Retour à la section

Délibération n°2023-019 du 9 mars 2023

JORF n°0236 du 11 octobre 2023

| Date de l'avis : 9 mars 2023 | N° de la délibération : 2023-019 | |:-----------------------------------------------------------------------------------------------------------------------------------------------------------------|:-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| | N° de demande d'avis : 23000269 |Textes concernés : projet de décret en Conseil d'Etat relatif à la consultation par les établissements publics de santé des données issues de la déclaration à l'embauche prévue par l'article L. 1221-10 du code du travail| | Thématiques : cumul d'activités, établissements publics de santé, déclaration à l'embauche. | Fondement de la saisine : article L. 1451-5 du code de la santé publique | |L'essentiel :
La CNIL accueille favorablement les garanties apportées par le projet de décret dont les dispositions n'appellent pas d'observations majeures.| |

La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (loi « informatique et libertés ») ;
Sur la proposition de M. Alexandre LINDEN, commissaire, et après avoir entendu les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Adopte la délibération suivante :

I. - La saisine
A. - Le contexte

L'embauche d'un salarié ne peut intervenir qu'après déclaration nominative accomplie par l'employeur auprès des organismes de protection sociale désignés à cet effet, conformément aux articles L. 1221-10 et R. 1221-1 et suivants du code du travail.
Selon l'article L. 1451-5 du code de la santé publique (CSP), afin de contrôler le cumul irrégulier d'activités, l'autorité investie du pouvoir de nomination au sein des établissements publics de santé peut consulter des données issues des déclarations nominatives préalables à l'embauche dans des conditions fixées par un décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés (CNIL).

B. - L'objet de la saisine

La CNIL est saisie par le ministère de la santé et de la prévention de ce projet de décret en Conseil d'Etat relatif à la consultation par les établissements publics de santé des données issues de la déclaration à l'embauche.
Ce projet encadre le traitement de données à caractère personnel constitué pour permettre aux établissements publics de santé de consulter, à certaines conditions, les données strictement nécessaires issues du traitement source de l'Agence centrale des organismes de sécurité sociale (ACOSS) centralisant les déclarations préalables à l'embauche. L'ACOSS en est responsable de traitement au sens de l'article 4-7 du RGPD.

II. - L'avis de la CNIL

La CNIL accueille favorablement les garanties apportées par le projet de décret, notamment :

- le respect du principe de minimisation (projet d'article R. 1451-21 du CSP) ;
- la durée de conservation adaptée et limitée aux besoins des établissements publics de santé de déclencher, le cas échéant et dans un délai maximum de trois ans, une procédure disciplinaire (projet d'article R. 1451-25 du CSP) ;
- la politique de gestion des habilitations et des accès réduisant significativement le nombre de personnes autorisées à consulter les données de la déclaration préalable à l'embauche (projet d'articles R. 1451-18 à R. 1451-20 du CSP) ;
- les critères définis pour restreindre les hypothèses de contrôle par l'autorité investie du pouvoir de nomination (projet d'article R. 1451-22 du CSP).

A. - Sur le droit à l'information

La CNIL prend acte de l'engagement du ministère de modifier le projet de décret pour que les agents publics concernés puissent être informés par tous moyens (et non exclusivement par le règlement intérieur) de la possibilité pour les établissements publics de santé de consulter les données les concernant et figurant dans les déclarations préalables à l'embauche.
Le support d'information pourra être un affichage, un courrier ou encore le site web de l'établissement, pourvu que l'information des agents soit effectivement réalisée. Le ministère proposera aux établissements publics de santé des mentions types d'information, conformes aux articles 12 à 14 du RGPD, qu'ils porteront à la connaissance des agents, par le canal qu'ils estiment le plus pertinent et le plus adapté à leurs situations respectives.

B. - Sur la politique de gestion des habilitations et des accès

Concernant la désignation des référents intervenant dans la politique de gestion des habilitations et des accès au sein des groupements hospitaliers de territoire, la CNIL prend acte de l'engagement du ministère de préciser le projet de décret, afin d'y intégrer la spécificité des établissements publics de santé bénéficiant de la dérogation visée par l'article L. 6132-1 du CSP autorisant un établissement public de santé à ne pas être partie à une convention de groupement hospitalier de territoire.

C. - Sur la sécurité

Selon le projet d'article R. 1451-20 du CSP, la consultation des données relatives au cumul d'activités sera réalisée via un « moyen technique sécurisé mis à disposition par l'Agence centrale des organismes de sécurité sociale ». Cette consultation sera rendue possible après vérification de l'identité des personnes concernées et autorisation d'accès de celles-ci. La CNIL prend acte de ce que ce moyen technique est constitué par le traitement automatisé relatif à l'enregistrement des déclarations préalables à l'embauche, dont l'accès est possible grâce à un site web.
La CNIL rappelle ses recommandations relatives à la sécurité, notamment en matière de gestion des mots de passe, de sécurisation des flux réseau et de journalisation.
Les autres dispositions du projet de décret n'appellent pas d'observations.

