Retour à la section

Avis n°2023-085 du 14 septembre 2023

JORF n°0271 du 23 novembre 2023

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Projet de décret modifiant le cadre d'usage du NIR dans l'emploi et la formation professionnelle

Résumé Le projet de décret autorise plus d'usage du NIR dans l'emploi et la formation professionnelle, mais protège les données personnelles.

| Date de l'avis : 14 septembre 2023 | N° de la délibération : 2023-085 | |:------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|:------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| | N° de demande d'avis : 23004012
Organisme(s) à l'origine de la saisine : ministère du travail, du plein emploi et de l'insertion |Textes concernés : projet de décret en Conseil d'Etat complétant la liste des finalités et des catégories de responsables des traitements comportant l'usage du numéro d'inscription au répertoire national d'identification des personnes physiques ou nécessitant la consultation de ce répertoire dans les champs de l'emploi et de la formation professionnelle| |Thématiques : numéro d'inscription au répertoire national d'identification des personnes physiques (NIR), répertoire national d'identification des personnes physiques (RNIPP), emploi et formation professionnelle| Fondement de la saisine : article 30 de la loi n° 78-17 du 6 janvier 1978 modifiée | | L'essentiel :
Le projet de décret élargit le nombre des cas d'usage dans lesquels le recours au NIR est autorisé, dans la sphère de l'emploi et de la formation professionnelle. | |

La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (ci-après le RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (ci- après la loi « informatique et libertés ») ;
Vu le décret n° 2019-341 du 19 avril 2019 relatif à la mise en œuvre de traitements comportant l'usage du numéro d'inscription au répertoire national d'identification des personnes physiques ou nécessitant la consultation de ce répertoire (ci-après le décret « cadre NIR ») ;
Sur la proposition de M. Alexandre LINDEN, commissaire, et après avoir entendu les observations de M. Damien MILIC, commissaire du Gouvernement,
Adopte la déliberation suivante :

I. - La saisine
A. - Le contexte

Le projet de décret a pour objet de modifier le décret « cadre NIR ». Ce décret détermine, sur le fondement de l'article 30 de la loi « informatique et libertés », les catégories de responsables de traitement et les finalités des traitements au vu desquelles ces derniers peuvent être mis en œuvre lorsqu'ils portent sur des données comportant le NIR.
La CNIL a toujours accordé une attention particulière aux conditions dans lesquelles peuvent être mis en œuvre les traitements de données à caractère personnel reposant sur la collecte du NIR, considérant que les spécificités de ce numéro, et notamment son caractère signifiant, justifient que le recours à cet identifiant soit strictement encadré. Elle a constamment considéré que l'emploi du NIR comme identifiant des personnes ne devait être ni systématique, ni généralisé.
Toutefois, la CNIL a accepté que le NIR soit utilisé dans d'autres secteurs que le médico-social pour des motifs d'intérêt public caractérisé. Ainsi, l'utilisation de ce numéro a progressivement été étendue à divers usages notamment dans le champ des relations de travail, dans les domaines financier, fiscal, douanier, éducatif ou du logement, dans certaines procédures juridictionnelles ou encore pour les besoins de la statistique publique.

B. - L'objet de la saisine

Le projet de décret consiste à étendre, dans la sphère de l'emploi et de la formation professionnelle, les cas d'usage pour lesquels le traitement du NIR est autorisé.

II. - L'avis de la CNIL
A. - Concernant la modification du 25° du C de l'article 2 du décret « cadre NIR »

Aux fins de gérer, de contrôler et de prendre en charge financièrement les contrats d'apprentissage, le projet de décret inscrit dans la catégorie des responsables de traitement autorisés à traiter le NIR les centres de formation des apprentis (CFA) disposant d'un mandat de gestion signé par l'employeur.
D'après le ministère, conformément à ce mandat, les CFA peuvent représenter les employeurs concernés auprès des opérateurs de compétences pour la gestion et la transmission des contrats d'apprentissage. A ce titre, ils traitent des données à caractère personnel au nom et pour le compte des employeurs responsables de traitement au sens de l'article 4-7) du RGPD.
Dès lors, les CFA mandataires revêtent la qualité de sous-traitants au sens de l'article 28 du RGPD et doivent établir avec les employeurs un contrat ou un acte juridique précisant les obligations de chaque partie.
Par conséquent, la CNIL demande que le projet de décret soit modifié, afin que les CFA titulaires d'un mandat de gestion ne figurent pas dans la liste des responsables de traitement autorisés à traiter le NIR.
Le ministère prend acte de cette observation.

