Retour à la section

Délibération n°2024-078 du 7 novembre 2024

JORF n°0309 du 31 décembre 2024

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Avis de la CNIL sur les traitements de données du SI-CPF et de MAF

Résumé La CNIL demande au ministère de mieux expliquer les raisons des traitements de données et de respecter les règles européennes sur la durée de conservation des données.

| N° de demande d'avis : 24010025 | Thématiques : compte professionnel de formation, contrôle et référencement des organismes de formation, lutte contre la fraude | |:---------------------------------------------------------------------------|:---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| |Organisme(s) à l'origine de la saisine : ministère du Travail et de l'Emploi|Fondement de la saisine : article 8. I. 4°, a) de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés|

L'essentiel :
Les traitements relatifs au système d'information du compte personnel de formation (« SI-CPF ») et à « Mon Activité Formation » (« MAF ») répondent à de nouvelles finalités relatives au contrôle et au référencement des organismes de formation par la Caisse des dépôts et consignations et à la lutte contre la fraude.
La CNIL considère que la publication des données relatives aux déréférencements des organismes de formation constitue une finalité propre qui devrait être mentionnée explicitement dans le projet de décret.
Elle recommande au ministère de distinguer les catégories de données à caractère personnel nécessaires d'une part, pour la gestion et le contrôle des droits acquis au titre du CPF, et d'autre part, de celles nécessaires aux fins du contrôle et du référencement des organismes de formation, et de lutte contre la fraude.
Elle prend acte de l'engagement du ministère de modifier la durée de conservation des données collectées dans le traitement MAF aux fins des missions d'audit et de contrôle de la Commission européenne.
La CNIL invite le ministère à mettre en cohérence le projet de décret avec les autres textes réglementaires en lien avec les traitements SI-CPF et MAF.
La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (« loi informatique et libertés »), notamment son article 8. I. 4°, a ;
Après avoir entendu le rapport de Mme Aminata Niakaté, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :

I. - La saisine
A. - Le contexte

Tout actif de plus de seize ans ainsi que les apprentis dès l'âge de quinze ans disposent d'un compte personnel d'activité (CPA) (article L. 5151-2 du code du travail). Celui-ci est composé d'un compte personnel de formation (CPF), d'un compte professionnel de prévention (C2P) et d'un compte engagement citoyen (CEC).
Chaque titulaire de CPF peut également bénéficier d'un passeport d'orientation, de formation et de compétences (relatif aux formations et aux qualifications suivies en formation initiale ou continue, ainsi qu'aux acquis de l'expérience professionnelle) et d'un passeport de prévention (relatif aux attestations, certificats et diplômes obtenus dans le cadre de formations relatives à la santé et à la sécurité au travail).
Chaque titulaire d'un CPA peut consulter les droits inscrits sur celui-ci et peut les utiliser sur MonCompteFormation (MCF), qui est une plateforme gratuite gérée par la Caisse des dépôts et consignations (CDC). Un référencement des organismes de formation est également mis en œuvre sur la plateforme MCF.
Les droits inscrits sur le CPF sont gérés par le « système d'information du compte personnel de formation » (SI-CPF), mis en œuvre par la CDC.
Les obligations de déclaration d'activité et de transmission du bilan pédagogique et financier auxquelles doivent se soumettre les organismes de formation, et qui constituent un préalable à leur référencement sur MCF, sont gérées par le système d'information « Mon Activité Formation » (MAF), mis en œuvre par la délégation générale à l'emploi et à la formation professionnelle pour le compte du ministère du travail et de l'emploi.

B. - L'objet de la saisine

Le projet de décret porte sur deux traitements de données à caractère personnel, le SI-CPF, pour lequel le ministère et la CDC sont responsables conjoints, et le MAF, dont le ministère est responsable. A ces traitements sont ajoutés de nouvelles finalités, consécutives au renforcement législatif des missions de contrôle et de référencement des organismes de formation par la CDC.
Deux nouvelles finalités sont ajoutées pour le SI-CPF :

- la vérification des conditions d'éligibilité des organismes de formation pour leur référencement ; et
- le contrôle du respect des conditions générales d'utilisation (CGU) du SI-CPF ainsi que la mise en œuvre et le suivi des mesures visant à prévenir et sanctionner les manquements à ces CGU.

Le projet de décret élargit l'analyse et l'évaluation des politiques publiques en matière de formation professionnelle aux dispositifs du passeport d'orientation, de formation et de compétences, du passeport de prévention et du compte d'engagement citoyen.
Trois nouvelles finalités sont ajoutées au traitement MAF :

- le contrôle administratif et financier des organismes de formation ;
- les échanges d'informations relatives aux organismes de formation référencés entre les acteurs de la formation professionnelle ; et
- la réalisation des procédures de décharge, d'audit et de contrôle liées à l'utilisation des fonds dans le cadre de la mise en œuvre des accords visés aux articles 15 et 23 du règlement (UE) 2021/241 du 12 février 2021.

