La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de M. Alexandre LINDEN, président, M. Philippe-Pierre CABOURDIN, vice-président, Mmes Christine MAUGÜÉ et Isabelle LATOURNARIE-WILLEMS, et M. Bertrand du MARAIS, membres ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;
Vu la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ;
Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;
Vu le décret n° 2019-536 du 29 mai 2019 modifié pris pour l'application de la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;
Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte, en date du 13 juin 2023 ;
Vu le rapport de Madame Sophie LAMBREMON, commissaire rapporteure, notifié le 22 juin 2023 :
-au ministère de la transformation et de la fonction publiques ;
-et au ministère de l’économie, des finances et de la souveraineté industrielle et numérique ;
Vu les observations écrites versées par le ministère de la transformation et de la fonction publiques le 20 juillet 2023 ;
Vu les autres pièces du dossier ;
Étaient présents, lors de la séance de la formation restreinte du 5 octobre 2023 :
- Madame Sophie LAMBREMON, commissaire, entendue en son rapport ;
En qualité de représentants des ministères :
- M. […] ;
- M. […].
Les représentants des ministères de la transformation et de la fonction publiques et de l’économie, des finances et de la souveraineté industrielle et numérique ayant eu la parole en dernier ;
La formation restreinte a adopté la décision suivante :
I. Faits et procédure
1. La Commission nationale de l’informatique et des libertés (ci-après " la CNIL " ou " la Commission ") a été saisie de 1590 plaintes relatives à la réception le 26 janvier 2023 d’un courriel adressé par l’adresse électronique " ne-pas-repondre@dgfip.finances.gouv.fr " et dont l’objet était " Réforme des retraites : Message de Stanislas Guerini aux agents de la Fonction publique ". Le courriel contenait un lien vers une vidéo d’une durée de 6 minutes et 36 secondes intitulée " Réforme des retraites : Message de Stanislas Guerini aux agents de la fonction publique " dans laquelle le ministre de la transformation et de la fonction publiques s’exprimait.
2. Les plaintes visaient le ministère de l’économie, des finances et de la souveraineté industrielle et numérique (ci-après " ministère de l’économie ") et le ministère de la transformation et de la fonction publiques. De manière générale, les plaignants qualifient de " communication politique " le courriel dont ils ont été destinataires, et l’utilisation, par la direction générale des finances publiques (DGFiP), de leurs données à caractère personnel, pour l’envoi de ce courriel par le ministère de la transformation et de la fonction publiques. De plus, certains plaignants affirmaient avoir été destinataires du courriel alors qu’ils ne sont plus agents publics.
3. Par courriel du 27 janvier 2023, les services de la Commission ont interrogé le délégué à la protection des données des deux ministères (ci-après " le DPO ") sur les points suivants : la base légale applicable, l’origine des données utilisées pour envoyer le courriel, les destinataires du courriel, le nombre de personnes concernées par le traitement, l’identité du ou des responsables de traitement, les finalités du traitement, l’éventuelle information préalable qui aurait été effectuée afin de faciliter l’exercice des droits, et tout élément justificatif de la licéité du traitement. Deux courriels de relance ont été envoyés par la CNIL au DPO les 30 janvier et 1er février 2023.
4. Le 2 février 2023, le DPO a répondu en indiquant notamment que le courriel avait été envoyé à 2 346 303 personnes et en précisant que ce nombre correspond à celui de tous les agents actifs, titulaires et non titulaires inscrits dans l’espace numérique sécurisé de l’agent public (ENSAP).
5. Par courriel du 14 février 2023, les services de la CNIL ont demandé des informations complémentaires au DPO, qui a répondu le 17 février 2023 en joignant la copie des échanges de courriels entre la DGFiP et la direction générale de l’administration et de la fonction publique (DGAFP) ayant précédé l’envoi du courriel litigieux aux agents publics réputés actifs.
6. Aux fins d’instruction de ces éléments, la présidente de la Commission a, le 13 juin 2023, désigné Mme Sophie LAMBREMON en qualité de rapporteure sur le fondement de l’article 39 du décret n°2019-536 du 29 mai 2019 modifié.
7. À l’issue de son instruction, la rapporteure a, le 22 juin 2023, notifié aux ministères un rapport détaillant le manquement à l’article 5-1-b) du règlement général sur la protection des données (ci-après " RGPD ") qu’elle estimait constitué en l’espèce. Ce rapport proposait à la formation restreinte de prononcer un rappel à l’ordre à l’encontre des ministères. Il proposait également que cette décision soit rendue publique et ne permette plus d’identifier nommément les ministères à l’expiration d’un délai de deux ans à compter de sa publication.