B. - Concernant l'insertion du 31° au C de l'article 2 du décret « cadre NIR »

Aux fins d'assurer le versement, le contrôle et le pilotage des montants alloués au titre des programmes de l'Union européenne « Fonds social européen » et « Fonds de transition juste » gérés par l'Etat, le projet de décret autorise le traitement du NIR par :

- les services centraux et déconcentrés du ministère de l'emploi et de la formation professionnelle ;
- les organismes intermédiaires au sens de l'article 71 du règlement (UE) 2021/1060 du Parlement européen et du Conseil du 24 juin 2021 disposant d'une délégation de ces services (p. ex. : conseils départementaux, établissements publics de coopération intercommunale, Pôle emploi).

Conformément à l'article 69 de ce règlement, la France en tant qu'Etat membre est soumise à des obligations de contrôle de ces programmes. Elle doit veiller à la légalité et à la régularité des dépenses inscrites dans les comptes qu'elle présente à la Commission européenne et adopter des mesures permettant de prévenir, détecter et corriger les irrégularités. Elle doit ainsi s'assurer « de la qualité, de l'exactitude et de la fiabilité du système de suivi » qu'elle met en place dans le respect des règles applicables en matière de protection des données. A cet égard, l'article 7 du décret n° 2022-608 du 21 avril 2022 fixant les règles nationales d'éligibilité des dépenses des programmes européens de la politique de cohésion et de la pêche et des affaires maritimes pour la période de programmation 2021-2027 recense parmi les pièces justificatives à fournir, pour ce qui concerne les dépenses de personnel, les copies des bulletins de paie ou les données issues de manière automatisée de la déclaration sociale nominative (DSN).
Selon le ministère, à ce jour, les services centraux et déconcentrés ainsi que les organismes intermédiaires effectuent les contrôles requis en visualisant, sur la plateforme « Ma démarche FSE », les bulletins de paie téléchargés par les employeurs porteurs des projets éligibles à ces programmes. Des informations - hautement personnelles présentes sur ces bulletins (p. ex. : adresse, taux d'imposition sur le revenu des salariés, périodes d'absence pour congés maladie ou grossesse) - ne sont pas toutes strictement nécessaires à la conduite des opérations de contrôle.
Aussi, d'après le ministère, la solution serait d'interroger, via le NIR, certaines des données de rémunération présentes dans la DSN. Après examen des solutions alternatives à l'utilisation du NIR, aucune autre clé ne permettrait, selon le ministère, de fiabiliser les contrôles. De surcroît, le NIR des salariés serait masqué de telle sorte que les agents en charge des contrôles (gestionnaires, auditeurs) ne pourraient pas le visionner.
Ce nouvel usage du NIR apparaît dans ces conditions légitime et proportionné à la finalité poursuivie. Compte tenu des garanties mises en place, et au regard de la pratique actuellement déployée par les opérateurs en charge des contrôles, il est également plus respectueux du principe de minimisation visé à l'article 5-1-c) du RGPD. Comme s'y est engagé le ministère, la CNIL rappelle que les échanges de données comportant le NIR et, le cas échéant, des données à caractère personnel devront utiliser des canaux de communication sécurisés (chiffrement à l'état de l'art et authentification mutuelle).

