Délibération n° 2011-231 du 21 juillet 2011 portant avis sur un projet de décret en Conseil d'Etat portant création d'un traitement de données à caractère personnel relatif à la gestion des ressources humaines du ministère de l'éducation nationale, de la jeunesse et de la vie associative et du ministère de l'enseignement supérieur et de la recherche (SIRHEN)

JORF n°0060 du 10 mars 2012
texte n° 62



Délibération n° 2011-231 du 21 juillet 2011 portant avis sur un projet de décret en Conseil d'Etat portant création d'un traitement de données à caractère personnel relatif à la gestion des ressources humaines du ministère de l'éducation nationale, de la jeunesse et de la vie associative et du ministère de l'enseignement supérieur et de la recherche (SIRHEN)

NOR: CNIX1206908X
ELI: Non disponible



(Demande d'avis n° 1507880)


La Commission nationale de l'informatique et des libertés,
Vu la demande d'avis, présentée par le ministère de l'éducation nationale, de la jeunesse et de la vie associative et le ministère de l'enseignement supérieur et de la recherche le 11 mai 2011 et amendée le 18 mai 2011, d'un traitement automatisé de données à caractère personnel ayant pour finalité la gestion des ressources humaines ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitement de données à caractère personnel, et notamment son article 27-1 (1°) ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié par le décret n° 2007-451 du 25 mars 2007 ;
Après avoir entendu M. Emmanuel de GIVRY, commissaire, en son rapport, et Mme Elisabeth ROLIN, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisi par les ministères de l'éducation nationale, de la jeunesse et de la vie associative (MENJVA) et de l'enseignement supérieur et de la recherche (MESR) d'une demande d'avis portant sur la gestion administrative et financière des personnels des ministères, la gestion des moyens et le pilotage national et académique par la production d'indicateurs statistiques, sur le fondement de l'article 27-1 (1°) de la loi du 6 janvier 1978 modifiée.
Cette demande s'inscrit dans le cadre du futur raccordement du système d'information RH du MENJVA et du MESR à l'opérateur national de paye (ONP).
Créé par le décret n° 2007-903 du 15 mai 2007 portant création d'un service à compétence nationale à caractère interministériel dénommé « opérateur national de paye », l'ONP assurera la paie des traitements, salaires et indemnités accessoires servis par les ordonnateurs principaux et secondaires à l'ensemble des fonctionnaires et agents de l'Etat.
Ce raccordement passe par une mise en conformité préalable des systèmes d'information RH des ministères (SIRH) avec des normes et référentiels communs, dits « noyau commun FPE », afin de garantir leur bonne articulation avec le futur système d'information relatif à la paye (SI paye). En particulier, tout SIRH doit pouvoir alimenter le SI paye d'événements de gestion gérés conformément à des règles de gestion et des processus de traitement de l'information définis par l'ONP. Le raccordement des différents ministères est prévu, par vagues successives, entre 2012 et 2016.
La mise en conformité du système d'information du MENJVA et du MESR implique de réunir les différentes bases de gestion de données RH existantes en une seule application, dénommée SIRHEN (système d'information RH de l'éducation nationale). Le raccordement de SIRHEN à l'ONP est prévu pour 2013 afin de permettre la liquidation des premières payes en 2014.
SIRHEN se caractérise par la dématérialisation des dossiers des agents et est conçu autour du concept de dossier unique de l'agent (DUA), qui permet d'améliorer le suivi du parcours professionnel de l'agent et la gestion globale des compétences. Actuellement, le dossier agent existe sous format papier. Mais, compte tenu du parcours des personnels, plusieurs versions de ce dossier peuvent coexister, ce qui peut engendrer la perte d'informations ou des difficultés d'accès à ces informations.
Outre la transmission des données au SI paye, SIRHEN permet la transmission au service des retraites de l'Etat (SRE), via l'ONP, de toutes les données nécessaires à l'alimentation du compte individuel retraite (CIR) des agents et donc au calcul de leurs droits à pension.
SIRHEN alimente également plusieurs applications spécifiques du MENJVA et du MESR (gestion des accidents de service et maladies professionnelles, gestion des déplacements professionnels, gestion de l'action sociale, etc.).
Sur les données collectées :
L'article 2 du projet de décret liste les catégories de données collectées, à savoir :
― les données relatives à l'identification des personnes :
― identification du personnel : nom de famille, nom marital ou d'usage, le cas échéant, prénoms, civilité, sexe, coordonnées personnelles, coordonnées des personnes à contacter en cas d'urgence, lieu et date de naissance, nationalité, date et lieu de décès, NIR (pour les seules opérations effectuées dans le cadre de la préparation de la liquidation de la paye), identifiant ministériel de l'agent (matricule) ;
― identification du conjoint ou du partenaire de l'agent : nom de famille, nom marital ou d'usage, le cas échéant, prénoms, civilité, sexe, adresse, date et lieu de naissance, nationalité, corps, grade, indice du conjoint, le cas échéant, situation professionnelle, date de fin du lien matrimonial et nouvelle situation matrimoniale des ex-conjoints ;