Le projet de décret met en cohérence les traitements SI-CPF et MAF au regard de ces nouvelles finalités.

II. - L'avis de la CNIL
A. - Observations communes à l'ensemble des traitements

  1. Sur la mise en cohérence des autres textes réglementaires en lien avec les traitements SI-CPF et MAF

Le projet de décret procède à plusieurs modifications règlementaires. A ce titre, il :

- modifie le décret du 19 avril 2019 (« décret NIR ») pour permettre aux ministères, aux organismes certificateurs et financeurs de transmettre le NIR à la CDC (conseils départementaux et groupement d'intérêt public mentionné à l'article L. 6411-2 du code du travail) ;
- prévoit la collecte de nouvelles données relatives aux responsables et aux membres du personnel des organismes de formation (celles relatives aux interdictions de gérer ou celles communiquées entre la Caisse des dépôts, les organismes de sécurité sociale et l'administration fiscale), compte tenu des nouvelles finalités du traitement SI-CPF ;
- ajoute de nouveaux destinataires des données traitées dans le SI-CPF ;
- prévoit que les traitements SI-CPF et MAF pourront être mis en relation avec de nouveaux traitements ne comportant pas le NIR. Les articles 4 et 5 du projet de décret prévoient notamment une alimentation du SI-CPF par le fichier national des permis de conduire et par le répertoire de gestion des carrières uniques afin de faciliter la collecte des données nécessaires à la constitution du passeport d'orientation, de formation et de compétences.

La CNIL invite le ministère à mettre en cohérence les arrêtés du 11 octobre 2019, du 21 mai 2021 et du 9 juillet 2021 au regard des catégories de données collectées et de leurs destinataires dans le SI-CPF ainsi que des mises en relation prévues avec les traitements SI-CPF et MAF.

  1. Sur l'information des personnes

La CNIL rappelle que les mentions d'information du portail d'accès du site web « moncompteformation.gouv.fr » devront être mises à jour afin de prendre en compte l'évolution des cadres juridiques du SI-CPF et du MAF.

  1. Sur la réalisation d'une analyse d'impact relative à la protection des données (AIPD)

La CNIL prend acte de l'engagement du ministère de mettre à jour les AIPD existantes afin de prendre en compte les modifications des traitements SI-CPF et MAF.
Elle rappelle que cette analyse doit être effectuée avant la mise en œuvre du projet de traitement en application de l'article 35 du RGPD.

B. - Sur le traitement SI-CPF

  1. Sur les finalités

L'article 2 du projet de décret impose à la CDC une nouvelle obligation de communication des données relatives aux déréférencements des organismes de formation, qui doivent être rendues accessibles aux acteurs de la formation professionnelle au sein du SI-CPF.
Or, le projet de décret n'indique pas cette nouvelle finalité à l'article R. 6323-33 du code du travail.
La CNIL invite par conséquent le ministère à faire figurer explicitement cette finalité dans le projet de décret.

  1. Sur les données collectées

Compte tenu des nouvelles finalités du traitement SI-CPF de référencement, de contrôle et de lutte contre la fraude, de nouvelles données relatives aux responsables et aux membres du personnel des organismes de formation doivent être collectées (notamment des données relatives aux interdictions de gérer ou celles communiquées entre la Caisse des dépôts, les organismes de sécurité sociale et l'administration fiscale).
Or, l'article R. 6323-34 du code du travail ne mentionne pas ces catégories de données.
La CNIL invite ainsi le ministère à modifier l'article R. 6323-34 du code du travail afin d'y préciser les catégories de données relatives aux représentants et aux membres du personnel des organismes de formation collectées dans le cadre des nouvelles finalités du traitement SI-CPF. Par conséquent, l'arrêté du 11 octobre 2019 devra également être mis en cohérence.

C. - Sur le traitement « MAF »

  1. Sur les durées de conservation

Le 2° de l'article 3 du projet de décret modifie l'article R. 6351-17 du code du travail afin d'adapter la durée de conservation des données au regard du règlement 2021/241 du 12 février 2021 octroyant à la Commission européenne des pouvoirs de contrôle et d'audit dans le cadre de l'utilisation de fonds de l'Union européenne.
Le projet de décret précise que les données collectées à cette fin devraient être conservées pendant une durée de quatorze ans. La CNIL remarque que selon le règlement 2021/241 du 12 février 2021 les données doivent être conservées pendant une durée maximale de douze ans.
La CNIL prend acte de l'engagement du ministère de modifier le projet de décret en conséquence pour indiquer ce nouveau délai de conservation des données.
Les autres dispositions du projet de décret n'appellent pas d'observations de la part de la CNIL.

