Délibération n° 2017-314 du 7 décembre 2017 portant avis sur un projet de décret modifiant le décret n° 2016-1102 du 11 août 2016 autorisant la création d'un traitement de données à caractère personnel dénommé « compte personnel de prévention de la pénibilité » (demande d'avis n° 17024485)

Chemin :




Article
ELI: Non disponible


Après avoir entendu Mme Marie-France MAZARS commissaire, en son rapport, et M. Michel TEIXEIRA, adjoint au commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie pour avis par le ministère des solidarités et de la santé d'un projet de décret modifiant le décret n° 2016-1102 du 11 août 2016 autorisant la création d'un traitement de données à caractère personnel dénommé « compte personnel de prévention de la pénibilité » sur lequel la commission a rendu un avis par la délibération n° 2016-061 du 10 mars 2016.
Ce traitement a pour finalités :


- d'assurer le stockage des données relatives aux conditions de travail des personnes exposées aux facteurs de risques professionnels définis à l'article L. 4163-1 du code du travail ;
- de contrôler le nombre de points acquis et d'assurer le suivi des recours ;
- de permettre au bénéficiaire du compte d'utiliser les points acquis conformément à l'article L. 4163-7, et aux futurs articles R. 4163-9 à R. 4163-11 du code du travail ;
- d'assurer la gestion et le suivi des comptes professionnels de prévention ;
- de produire des statistiques anonymes utiles à la conception et à la mise en œuvre des politiques publiques en matière de retraite et de prévention de la pénibilité.


L'ordonnance n° 2017-1389 du 22 septembre 2017 susvisée a modifié certaines caractéristiques de ce compte, notamment pour ce qui concerne l'identité du responsable de traitement, les données collectées, les destinataires des données et l'organisme chargé de la gestion des demandes de droit d'accès et de rectification des données.
En outre, la commission observe que ce compte s'intitule désormais « compte professionnel de prévention ».
Sur le responsable de traitement :
Le projet de décret modifie l'article 1er du décret n° 2016-1102 du 11 août 2016 en ce qu'il prévoit que la Caisse nationale de l'assurance maladie des travailleurs salariés (CNAMTS) est le responsable de traitement.
Il prévoit également que la gestion du compte professionnel de prévention peut être déléguée à la Caisse nationale d'assurance vieillesse des travailleurs salariés (CNAVTS) conformément aux dispositions de l'article L. 4163-14 du code du travail.
Cette modification n'appelle pas d'observations de la commission.
Sur les données collectées :
Concernant les données traitées, la commission observe que parmi les données relatives à l'employeur ne figurent plus les taux de cotisations de base de pénibilité.
Interrogé sur les raisons de ce retrait, le ministère a précisé que cette cotisation sera supprimée au 1er janvier 2018.
La commission relève que dans sa délibération n° 2016-061 en date du 10 mars 2016, elle avait pris acte de l'engagement du ministère d'ajouter à l'article 2 du projet de décret, les données relatives à la traçabilité des actions effectuées par les agents à la demande des salariés souhaitant utiliser leurs points.
Elle constate que ces données ne figurent pas dans la liste des données collectées dans le cadre du traitement et recommande à nouveau qu'elles soient ajoutées à l'article 2 du décret n° 2016-1102 du 11 août 2016.
Sur les destinataires des données :
Le projet de décret modifie les dispositions de l'article 4 du décret n° 2016-1102 du 11 août 2016 susvisé. Il prévoit ainsi que les agents de la CNAMTS, des organismes du régime général chargés de la gestion du risque accidents du travail et maladies professionnelles et des organismes de la Mutualité sociale agricole individuellement désignés et dûment habilités par le directeur de leur organismes, sont destinataire des données contenues dans le traitement, en tant que de besoin et dans les limites de leurs attributions respectives.
Les agents de la CNAVTS et des organismes du régime général chargés de l'assurance vieillesse sont destinataires des données contenues dans le traitement en tant que de besoin, en fonction de la délégation de gestion prévue à l'article L. 4163-14 du code du travail.
La commission observe que ces modifications découlent du transfert de gestion du compte professionnel de prévention prévu à l'article L. 4163-14 du code du travail ce qui n'appelle pas d'observations.
Les autres destinataires des données contenues dans le traitement restent inchangés.
Sur les droits des personnes :
Au regard du transfert de gestion du compte professionnel de prévention, le projet de décret prévoit que les droits d'accès aux données et de rectification de celles-ci s'exercent à présent auprès de la CNAMTS ou, en cas de délégation de gestion, auprès de la CNAVTS.
La commission rappelle que les personnes concernées devront être clairement informées de l'identité des personnes auprès desquelles peuvent être exercés les droits prévus aux articles 39 et 40 de la loi du 6 janvier 1978 modifiée.
Sur les mesures de sécurité :
Concernant les aspects techniques du traitement, la commission relève que ceux-ci ne sont pas modifiés par le projet de décret qui lui est soumis pour avis.
Le ministère a indiqué que les modalités d'authentification des personnes sont conformes à la délibération n° 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe. La commission en prend acte.
Elle relève que l'exploitation statistique des données traitées a pour le moment été strictement limitée à la production de statistiques agrégées ne présentant aucun risque de ré-identification des personnes.
Elle rappelle toutefois que les futures utilisations statistiques des données devront faire l'objet d'une évaluation des risques de ré-identification des personnes afin de mettre en place les mesures appropriées, le cas échéant.
La commission prend acte de ce que le traitement mis en œuvre a fait l'objet d'une homologation au titre du référentiel général de sécurité le 29 mai 2017.
Le ministère a toutefois indiqué qu'une analyse de risques ne portant pas sur les risques pesant sur les personnes concernées par le traitement a été effectuée. Si la réalisation d'études d'impact sur la vie privée ne sera effectivement une obligation qu'à compter de l'entrée en application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD), l'étude des risques, obligatoire au titre de la conformité au référentiel général de sécurité, se doit d'inclure un volet détaillant les impacts sur la vie privée des personnes concernées en cas d'atteinte à la disponibilité, à l'intégrité et à la confidentialité des données. En effet, la réglementation en vigueur impose déjà de mettre en oeuvre des mesures de sécurité proportionnées aux risques pour les personnes concernées par un traitement.
Enfin, la commission rappelle la nécessité de réévaluer régulièrement les risques afin de garantir que les mesures de sécurité restent proportionnées à ces risques.
Elle souligne que les autres caractéristiques du traitement restent inchangées et n'appellent donc pas d'observations au regard de la loi du 6 janvier 1978 modifiée.


Liens relatifs à cet article