le caractère obligatoire ou facultatif des réponses, les conséquences éventuelles d'un défaut de réponse, les destinataires des données, les droits des personnes, et le cas échéant, les transferts de données hors de l'Union européenne.

Elle souligne qu'en tout état de cause, cette information doit être donnée, aux salariés, d'une part, et aux employeurs, d'autre part, préalablement à la collecte des données, selon des modalités adaptées au nombre de personnes concernées.

Interrogé sur les modalités d'exercice des droits d'accès et de rectification, le ministère renvoie aux dispositions à l'article 4 du décret n° 2016-1044 du 29 juillet 2016 et au projet d'arrêté relatif aux conditions de fonctionnement du traitement automatisé de données à caractère personnel de la carte d'identification professionnelle des salariés du BTP.

Il en résulte que, s'agissant du traitement SIPSI, les droits d'accès et de rectification des données s'exercent auprès du responsable de l'unité départementale de la Direction régionale des entreprises, de la concurrence, de la consommation, du travail et de l'emploi compétente pour le lieu de la prestation. Elle relève, concernant le traitement SI-CTP, que ces droits s'exercent directement auprès de I'UCF-CI BTP.

L'intégration de ces précisions dans le projet de décret contribuerait à renforcer l'information des personnes concernées.

Enfin, le ministère indique que les personnes concernées ne peuvent pas s'opposer à la transmission de leurs informations au moyen de l'interopérabilité entre les fichiers SIPSI et SI-CTP. La commission en prend acte et relève néanmoins que le présent projet de décret n'en fait pas mention.

Sur les mesures de sécurité :

Des profils d'habilitation sont prévus afin de gérer les accès aux données en tant que de besoin. La commission recommande que la gestion et l'usage des habilitations fassent l'objet de procédures formalisées, validées par le responsable de traitement et portées à la connaissance des utilisateurs. Elle recommande également que les permissions d'accès soient supprimées pour tout utilisateur n'étant plus habilité et qu'une revue globale des habilitations soit opérée régulièrement.

Le contrôle des accès repose sur des mots de passe pour lesquelles une structure et une durée de validité ont été fixées. La commission rappelle qu'elle recommande le recours à des mots de passe d'une longueur minimale de huit caractères, composés de minuscules, majuscules, chiffres et caractères spéciaux. Le mot de passe doit être modifié par l'utilisateur dès sa première connexion puis régulièrement.

La commission recommande en outre, pour les administrateurs du traitement que la longueur du mot de passe soit de à dix caractères minimum.

La commission rappelle également que les mots de passe ne doivent pas être stockés en clair en base de données et recommande de stocker les empreintes obtenues par une fonction de hachage à clé secrète adaptée.

Les transferts de données sont sécurisés par la mise en œuvre à la fois d'un VPN IPsec et du protocole SSUTLS pour le chiffrement des flux et l'authentification du serveur. Concernant ce dernier, la commission recommande d'utiliser la version de TLS la plus à jour possible.

Des sauvegardes régulières, au minimum mensuelles, sont réalisées. La commission recommande que le transfert et le stockage des sauvegardes soit sécurisé, notamment par chiffrement des sauvegardes, et que des tests de continuité d'activité soient effectués régulièrement.

La mise au point des logiciels s'effectue sur des données anonymisées.

Les interventions de maintenance font l'objet d'une traçabilité et d'une surveillance. Les supports de stockages destinés à la destruction font l'objet d'une procédure de protection particulière.

La commission recommande de prévoir la mise en place d'une architecture de journalisation permettant de conserver, en assurant leur intégrité, sur une durée de six mois (hors contraintes légales spécifiques), une trace des événements de sécurité et du moment où ils ont eu lieu, en choisissant les événements à journaliser en fonction du contexte, des supports (postes de travail, pare-feu, équipements réseau, serveurs, etc.), des risques et du cadre légal.

Enfin, l'accès aux iocaux et équipement hébergeant ie traitement est sécurisé par un contrôle d'accès physique et la présence d'un gardien.

Sous réserve de ces observations, la commission estime que les mesures de sécurité décrites par le responsable de traitement dans le dossier d'instruction sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi « Informatique et Libertés ».

Elle rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques et de l'évolution des technologies.