La Commission nationale de l'informatique et des libertés,
Saisie par le ministère de l'action et des comptes publics d'une demande d'avis sur un projet de décret relatif à un traitement automatisé de données à caractère personnel dénommé « Base concours » ayant pour finalité la production d'études et de statistiques anonymes ainsi que la réalisation de travaux de recherche sur l'accès à la fonction publique ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 11 (4°, a) ;
Vu la loi n° 83-634 du 13 juillet 1983 modifiée portant droits et obligations des fonctionnaires ;
Vu la loi n° 84-16 du 11 janvier 1984 modifiée portant dispositions statutaires relatives à la fonction publique de l'Etat ;
Vu la loi n° 84-53 du 26 janvier 1984 modifiée portant dispositions statutaires relatives à la fonction publique territoriale ;
Vu la loi n° 86-33 du 9 janvier 1986 modifiée portant dispositions statutaires relative à la fonction publique hospitalière ;
Vu la loi n° 2017-86 du 27 janvier 2017 relative à l'égalité et à la citoyenneté notamment son article 161 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le dossier et ses compléments ;
Sur la proposition de Mme Marie France MAZARS, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,
Emet l'avis suivant :
L'article 161 de la loi n° 2017-86 du 27 janvier 2017 relative à l'égalité et à la citoyenneté a créé un article 16 bis à la loi n° 83-634 du 13 juillet 1983 portant droits et obligations des fonctionnaires.
Ce nouvel article prévoit que les administrations mentionnées à l'article 2 de la loi n° 83-634 du 13 juillet 1983 demandent aux personnes candidates à l'accès aux corps et cadres d'emplois de la fonction publique de 1'Etat, territoriale et hospitalière dans le cadre d'un recrutement par concours externe, interne ou troisième concours, de fournir des données relatives à leur formation et leur environnement social ou professionnel afin de produire des études et statistiques sur l'accès aux emplois mentionnés à l'article 3 de la loi susvisée.
Aussi, le ministère de l'action et des comptes publics a saisi la Commission nationale de l'informatique et des libertés sur le fondement de l'article 11 (4°, a) de la loi du 6 janvier 1978 modifiée en août 2004 d'une demande d'avis concernant un projet de décret relatif aux caractéristiques et au processus de sélection des candidats à l'accès à la fonction publique.
Sur les finalités et le fonctionnement du traitement
L'article 1er du projet de décret prévoit que le service statistique ministériel du ministère de l'action et des comptes publics (DESSI) met en œuvre un traitement automatisé de données à caractère personnel dénommé « Base concours » ayant pour finalité la production d'études et de statistiques anonymes ainsi que la réalisation de travaux de recherche sur l'accès à la fonction publique.
Aussi, les administrations mentionnées à l'article 2 de la loi n° 83-634 du 13 juillet 1983 portant droits et obligations des fonctionnaires, et chargées d'organiser les recrutements prévus par les articles 19 de la loi du 11 janvier 1984, 36 de la loi du 26 janvier 1984 et 29 de la loi du 9 janvier 1986 (articles 2 et 3 du projet de décret), collectent auprès des candidats des informations relatives à leur identification ainsi que des informations relatives au concours et les transmettent au service statistique du ministère.
La transmission de ces informations par les administrations permet au service statistique ministériel de réaliser, à l'issue de l'inscription des candidats à un des concours et avant l'envoi des convocations pour les premières épreuves, une « enquête concours » par l'envoi d'un questionnaire en ligne aux candidats (articles 1er et 4 du projet de décret).
Une fois le processus de sélection terminé, les autorités organisatrices du recrutement communiquent au service statistique ministériel les informations relatives à la situation du candidat au moment de l'inscription, au concours et aux modalités de recrutement, ainsi qu'à la sélection des candidats.
Aussi, le service statistique ministériel apparie les informations susmentionnées avec les informations issues de « l'enquête concours » afin de constituer la « Base concours ».
La commission considère les finalités poursuivies par le traitement comme déterminées, explicites et légitimes conformément aux dispositions de l'article 6 (2°) de la loi Informatique et Libertés.
Sur les données à caractère personnel traitées
L'article 3 du projet de décret prévoit que les autorités organisatrices des recrutements transmettent au service statistique ministériel, des informations relatives :

