Délibération n° 2017-109 du 13 avril 2017 portant avis sur un projet de décret organisant l'échange de données dématérialisées relatives à la formation professionnelle, entre les organismes financeurs de la formation professionnelle, les institutions et organismes chargés du conseil en évolution professionnelle et le compte personnel de formation (demande d'avis n° 2038419)

Chemin :




Article
ELI: Non disponible


La Commission nationale de l'informatique et des libertés,
Saisie par la délégation générale à l'emploi et à la formation professionnelle d'une demande d'avis concernant l'échange de données dématérialisées relatives à la formation professionnelle ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code du travail, notamment ses articles L. 6323-8 et suivants, L. 6353-10 et R. 6323-13 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27 (I-1°) ;
Vu la loi n° 2016-1088 du 8 août 2016 relative au travail, à la modernisation du dialogue social et à la sécurisation des parcours professionnels ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2014-1717 du 30 décembre 2014 portant création d'un traitement automatisé de données à caractère personnel dénommé « Système d'information du compte personnel de formation » relatif à la gestion des droits inscrits ou mentionnés au compte personnel de formation ;
Vu le décret n° 2015-1224 du 2 octobre 2015 autorisant les traitements automatisés de données à caractère personnel permettant la connexion au « système d'information du compte personnel de formation » pour la gestion des droits inscrits ou mentionnés au compte personnel de formation ;
Vu la délibération n° 2014-434 du 23 octobre 2014 portant avis sur un projet de décret relatif à la mise en œuvre d'un traitement de données à caractère personnel dénommé « système d'information du compte personnel de formation » ;
Après avoir entendu Mme Marie-France Mazars, commissaire, en son rapport, et Mme Nacima Belkacem, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La loi n° 2016-1088 du 8 août 2016 relative au travail, à la modernisation du dialogue social et à la sécurisation des parcours professionnels a créé un article L. 6353-10 dans le code du travail. Cet article prévoit que des informations relatives aux parcours de formations des bénéficiaires sont partagées entre divers acteurs intervenant dans la formation professionnelle pour permettre une meilleure gestion du parcours de formation des titulaires de compte personnel de formation (CPF). D'une part, l'organisme financeur de la formation professionnelle disposera de l'ensemble des informations relatives au parcours de formation, c'est-à-dire aux actions de formation dont a bénéficié le titulaire du compte. Ces informations lui permettront d'avoir notamment une meilleure connaissance des compétences acquises par le bénéficiaire et de cibler les formations les plus adaptées à son profil. D'autre part, les partages d'informations renforceront également la connaissance, par le conseil en évolution professionnelle, du parcours de formation du bénéficiaire.
L'article L. 6353-10, alinéa 2, énonce plus précisément que les organismes financeurs, la Caisse des dépôts et consignations (CDC) qui est l'organisme gestionnaire du système d'information du compte personnel de formation (SI-CPF) et les entités chargées du conseil en évolution professionnelle partagent des données relatives aux actions de formation des titulaires du CPF. L'article indique que ces échanges de données interviennent par voie dématérialisée.
Afin de mettre en application ces dispositions, la délégation générale à l'emploi et à la formation professionnelle (DGEFP) envisage de recourir au SI-CPF comme outil de transmission des données. Les informations relatives au parcours de formation seront collectées par les organismes financeurs et les entités chargées du conseil en évolution professionnelle et viendront alimenter le passeport d'orientation, de formation et de compétences dont chaque titulaire de compte dispose dans son CPF.
Dans ces conditions, le présent projet de décret, soumis à la commission pour avis sur le fondement de l'article 27 (l-2°) de la loi du 6 janvier 1978 modifiée, procède à la mise à jour de l'encadrement juridique du dispositif du SI-CPF s'agissant des finalités du traitement, des données traitées et des destinataires de ces données. Sont intégrées les références au partage des données de la formation professionnelle pour la gestion des parcours de formation des titulaires d'un CPF.
Sur la finalité du traitement :
Le traitement vise à permettre, via le SI-CPF, l'échange de données relatives à l'ensemble des formations suivies par les titulaires de CPF, afin d'améliorer la gestion du parcours de formation du titulaire du compte.
Le projet de décret modifie l'article R. 6323-13 en ce qu'il précise désormais que le SI-CPF a pour fonction, outre la gestion des droits inscrits ou mentionnés sur le CPF, la « gestion du parcours de formation du titulaire du compte ».
L'acte réglementaire modifie également la liste des finalités poursuivies par le SI-CPF énoncée à l'article R. 6323-13 du code du travail pour y ajouter celle relative à l'organisation du« partage des données mentionné à l'article L. 6353-10 ».
La commission considère que cette finalité est déterminée, explicite et légitime.
Sur les données collectées :
Le projet de décret liste les catégories de données échangées en application de l'article L. 6353-10 du code du travail. Elles sont relatives aux interruptions et à l'achèvement de la formation des stagiaires, à leur emploi et à leur parcours de formation professionnelle ainsi qu'aux coûts des actions de formation.
Elle relève que le projet de décret distingue clairement les données traitées dans le cadre de cet échange de celles traitées pour la gestion du CPF.