1 version

Historique des versions

Version 1

Date de l'avis : 9 mars 2023

N° de la délibération : 2023-019

N° de demande d'avis : 23000269

Textes concernés : projet de décret en Conseil d'Etat relatif à la consultation par les établissements publics de santé des données issues de la déclaration à l'embauche prévue par l'article L. 1221-10 du code du travail

Thématiques : cumul d'activités, établissements publics de santé, déclaration à l'embauche.

Fondement de la saisine : article L. 1451-5 du code de la santé publique

L'essentiel :

La CNIL accueille favorablement les garanties apportées par le projet de décret dont les dispositions n'appellent pas d'observations majeures.

La Commission nationale de l'informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (loi « informatique et libertés ») ;

Sur la proposition de M. Alexandre LINDEN, commissaire, et après avoir entendu les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,

Adopte la délibération suivante :

I. - La saisine

A. - Le contexte

L'embauche d'un salarié ne peut intervenir qu'après déclaration nominative accomplie par l'employeur auprès des organismes de protection sociale désignés à cet effet, conformément aux articles L. 1221-10 et R. 1221-1 et suivants du code du travail.

Selon l'article L. 1451-5 du code de la santé publique (CSP), afin de contrôler le cumul irrégulier d'activités, l'autorité investie du pouvoir de nomination au sein des établissements publics de santé peut consulter des données issues des déclarations nominatives préalables à l'embauche dans des conditions fixées par un décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés (CNIL).

B. - L'objet de la saisine

La CNIL est saisie par le ministère de la santé et de la prévention de ce projet de décret en Conseil d'Etat relatif à la consultation par les établissements publics de santé des données issues de la déclaration à l'embauche.

Ce projet encadre le traitement de données à caractère personnel constitué pour permettre aux établissements publics de santé de consulter, à certaines conditions, les données strictement nécessaires issues du traitement source de l'Agence centrale des organismes de sécurité sociale (ACOSS) centralisant les déclarations préalables à l'embauche. L'ACOSS en est responsable de traitement au sens de l'article 4-7 du RGPD.

II. - L'avis de la CNIL

La CNIL accueille favorablement les garanties apportées par le projet de décret, notamment :

- le respect du principe de minimisation (projet d'article R. 1451-21 du CSP) ;

- la durée de conservation adaptée et limitée aux besoins des établissements publics de santé de déclencher, le cas échéant et dans un délai maximum de trois ans, une procédure disciplinaire (projet d'article R. 1451-25 du CSP) ;

- la politique de gestion des habilitations et des accès réduisant significativement le nombre de personnes autorisées à consulter les données de la déclaration préalable à l'embauche (projet d'articles R. 1451-18 à R. 1451-20 du CSP) ;

- les critères définis pour restreindre les hypothèses de contrôle par l'autorité investie du pouvoir de nomination (projet d'article R. 1451-22 du CSP).

A. - Sur le droit à l'information

La CNIL prend acte de l'engagement du ministère de modifier le projet de décret pour que les agents publics concernés puissent être informés par tous moyens (et non exclusivement par le règlement intérieur) de la possibilité pour les établissements publics de santé de consulter les données les concernant et figurant dans les déclarations préalables à l'embauche.

Le support d'information pourra être un affichage, un courrier ou encore le site web de l'établissement, pourvu que l'information des agents soit effectivement réalisée. Le ministère proposera aux établissements publics de santé des mentions types d'information, conformes aux articles 12 à 14 du RGPD, qu'ils porteront à la connaissance des agents, par le canal qu'ils estiment le plus pertinent et le plus adapté à leurs situations respectives.

B. - Sur la politique de gestion des habilitations et des accès

Concernant la désignation des référents intervenant dans la politique de gestion des habilitations et des accès au sein des groupements hospitaliers de territoire, la CNIL prend acte de l'engagement du ministère de préciser le projet de décret, afin d'y intégrer la spécificité des établissements publics de santé bénéficiant de la dérogation visée par l'article L. 6132-1 du CSP autorisant un établissement public de santé à ne pas être partie à une convention de groupement hospitalier de territoire.

C. - Sur la sécurité

Selon le projet d'article R. 1451-20 du CSP, la consultation des données relatives au cumul d'activités sera réalisée via un « moyen technique sécurisé mis à disposition par l'Agence centrale des organismes de sécurité sociale ». Cette consultation sera rendue possible après vérification de l'identité des personnes concernées et autorisation d'accès de celles-ci. La CNIL prend acte de ce que ce moyen technique est constitué par le traitement automatisé relatif à l'enregistrement des déclarations préalables à l'embauche, dont l'accès est possible grâce à un site web.

La CNIL rappelle ses recommandations relatives à la sécurité, notamment en matière de gestion des mots de passe, de sécurisation des flux réseau et de journalisation.

Les autres dispositions du projet de décret n'appellent pas d'observations.