- à l'identification du recrutement ;
- à l'identification des candidats inscrits et plus particulièrement : nom de naissance, nom d'usage et prénoms, sexe, date, pays et lieu de naissance, adresse postale et adresse courriel ;
- à la situation du candidat au moment de l'inscription ;
- au concours et aux modalités de recrutement ;
- à la sélection des candidats.

La commission prend note que l'article 3 du projet de décret prévoit que les informations relatives à l'identification du recrutement, à la situation du candidat au moment de l'inscription, au concours et aux modalités de recrutement ainsi qu'à la sélection des candidats seront précisées ultérieurement par un arrêté du ministre du ministère de l'action et des comptes publics.
D'autre part, l'article 5 du projet de décret prévoit que dans le cadre de « l'enquête concours », des informations relatives aux caractéristiques sociodémographiques peuvent être collectées, et plus particulièrement :

- la nationalité de naissance et le cas échéant l'autre nationalité ;
- le diplôme obtenu le plus élevé et sa nature ou son objet du diplôme, et, le cas échéant la nature (ou l'objet) du deuxième diplôme requis par des dispositions réglementaires ;
- la situation de famille et le nombre d'enfants ;
- la situation professionnelle ;
- la catégorie socioprofessionnelle principale de chacun des deux parents ou tuteurs, actuelle ou correspondant à leur dernière activité professionnelle ;
- l'appartenance de chacun des deux parents ou tuteurs à un corps ou cadre d'emploi de la fonction publique ;
- le lieu de naissance de chacun des deux parents ou tuteurs ;
- la nationalité de naissance de chacun des deux parents ou tuteurs.

S'agissant des informations relatives au lieu de naissance ainsi que la nationalité de naissance de chacun des deux parents ou tuteurs, la commission prend note que ces informations sont collectées afin d'analyser les résultats différentiels aux concours selon les origines des candidats.
D'autre part, la commission relève que des informations complémentaires quantitatives ou qualitatives peuvent être collectées dans le cadre de « l'enquête concours ».
Sur ce dernier point, la commission rappelle que les données collectées doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées, conformément aux dispositions de l'article 6 (3°) de la loi Informatique et Libertés.
Sur les destinataires des données
Dans les limites de leurs attributions respectives, et chacun pour ce qui le concerne, peuvent accéder aux données enregistrées dans le traitement, les personnels du service statistique ministériel du ministère de l'action et des comptes publics.
L'article 8 du projet de décret prévoit que les informations concernant les recrutements de la fonction publique territoriale seront transmises au service statistique du ministère en charge des collectivités territoriales, et que les informations concernant les recrutements de la fonction publique hospitalière seront transmises au service statistique du ministère de la santé, à raison de leurs attributions respectives et dans la limite du besoin d'en connaître.
D'autre part, la commission prend note que peuvent être destinataires des informations issues de la « Base concours », autres que celles relatives aux noms de naissance, d'usage, prénoms, adresses postale et courriel, les services statistiques de certains organismes dans les conditions prévues à l'article 17 du décret du 20 mars 2009 relatif au Conseil national de l'information statistique, au Comité du secret statistique et au Comité du label de la statistique publique, à des fins de statistique publique ou de recherche scientifique ou historique, après avis du comité du secret statistique.
La commission estime que ces personnes présentent un intérêt légitime à connaître de ces données.
Sur la durée de conservation
Dans la mesure où il s'agit d'études longitudinales, l'article 9 du projet de décret prévoit que les informations relatives à l'identité des candidats inscrits à un des concours sont conservées par le service statistique ministériel cinq ans à l'issue de la publication de la liste des personnes admises au dernier recrutement auquel ils ont été inscrits.
S'agissant des informations relatives à l'identification du recrutement, à la situation du candidat au moment de l'inscription, au concours et aux modalités de recrutement, à la sélection des candidats, ainsi qu'aux caractéristiques sociodémographiques, l'article 9 du projet de décret prévoit que celles-ci sont conservées par les services statistiques du ministère de l'action et des comptes publics, du ministère en charge des collectivités territoriales et du ministère de la santé, six ans à l'issue de la publication de la liste des personnes admises aux recrutements.
Les informations susvisées sont ensuite archivées de manière définitive, conformément aux dispositions du code du patrimoine.
Ces durées n'appellent pas d'observation de la part de la commission.
Sur l'information et les droits des personnes
La commission n'est pas en mesure de se prononcer sur les modalités d'information des personnes concernées mais prend acte que celles-ci seront précisées dans le cadre des formalités préalables qui seront accomplies par chacun des organismes concernés conformément à l'article 6 du projet de décret.
Aussi, la commission rappelle que les personnes participantes à « l'enquête concours » devront être informées conformément aux dispositions de l'article 32 de la loi Informatique et Libertés.
Sur les mesures de sécurité
La commission prend acte que l'ordonnance n° 2005-1516 du 8 décembre 2005 modifiée relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, ainsi que le décret n° 2010-112 du 2 février 2010 pris pour application des articles 9, 10 et 12 de l'ordonnance précitée, seront visés dans le projet de décret.
S'agissant du traitement en lui-même, la commission relève que celui-ci sera alimenté par différents flux :