1 version

Historique des versions

Version 1

N° de demande d'avis : 24010025

Thématiques : compte professionnel de formation, contrôle et référencement des organismes de formation, lutte contre la fraude

Organisme(s) à l'origine de la saisine : ministère du Travail et de l'Emploi

Fondement de la saisine : article 8. I. 4°, a) de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés

L'essentiel :

Les traitements relatifs au système d'information du compte personnel de formation (« SI-CPF ») et à « Mon Activité Formation » (« MAF ») répondent à de nouvelles finalités relatives au contrôle et au référencement des organismes de formation par la Caisse des dépôts et consignations et à la lutte contre la fraude.

La CNIL considère que la publication des données relatives aux déréférencements des organismes de formation constitue une finalité propre qui devrait être mentionnée explicitement dans le projet de décret.

Elle recommande au ministère de distinguer les catégories de données à caractère personnel nécessaires d'une part, pour la gestion et le contrôle des droits acquis au titre du CPF, et d'autre part, de celles nécessaires aux fins du contrôle et du référencement des organismes de formation, et de lutte contre la fraude.

Elle prend acte de l'engagement du ministère de modifier la durée de conservation des données collectées dans le traitement MAF aux fins des missions d'audit et de contrôle de la Commission européenne.

La CNIL invite le ministère à mettre en cohérence le projet de décret avec les autres textes réglementaires en lien avec les traitements SI-CPF et MAF.

La Commission nationale de l'informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (« loi informatique et libertés »), notamment son article 8. I. 4°, a ;

Après avoir entendu le rapport de Mme Aminata Niakaté, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,

Adopte la délibération suivante :

I. - La saisine

A. - Le contexte

Tout actif de plus de seize ans ainsi que les apprentis dès l'âge de quinze ans disposent d'un compte personnel d'activité (CPA) (article L. 5151-2 du code du travail). Celui-ci est composé d'un compte personnel de formation (CPF), d'un compte professionnel de prévention (C2P) et d'un compte engagement citoyen (CEC).

Chaque titulaire de CPF peut également bénéficier d'un passeport d'orientation, de formation et de compétences (relatif aux formations et aux qualifications suivies en formation initiale ou continue, ainsi qu'aux acquis de l'expérience professionnelle) et d'un passeport de prévention (relatif aux attestations, certificats et diplômes obtenus dans le cadre de formations relatives à la santé et à la sécurité au travail).

Chaque titulaire d'un CPA peut consulter les droits inscrits sur celui-ci et peut les utiliser sur MonCompteFormation (MCF), qui est une plateforme gratuite gérée par la Caisse des dépôts et consignations (CDC). Un référencement des organismes de formation est également mis en œuvre sur la plateforme MCF.

Les droits inscrits sur le CPF sont gérés par le « système d'information du compte personnel de formation » (SI-CPF), mis en œuvre par la CDC.

Les obligations de déclaration d'activité et de transmission du bilan pédagogique et financier auxquelles doivent se soumettre les organismes de formation, et qui constituent un préalable à leur référencement sur MCF, sont gérées par le système d'information « Mon Activité Formation » (MAF), mis en œuvre par la délégation générale à l'emploi et à la formation professionnelle pour le compte du ministère du travail et de l'emploi.

B. - L'objet de la saisine

Le projet de décret porte sur deux traitements de données à caractère personnel, le SI-CPF, pour lequel le ministère et la CDC sont responsables conjoints, et le MAF, dont le ministère est responsable. A ces traitements sont ajoutés de nouvelles finalités, consécutives au renforcement législatif des missions de contrôle et de référencement des organismes de formation par la CDC.

Deux nouvelles finalités sont ajoutées pour le SI-CPF :

- la vérification des conditions d'éligibilité des organismes de formation pour leur référencement ; et

- le contrôle du respect des conditions générales d'utilisation (CGU) du SI-CPF ainsi que la mise en œuvre et le suivi des mesures visant à prévenir et sanctionner les manquements à ces CGU.

Le projet de décret élargit l'analyse et l'évaluation des politiques publiques en matière de formation professionnelle aux dispositifs du passeport d'orientation, de formation et de compétences, du passeport de prévention et du compte d'engagement citoyen.

Trois nouvelles finalités sont ajoutées au traitement MAF :

- le contrôle administratif et financier des organismes de formation ;

- les échanges d'informations relatives aux organismes de formation référencés entre les acteurs de la formation professionnelle ; et

- la réalisation des procédures de décharge, d'audit et de contrôle liées à l'utilisation des fonds dans le cadre de la mise en œuvre des accords visés aux articles 15 et 23 du règlement (UE) 2021/241 du 12 février 2021.