― identification des enfants et/ou des autres personnes à la charge de l'agent : nom, prénoms, sexe, date et lieu de naissance, NIR, rang de l'enfant dans la fratrie, lien de filiation, adresse, date, taux de handicap et mode de garde, date du décès, le cas échéant ;
― les données relatives à la vie professionnelle :
― formation, diplômes, distinctions : études poursuivies, diplômes détenus et date d'obtention, distinctions honorifiques, actions de formation continue, situation militaire (durée et date des services militaires) ;
― carrière : affectations et fonctions exercées, compétences, positions administratives, congés et absences, évaluation, avancements et promotions, coordonnées professionnelles, décharge d'activité pour exercer les fonctions de représentant syndical, date de mise à la retraite ;
― sanctions disciplinaires ;
― les données à caractère économique et financier :
― coordonnées bancaires ;
― éléments de rémunération (traitement, indemnités, primes, remboursement de frais, retenues éventuelles) ;
― droits à prestations familiales et sociales, droit au supplément familial de traitement, ressources déclarées à cette fin ;
― les données relatives à la santé :
― aptitudes médicale et suivi de la situation de handicap ;
― accidents et maladies professionnelles : nature et siège des lésions ou de la pathologie.
Lors de l'instruction du dossier, le ministère a indiqué que l'ensemble des données collectées dans SIRHEN correspond aux données listées dans le noyau RH FPE élaboré par l'ONP et que tous les ministères doivent intégrer dans leur système d'information de gestion des ressources humaines en vue du raccordement à l'ONP.
La commission prend acte du fait que les données relatives au handicap sont exclusivement accessibles par les médecins du ministère. Les gestionnaires de l'application ont uniquement connaissance du fait que l'agent concerné est en situation de handicap et n'ont pas accès au détail des données enregistrées, et notamment au type de handicap.
Elle prend également acte du fait que les données de santé collectées suite à un accident ou une maladie professionnelle sont accessibles aux seuls personnels médico-sociaux du ministère. Ces données sont collectées, via un formulaire CERFA, pour les besoins de la déclaration d'accident ou de maladie professionnelle prévue à l'article L. 441-2 du code de la sécurité sociale.
En outre, la commission prend acte de ce que le ministère a indiqué qu'il n'avait pas besoin de collecter le NIR des personnes à charge et de ce qu'il s'est engagé à supprimer cette donnée du projet de décret.
De plus, outre les données mentionnées dans le projet de décret, le ministère a indiqué que des données supplémentaires étaient collectées auprès des agents des départements d'outre-mer (DOM) pour le calcul des prestations familiales et sociales. En effet, dans les DOM, ces prestations ne sont pas versées par les caisses d'allocations familiales mais directement par l'Etat employeur. Les catégories de données concernées sont relatives à l'état civil, à la situation familiale (conjoint, enfant, personne à charge, ayant droit, autre membre de la famille) et aux prestations sociales et familiales.
La commission estime que le projet de décret devrait être modifié de manière à faire apparaître les données collectées pour la gestion des prestations sociales et familiales des agents exerçant dans les DOM.
Sur la durée de conservation :
L'article 4 du projet de décret prévoit que les données sont conservées dans l'application SIRHEN « au plus tard jusqu'au départ de l'agent à la retraite ».
Interrogé sur la conservation des données des agents qui quittent le ministère avant leur retraite (démission, par exemple), le ministère a indiqué que ces données sont en fait archivées dans la mesure où elles ne sont accessibles qu'à un nombre limité de personnes habilitées (séparation logique de la base active). La liste des personnes ainsi habilitées est établie au niveau de chaque rectorat.
En outre, le projet de décret prévoit que « seules les données qui conservent une utilité administrative sont versées dans une plate-forme d'archivage intermédiaire pour une durée de quatre-vingt-dix ans à compter de la date de naissance de l'agent ». Le ministère a précisé qu'une fois que l'agent atteint l'âge de quatre-vingt-dix ans, les données sont supprimées, sauf celles présentant un intérêt historique qui sont versées aux Archives nationales.
Par ailleurs, le ministère a précisé que certaines données sont conservées pendant une durée plus courte :
― les données relatives aux congés et aux absences sont conservées deux ans ;
― les données relatives à la formation suivie par les agents sont conservées cinq ans ;
― les données relatives aux formations dispensées par les agents sont conservées dix ans ;
― les données relatives à l'utilisation du DIF (droit individuel à la formation) sont conservées deux ans ;
― les données relatives aux remboursements de frais sont conservées cinq ans ;
― les données relatives au compte épargne temps sont conservées dix ans ;
― les données relatives aux sanctions disciplinaires sont conservées jusqu'à leur effacement du dossier de l'agent (les sanctions des deuxième et troisième groupe peuvent être effacées au terme d'un délai de dix ans à la demande de l'agent, les sanctions amnistiées sont effacées dès l'entrée en vigueur de la loi d'amnistie).
La commission prend acte de ce que le ministère s'est engagé à modifier le projet de décret de manière à mentionner ces durées de conservation spécifiques.
Sur les destinataires des données :