- en premier lieu, entre la validation de l'inscription et l'envoi des convocations aux premières épreuves, l'autorité organisatrice communique au DESSI les données d'identification du candidat (nom de naissance, d'usage, prénoms, sexe, date et lieu de naissance avec pays, adresse postale et courriel), d'identification du recrutement et du concours ;
- en second lieu, une fois le processus de sélection terminé, l'autorité organisatrice communique au DESSI les données individuelles relatives à la sélection des candidats, à la situation du candidat au moment de l'inscription, ainsi que les données relatives au concours et aux modalités de recrutement ;
- enfin le candidat est invité à remplir un questionnaire depuis un espace en ligne mis en œuvre par le DESSI dans un but statistique.

Le ministère précise tout d'abord que les données relatives aux deux premiers flux seront échangées via des canaux de communication chiffrés et assurant l'authentification de la source et du destinataire s'agissant de la fonction publique territoriale et hospitalière.
La commission prend acte de cette modalité d'échange et n'a pas de remarque particulière à formuler.
Le ministère précise ensuite que les données relatives au second flux seront également échangées via des canaux de communication chiffrés et assurant l'authentification de la source et du destinataire s'agissant de la fonction publique de l'Etat.
La commission en prend également acte et relève que les données relatives au premier flux, dans le cas de la fonction publique de l'Etat, utiliseront le même canal chiffré que les autres versants de la fonction publique.
Enfin, la commission note que le questionnaire mis en ligne par le DESSI dans un but statistique s'effectuera depuis un site internet sécurisé par le protocole https qui permet de garantir la confidentialité des données échangées ainsi que l'authentification du responsable de traitement. Concernant le recours à ce protocole, la commission recommande d'utiliser la version de TLS la plus à jour possible.
S'agissant de l'accès aux informations collectées au sein du traitement, la commission prend acte que les agents des services statistiques sont habilités individuellement et qu'ils signent un engagement de confidentialité.
La commission recommande que des revues d'habilitations soient effectuées de façon périodique et a minima une à deux fois par année.
Enfin, dans le cas où l'authentification des agents reposerait sur un couple identifiant et mot de passe, la commission rappelle qu'elle a élaboré, dans sa délibération n° 2017-012 du 19 janvier 2017, plusieurs recommandations relatives aux mots de passe qui devraient être suivies.
Sous réserve de l'effectivité de l'ensemble des éléments précités, la commission considère que la sécurité du dispositif est assurée de façon adéquate, conformément aux prescriptions de l'article 34 de la loi du 6 janvier 1978 modifiée.