C. - Concernant l'insertion du 32° au C de l'article 2 du décret « cadre NIR »

Le projet de décret autorise la direction générale du Trésor et les porteurs de projet à traiter le NIR aux fins d'évaluer les contrats à impact social.
Selon le ministère, seul le traitement du NIR permettrait de procéder aux appariements nécessaires à l'évaluation de ces contrats.
Par ailleurs, la CNIL relève que la direction générale du Trésor dispose de compétences dans le domaine de l'économie sociale et solidaire (article 2 du décret n° 2022-1059 du 29 juillet 2022 et article 2 du décret n° 2004-1203 du 15 novembre 2004).
La CNIL ne remet en cause ni la nécessité d'évaluer l'efficacité de la politique menée en matière de contrats à impact social, ni l'intérêt que présenterait le NIR pour fiabiliser la méthode d'évaluation envisagée par le ministère au regard des solutions alternatives examinées. A cet égard, dans sa version actuelle, le décret « cadre NIR » autorise déjà des cas de traitements du NIR poursuivant des finalités d'évaluation ou de statistiques par des directions d'administration centrale (p. ex. : article 2-A-1° et article 2-C-10° de ce même décret).
La CNIL observe que l'utilisation de ce numéro à des fins d'évaluation des politiques publiques par les services de l'Etat se généralise, y compris dans les domaines de l'insertion, du travail et de l'emploi. Elle se développe au-delà du champ du service public statistique. La CNIL relève également que l'Institut national de la statistique et des études économiques (INSEE) et les services statistiques ministériels ne disposent ni du monopole de la production de données statistiques, ni de celui de l'évaluation des politiques publiques et que les directions d'administration centrale sont elles-mêmes légitimes à évaluer les dispositifs de politique publique dont elles ont la charge, indépendamment des choix de programmation d'enquêtes statistiques des services statistiques ministériels. Néanmoins, la CNIL s'interroge sur les raisons conduisant les directions de l'administration centrale à ne pas recourir à ces organismes pour procéder aux évaluations et statistiques nécessaires au suivi de leurs activités.
De plus, la CNIL rappelle de nouveau que les échanges de données comportant le NIR et, le cas échéant, des données à caractère personnel devront utiliser des canaux de communication sécurisés (chiffrement à l'état de l'art et authentification mutuelle). Elle prend acte de ce que la base de données de la direction générale du Trésor contenant le NIR sera chiffrée au repos avec des algorithmes et des tailles de clés conformes aux exigences de l'annexe B1 du référentiel général de sécurité et qu'une procédure opérationnelle de gestion des clés sera formalisée. Enfin, elle prend également acte de ce que la direction générale du Trésor sollicitera l'appui du Centre d'accès sécurisé aux données, en tant qu'organisme tiers de centralisation.
Les autres dispositions du projet de décret n'appellent pas d'observations.

1 version

Historique des versions

Version 1

Date de l'avis : 14 septembre 2023

N° de la délibération : 2023-085

N° de demande d'avis : 23004012

Organisme(s) à l'origine de la saisine : ministère du travail, du plein emploi et de l'insertion

Textes concernés : projet de décret en Conseil d'Etat complétant la liste des finalités et des catégories de responsables des traitements comportant l'usage du numéro d'inscription au répertoire national d'identification des personnes physiques ou nécessitant la consultation de ce répertoire dans les champs de l'emploi et de la formation professionnelle

Thématiques : numéro d'inscription au répertoire national d'identification des personnes physiques (NIR), répertoire national d'identification des personnes physiques (RNIPP), emploi et formation professionnelle

Fondement de la saisine : article 30 de la loi n° 78-17 du 6 janvier 1978 modifiée

L'essentiel :

Le projet de décret élargit le nombre des cas d'usage dans lesquels le recours au NIR est autorisé, dans la sphère de l'emploi et de la formation professionnelle.

La Commission nationale de l'informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (ci-après le RGPD) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (ci- après la loi « informatique et libertés ») ;

Vu le décret n° 2019-341 du 19 avril 2019 relatif à la mise en œuvre de traitements comportant l'usage du numéro d'inscription au répertoire national d'identification des personnes physiques ou nécessitant la consultation de ce répertoire (ci-après le décret « cadre NIR ») ;

Sur la proposition de M. Alexandre LINDEN, commissaire, et après avoir entendu les observations de M. Damien MILIC, commissaire du Gouvernement,

Adopte la déliberation suivante :

I. - La saisine

A. - Le contexte

Le projet de décret a pour objet de modifier le décret « cadre NIR ». Ce décret détermine, sur le fondement de l'article 30 de la loi « informatique et libertés », les catégories de responsables de traitement et les finalités des traitements au vu desquelles ces derniers peuvent être mis en œuvre lorsqu'ils portent sur des données comportant le NIR.