L'article 3 du projet de décret prévoit que sont destinataires des données strictement nécessaires à leur mission et dans la limite de leurs attributions les agents des ressources humaines, des services centraux et déconcentrés et les inspecteurs de l'éducation nationale du MENJAV et du MESR.
Par ailleurs, sont destinataires des seules données nécessaires au calcul et à la liquidation de la paye les agents dûment habilités des trésoreries générales, jusqu'en décembre 2015, et de l'ONP, à compter de janvier 2013. En effet, SIRHEN fait l'objet d'une interconnexion avec le traitement automatisé de l'ONP portant exclusivement sur les seuls éléments nécessaires au calcul et à la liquidation de la paye.
Sur l'information et le droit d'accès des personnes :
Le ministère a indiqué que les agents sont informés, conformément à l'article 32 de la loi du 6 janvier 1978 modifiée, au moment de leur première prise de fonctions au sein du MENJVA ou du MESR, par la remise d'une note d'information contenue dans un « dossier de bienvenue ». Le portail agent SIRHEN, qui permet aux agents d'accéder à l'ensemble des données les concernant, reprend également cette mention d'information.
En outre, l'article 5 du projet de décret prévoit que les personnes concernées peuvent exercer leur droit d'accès et de rectification auprès des services de gestion du personnel des services centraux et déconcentrés du MENJVA et du MESR.
Interrogé sur les droits d'accès et de rectification des tiers (enfant, conjoint, personne à charge de l'agent), le ministère a indiqué que ces droits s'exerçaient auprès du service de gestion de l'agent concerné. Les données relatives à un tiers sont extraites du dossier de l'agent concerné, l'application ne permettant pas de procéder à une requête avec le nom du tiers en question.
L'article 6 du projet de décret prévoit quant à lui que le droit d'opposition ne s'applique pas au présent traitement.
Ces dispositions n'appellent pas d'observations de la commission.
Sur les interconnexions :
L'article 3 du projet de décret mentionne l'interconnexion de l'application SIRHEN avec le traitement de l'ONP. Le raccordement à l'ONP est prévu pour 2013 afin de permettre la liquidation des premières payes en 2014. Dans un premier temps, l'interconnexion ne concernera que certaines catégories d'agents pour finalement concerner l'ensemble des agents en 2016.
Par ailleurs, le ministère a indiqué que l'application SIRHEN alimente d'autres applications du MENJVA et du MESR, qui ont fait l'objet de formalités :
ANAGRAM : traitement de gestion des accidents de service et des maladies professionnelles ;
ANNUAIRE FEDERATEUR (entrepôt intermédiaire de données alimentant d'autres fichiers du MENJVA) ;
ULYSSE : traitement de gestion des déplacements professionnels des agents du MENJVA et du MESR ;
SAXO : traitement de pilotage et de gestion de l'action sociale ;
MOSART : traitement des retenues sur traitement pour absence de service fait dans les services de l'éducation nationale ;
OBII : traitement de gestion des compétences informatiques des élèves en vue de l'obtention du brevet informatique et internet ;
SAGACE-OCEAN : traitement de gestion des concours de recrutement des agents du MENJVA.
Ces dispositions n'appellent pas d'observations de la part de la commission.
Sur les sécurités :
Concernant l'authentification des utilisateurs, la commission relève que si l'accès à certaines données (liées à la santé, au handicap, aux sanctions disciplinaires et aux évaluations et notations des agents) et aux dossiers confidentiels (dossiers d'agents de niveau « haut encadrement ») nécessite une authentification forte faisant intervenir un système de mot de passe à usage unique, la règle générale veut que les agents s'authentifient par un mot de passe composé de huit caractères, dont deux caractères numériques, ce qui est nettement insuffisant.
La commission demande ainsi au ministère de faire évoluer ses règles de gestion des mots de passe, afin de se conformer aux recommandations de la commission, disponibles sur son site internet.
De plus, concernant l'envoi de données à l'ONP, la commission observe qu'outre les données strictement nécessaires à la paye des agents du ministère, certaines données sont transmises à des fins statistiques.
La commission déplore que ces données soient envoyées sous une forme nominative et que l'anonymisation des données soit réalisée par l'ONP. Une application stricte des principes de la loi aurait conduit le ministère à envoyer des données anonymisées ou pseudonymisées à l'ONP.
Par ailleurs, la commission observe que le traitement SIRHEN intègre des fonctionnalités avancées de journalisation des accès et des modifications aux dossiers. En effet, la journalisation des accès et des modifications des données fait partie intégrante des fonctionnalités de SIRHEN, puisque cette journalisation a une utilité opérationnelle. Les journaux sont ainsi conservés pendant la durée de conservation du dossier des agents et servent de preuve le cas échéant.
Enfin, la commission prend acte du fait que le ministère a entrepris une démarche de gestion des risques, en réalisant une étude EBIOS sur le système SIRHEN. Elle regrette néanmoins que cette étude ne débouche que sur des mesures de sécurité très génériques et abstraites. Elle aurait souhaité que le ministère puisse lui fournir la liste des mesures concrètes qu'il met en œuvre ainsi que les risques résiduels qu'il a pris la décision d'accepter.


Pour le président et par délégation :

Le vice-président délégué,

E. de Givry