Le projet de décret met en cohérence les traitements SI-CPF et MAF au regard de ces nouvelles finalités.

II. - L'avis de la CNIL

A. - Observations communes à l'ensemble des traitements

1. Sur la mise en cohérence des autres textes réglementaires en lien avec les traitements SI-CPF et MAF

Le projet de décret procède à plusieurs modifications règlementaires. A ce titre, il :

- modifie le décret du 19 avril 2019 (« décret NIR ») pour permettre aux ministères, aux organismes certificateurs et financeurs de transmettre le NIR à la CDC (conseils départementaux et groupement d'intérêt public mentionné à l'article L. 6411-2 du code du travail) ;

- prévoit la collecte de nouvelles données relatives aux responsables et aux membres du personnel des organismes de formation (celles relatives aux interdictions de gérer ou celles communiquées entre la Caisse des dépôts, les organismes de sécurité sociale et l'administration fiscale), compte tenu des nouvelles finalités du traitement SI-CPF ;

- ajoute de nouveaux destinataires des données traitées dans le SI-CPF ;

- prévoit que les traitements SI-CPF et MAF pourront être mis en relation avec de nouveaux traitements ne comportant pas le NIR. Les articles 4 et 5 du projet de décret prévoient notamment une alimentation du SI-CPF par le fichier national des permis de conduire et par le répertoire de gestion des carrières uniques afin de faciliter la collecte des données nécessaires à la constitution du passeport d'orientation, de formation et de compétences.

La CNIL invite le ministère à mettre en cohérence les arrêtés du 11 octobre 2019, du 21 mai 2021 et du 9 juillet 2021 au regard des catégories de données collectées et de leurs destinataires dans le SI-CPF ainsi que des mises en relation prévues avec les traitements SI-CPF et MAF.

2. Sur l'information des personnes

La CNIL rappelle que les mentions d'information du portail d'accès du site web « moncompteformation.gouv.fr » devront être mises à jour afin de prendre en compte l'évolution des cadres juridiques du SI-CPF et du MAF.

3. Sur la réalisation d'une analyse d'impact relative à la protection des données (AIPD)

La CNIL prend acte de l'engagement du ministère de mettre à jour les AIPD existantes afin de prendre en compte les modifications des traitements SI-CPF et MAF.

Elle rappelle que cette analyse doit être effectuée avant la mise en œuvre du projet de traitement en application de l'article 35 du RGPD.

B. - Sur le traitement SI-CPF

1. Sur les finalités

L'article 2 du projet de décret impose à la CDC une nouvelle obligation de communication des données relatives aux déréférencements des organismes de formation, qui doivent être rendues accessibles aux acteurs de la formation professionnelle au sein du SI-CPF.

Or, le projet de décret n'indique pas cette nouvelle finalité à l'article R. 6323-33 du code du travail.

La CNIL invite par conséquent le ministère à faire figurer explicitement cette finalité dans le projet de décret.

2. Sur les données collectées

Compte tenu des nouvelles finalités du traitement SI-CPF de référencement, de contrôle et de lutte contre la fraude, de nouvelles données relatives aux responsables et aux membres du personnel des organismes de formation doivent être collectées (notamment des données relatives aux interdictions de gérer ou celles communiquées entre la Caisse des dépôts, les organismes de sécurité sociale et l'administration fiscale).

Or, l'article R. 6323-34 du code du travail ne mentionne pas ces catégories de données.

La CNIL invite ainsi le ministère à modifier l'article R. 6323-34 du code du travail afin d'y préciser les catégories de données relatives aux représentants et aux membres du personnel des organismes de formation collectées dans le cadre des nouvelles finalités du traitement SI-CPF. Par conséquent, l'arrêté du 11 octobre 2019 devra également être mis en cohérence.

C. - Sur le traitement « MAF »

1. Sur les durées de conservation

Le 2° de l'article 3 du projet de décret modifie l'article R. 6351-17 du code du travail afin d'adapter la durée de conservation des données au regard du règlement 2021/241 du 12 février 2021 octroyant à la Commission européenne des pouvoirs de contrôle et d'audit dans le cadre de l'utilisation de fonds de l'Union européenne.

Le projet de décret précise que les données collectées à cette fin devraient être conservées pendant une durée de quatorze ans. La CNIL remarque que selon le règlement 2021/241 du 12 février 2021 les données doivent être conservées pendant une durée maximale de douze ans.

La CNIL prend acte de l'engagement du ministère de modifier le projet de décret en conséquence pour indiquer ce nouveau délai de conservation des données.

Les autres dispositions du projet de décret n'appellent pas d'observations de la part de la CNIL.