La CNIL a toujours accordé une attention particulière aux conditions dans lesquelles peuvent être mis en œuvre les traitements de données à caractère personnel reposant sur la collecte du NIR, considérant que les spécificités de ce numéro, et notamment son caractère signifiant, justifient que le recours à cet identifiant soit strictement encadré. Elle a constamment considéré que l'emploi du NIR comme identifiant des personnes ne devait être ni systématique, ni généralisé.

Toutefois, la CNIL a accepté que le NIR soit utilisé dans d'autres secteurs que le médico-social pour des motifs d'intérêt public caractérisé. Ainsi, l'utilisation de ce numéro a progressivement été étendue à divers usages notamment dans le champ des relations de travail, dans les domaines financier, fiscal, douanier, éducatif ou du logement, dans certaines procédures juridictionnelles ou encore pour les besoins de la statistique publique.

B. - L'objet de la saisine

Le projet de décret consiste à étendre, dans la sphère de l'emploi et de la formation professionnelle, les cas d'usage pour lesquels le traitement du NIR est autorisé.

II. - L'avis de la CNIL

A. - Concernant la modification du 25° du C de l'article 2 du décret « cadre NIR »

Aux fins de gérer, de contrôler et de prendre en charge financièrement les contrats d'apprentissage, le projet de décret inscrit dans la catégorie des responsables de traitement autorisés à traiter le NIR les centres de formation des apprentis (CFA) disposant d'un mandat de gestion signé par l'employeur.

D'après le ministère, conformément à ce mandat, les CFA peuvent représenter les employeurs concernés auprès des opérateurs de compétences pour la gestion et la transmission des contrats d'apprentissage. A ce titre, ils traitent des données à caractère personnel au nom et pour le compte des employeurs responsables de traitement au sens de l'article 4-7) du RGPD.

Dès lors, les CFA mandataires revêtent la qualité de sous-traitants au sens de l'article 28 du RGPD et doivent établir avec les employeurs un contrat ou un acte juridique précisant les obligations de chaque partie.

Par conséquent, la CNIL demande que le projet de décret soit modifié, afin que les CFA titulaires d'un mandat de gestion ne figurent pas dans la liste des responsables de traitement autorisés à traiter le NIR.

Le ministère prend acte de cette observation.

B. - Concernant l'insertion du 31° au C de l'article 2 du décret « cadre NIR »

Aux fins d'assurer le versement, le contrôle et le pilotage des montants alloués au titre des programmes de l'Union européenne « Fonds social européen » et « Fonds de transition juste » gérés par l'Etat, le projet de décret autorise le traitement du NIR par :

- les services centraux et déconcentrés du ministère de l'emploi et de la formation professionnelle ;

- les organismes intermédiaires au sens de l'article 71 du règlement (UE) 2021/1060 du Parlement européen et du Conseil du 24 juin 2021 disposant d'une délégation de ces services (p. ex. : conseils départementaux, établissements publics de coopération intercommunale, Pôle emploi).

Conformément à l'article 69 de ce règlement, la France en tant qu'Etat membre est soumise à des obligations de contrôle de ces programmes. Elle doit veiller à la légalité et à la régularité des dépenses inscrites dans les comptes qu'elle présente à la Commission européenne et adopter des mesures permettant de prévenir, détecter et corriger les irrégularités. Elle doit ainsi s'assurer « de la qualité, de l'exactitude et de la fiabilité du système de suivi » qu'elle met en place dans le respect des règles applicables en matière de protection des données. A cet égard, l'article 7 du décret n° 2022-608 du 21 avril 2022 fixant les règles nationales d'éligibilité des dépenses des programmes européens de la politique de cohésion et de la pêche et des affaires maritimes pour la période de programmation 2021-2027 recense parmi les pièces justificatives à fournir, pour ce qui concerne les dépenses de personnel, les copies des bulletins de paie ou les données issues de manière automatisée de la déclaration sociale nominative (DSN).