Il convient de noter que le présent traitement porte sur l'ensemble des formations suivies par les titulaires du CPF et non pas sur les seules formations éligibles au CPF. Ainsi, toutes les formations suivies par les stagiaires figureront dans le SI-CPF sans pour autant qu'elles n'ouvrent de droits dans le CPF.
La commission relève également que le fonctionnement du SI-CPF repose sur le traitement du NIR à partir duquel sont notamment effectués les échanges de données et les appariements pour mettre à jour les données du CPF. Or, les données relatives aux entrées et sorties des stagiaires des formations sont transmises par les organismes de formation, en application de l'article L. 6353-10, alinéa 1er, dont certains ne collectent pas le NIR (lorsque la formation est prise en charge par Pôle emploi ou par les OPCA hors champ du CPF).
S'agissant de ces derniers, la commission rappelle que le NIR ne pourra être traité qu'en vue des échanges avec l'organisme financeur dans le cadre du présent traitement.
Sous ces réserves, la commission estime que les données collectées dans le cadre de ce traitement sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie par le responsable de traitement.
Sur la durée de conservation des données :
Les données échangées via le SI-CPF, dans le cadre de l'article L. 6353-10 du code du travail, sont conservées pendant une durée de trois ans après le décès du stagiaire bénéficiaire du compte, conformément à la durée de conservation prévue pour les données présentes dans le SI-CPF.
La commission estime que les données enregistrées dans le traitement sont conservées pour une durée qui n'excède pas la durée nécessaire à la finalité pour laquelle elles sont collectées et traitées.
Sur les destinataires des données :
Les données sont échangées, dans les limites de leurs attributions légales, entre les organismes chargés du financement de la formation (les OPCA, les organismes paritaires agréés au titre du congé individuel de formation - OPCACIF-, les régions, Pôle emploi, les fonds de développement pour l'insertion professionnelle des handicapés), la CDC et les organismes de conseil en évolution professionnelle mentionnés à l'article L. 6111-6 du code du travail. Ces catégories de destinataires sont déjà prévues par le décret encadrant le SI-CPF.
La commission prend acte que les destinataires se trouvant hors du champ du dispositif du CPF n'ont accès qu'aux seules informations du CPF se rapportant aux échanges de données de l'article L. 6353-10 du code du travail et à la gestion du parcours de formation.
La commission considère que ces destinataires présentent un intérêt légitime à accéder aux données du présent traitement, dans la limite de leurs attributions et sous réserve que les données effectivement accessibles présentent un lien direct et nécessaire avec leurs fonctions et avec la finalité du traitement.
Sur l'information et les droits des personnes :
La commission prend acte que les modalités d'information des personnes et d'exercice de leurs droits sont identiques à celles prévues dans le cadre du SI-CPF. Ainsi, les stagiaires bénéficiaires du CPF sont informés, conformément à l'article 32 de la loi du 6 janvier 1978 modifiée, par une mention insérée sur le portail d'accès au site internet www.moncompteformation.gouv.fr.
S'agissant des droits d'accès et de rectification, prévus par les articles 39 et 40 de la loi du 6 janvier 1978modifiée, conformément au décret encadrant le SI-CPF, ils s'exercent directement auprès du correspondant informatique et libertés de la Caisse des dépôts et consignations.
Le droit d'opposition pour motif légitime est écarté par le décret encadrant le SI-CPF, en application du dernier alinéa de l'article 38 de la loi du 6 janvier 1978 modifiée.
Ces dispositions du projet de décret relatives aux droits d'accès, de rectification et d'opposition n'appellent pas d'observation de la part de la commission.
Sur les mesures de sécurité et de confidentialité des données :
La commission souligne qu'elle a déjà rendu un avis sur le SI-CPF et précise que les modalités techniques de mise en œuvre du traitement ne sont pas impactées par les modifications énoncées précédemment.
S'agissant toutefois des modalités de transmission des informations entre l'organisme de formation et l'organisme financeur, la commission insiste sur la nécessité, pour l'organisme financeur, de s'assurer que ces transmissions sont réalisées de manière sécurisée. La commission rappelle à cet égard que toute transmission d'information via un canal de communication non sécurisé, par exemple internet, doit s'accompagner de mesures adéquates permettant de garantir la confidentialité des données échangées, telles qu'un chiffrement des données.
La commission rappelle que l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.
Sur la mise à jour de l'acte réglementaire unique n° 049 :
Le projet de décret procède à la mise à jour de l'acte réglementaire unique n° 049 (décret n° 2015-1224 du 2 octobre 2015 autorisant les traitements automatisés de données à caractère personnel permettant la connexion au « système d'information du compte personnel de formation » pour la gestion des droits inscrits ou mentionnés au compte personnel de formation) qui autorise les traitements de données à caractère personnel permettant la connexion au SI-CPF.
La commission relève que l'acte réglementaire unique prévoit désormais que la connexion au SI-CPF peut également avoir pour fin de permettre les échanges de données prévus à l'article L. 6353-10 du code du travail, conformément à la rédaction du présent projet de décret. Néanmoins, il conviendrait également de modifier le titre du décret de manière qu'il ne soit plus exclusivement rattaché à la gestion du CPF.
S'agissant des autres champs de l'acte réglementaire unique, ils ne sont pas impactés par l'ajout de la finalité.


Liens relatifs à cet article