Selon le ministère, à ce jour, les services centraux et déconcentrés ainsi que les organismes intermédiaires effectuent les contrôles requis en visualisant, sur la plateforme « Ma démarche FSE », les bulletins de paie téléchargés par les employeurs porteurs des projets éligibles à ces programmes. Des informations - hautement personnelles présentes sur ces bulletins (p. ex. : adresse, taux d'imposition sur le revenu des salariés, périodes d'absence pour congés maladie ou grossesse) - ne sont pas toutes strictement nécessaires à la conduite des opérations de contrôle.

Aussi, d'après le ministère, la solution serait d'interroger, via le NIR, certaines des données de rémunération présentes dans la DSN. Après examen des solutions alternatives à l'utilisation du NIR, aucune autre clé ne permettrait, selon le ministère, de fiabiliser les contrôles. De surcroît, le NIR des salariés serait masqué de telle sorte que les agents en charge des contrôles (gestionnaires, auditeurs) ne pourraient pas le visionner.

Ce nouvel usage du NIR apparaît dans ces conditions légitime et proportionné à la finalité poursuivie. Compte tenu des garanties mises en place, et au regard de la pratique actuellement déployée par les opérateurs en charge des contrôles, il est également plus respectueux du principe de minimisation visé à l'article 5-1-c) du RGPD. Comme s'y est engagé le ministère, la CNIL rappelle que les échanges de données comportant le NIR et, le cas échéant, des données à caractère personnel devront utiliser des canaux de communication sécurisés (chiffrement à l'état de l'art et authentification mutuelle).

C. - Concernant l'insertion du 32° au C de l'article 2 du décret « cadre NIR »

Le projet de décret autorise la direction générale du Trésor et les porteurs de projet à traiter le NIR aux fins d'évaluer les contrats à impact social.

Selon le ministère, seul le traitement du NIR permettrait de procéder aux appariements nécessaires à l'évaluation de ces contrats.

Par ailleurs, la CNIL relève que la direction générale du Trésor dispose de compétences dans le domaine de l'économie sociale et solidaire (article 2 du décret n° 2022-1059 du 29 juillet 2022 et article 2 du décret n° 2004-1203 du 15 novembre 2004).

La CNIL ne remet en cause ni la nécessité d'évaluer l'efficacité de la politique menée en matière de contrats à impact social, ni l'intérêt que présenterait le NIR pour fiabiliser la méthode d'évaluation envisagée par le ministère au regard des solutions alternatives examinées. A cet égard, dans sa version actuelle, le décret « cadre NIR » autorise déjà des cas de traitements du NIR poursuivant des finalités d'évaluation ou de statistiques par des directions d'administration centrale (p. ex. : article 2-A-1° et article 2-C-10° de ce même décret).

La CNIL observe que l'utilisation de ce numéro à des fins d'évaluation des politiques publiques par les services de l'Etat se généralise, y compris dans les domaines de l'insertion, du travail et de l'emploi. Elle se développe au-delà du champ du service public statistique. La CNIL relève également que l'Institut national de la statistique et des études économiques (INSEE) et les services statistiques ministériels ne disposent ni du monopole de la production de données statistiques, ni de celui de l'évaluation des politiques publiques et que les directions d'administration centrale sont elles-mêmes légitimes à évaluer les dispositifs de politique publique dont elles ont la charge, indépendamment des choix de programmation d'enquêtes statistiques des services statistiques ministériels. Néanmoins, la CNIL s'interroge sur les raisons conduisant les directions de l'administration centrale à ne pas recourir à ces organismes pour procéder aux évaluations et statistiques nécessaires au suivi de leurs activités.

De plus, la CNIL rappelle de nouveau que les échanges de données comportant le NIR et, le cas échéant, des données à caractère personnel devront utiliser des canaux de communication sécurisés (chiffrement à l'état de l'art et authentification mutuelle). Elle prend acte de ce que la base de données de la direction générale du Trésor contenant le NIR sera chiffrée au repos avec des algorithmes et des tailles de clés conformes aux exigences de l'annexe B1 du référentiel général de sécurité et qu'une procédure opérationnelle de gestion des clés sera formalisée. Enfin, elle prend également acte de ce que la direction générale du Trésor sollicitera l'appui du Centre d'accès sécurisé aux données, en tant qu'organisme tiers de centralisation.

Les autres dispositions du projet de décret n'appellent pas d'observations.