8. Le 20 juillet 2023, le ministre de la transformation et de la fonction publiques a produit ses observations en réponse au rapport de sanction. Il a ensuite été confirmé aux services de la CNIL que cette réponse était commune aux deux ministères visés par la procédure.
9. Par courrier du 17 août 2023, la rapporteure a informé les ministères que l’instruction était close, en application de l’article 40, III, du décret modifié n° 2019-536 du 29 mai 2019.
10. Par courrier du 7 septembre 2023, les ministères ont été informés que le dossier était inscrit à l’ordre du jour de la formation restreinte du 5 octobre 2023.
11. Par courriel du 4 octobre 2023, les ministères ont été informés du report de la séance de la formation restreinte. Par courrier du 12 octobre, ils ont été avisés de ce que sa date était fixée au 26 octobre 2023.
12. La rapporteure et les représentants des ministères ont été entendus lors de la séance de la formation restreinte.
II- Motifs de la décision
A- Sur la qualité de responsables conjoints de traitement des ministères
13. Le responsable de traitement est défini, aux termes de l’article 4, point 7, du RGPD, comme " la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ". En vertu de l’article 26 du RGPD : " Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. "
14. Le traitement en cause dans la présente procédure est l’utilisation des adresses électroniques d’agents publics aux fins d’envoi du courriel du 26 janvier 2023 ayant pour objet " Réforme des retraites : Message de Stanislas Guerini aux agents de la Fonction publique ", ci-après " le traitement ".
15. La rapporteure estime que le ministère de la transformation et de la fonction publiques et le ministère de l’économie doivent être regardés comme conjointement responsables du traitement en cause, compte tenu d’une part, de ce qu’il s’agit de deux ministères de plein exercice et d’autre part, des éléments communiqués par le DPO quant aux rôles respectifs de la DGAFP et de la DGFIP dans l’envoi du courriel litigieux aux " agents de l’Etat " .
16. En défense, les ministères ne contestent pas leur responsabilité conjointe.
17. En premier lieu, la formation restreinte note qu’il ressort des échanges de courriels entre les deux directions que la DGAFP a demandé le 16 janvier 2023 au service des retraites de l’Etat (SRE) de la DGFiP d’adresser une communication aux agents de l’Etat " sur les mesures incluses dans le projet de loi retraites en cours de préparation ", en précisant que celle-ci prendrait la forme de deux messages distincts, " l’un à destination des actifs, l’autre à destination des pensionnés ", avant de finalement revenir sur sa demande par un courriel du 18 janvier 2023 en précisant " Il s’agit en définitive de s’adresser aux seuls agents en activité ". Les mêmes échanges permettent de constater que la DGAFP a transmis à la DGFiP le message à envoyer aux agents actifs, en posant les questions suivantes : " est-il possible d’incruster la vidéo de manière à pouvoir la regarder dans l’e-mail ? " et " Quelles statistiques pourriez-vous obtenir ? Nous serons notamment demandeurs du taux d’ouverture, du taux de visionnage de la vidéo et même du nombre de clics sur le ppt joint si possible ". Il apparait ainsi que la DGAFP, souhaitant adresser une communication aux agents actifs de l’Etat sur la réforme des retraites, a défini les finalités du traitement. Ensuite, en sollicitant la DGFiP pour l’envoi du courriel et en lui donnant les instructions relatives au contenu et à la forme de la communication, la DGAFP a défini les moyens du traitement. La formation restreinte note également qu’il ressort des échanges entre la DGFiP et la DGAFP du 23 janvier 2023 que la DGFIP a réalisé des tests techniques en vue de l’envoi du courriel et qu’elle a " donné le go fonctionnel pour un envoi du mass mail [le] jeudi 26 janvier ".
18. La formation restreinte considère ainsi que le ministère de la transformation et de la fonction publiques, à travers la DGAFP, a participé à la détermination des finalités et des moyens du traitement.
19. En second lieu, l’article 1er du décret n° 2022-1446 du 21 novembre 2022 fixant les modalités du traitement de l’ENSAP dispose que " la direction générale des finances publiques met en œuvre le traitement automatisé de données à caractère personnel dénommé " ENSAP.
20. Si le décret n° 2022-842 du 1er juin 2022 relatif aux attributions du ministre de la transformation et de la fonction publiques prévoit une autorité fonctionnelle de ce ministre sur la DGFiP, pour les " questions relatives à la gestion budgétaire et comptable publique et à la politique immobilière de l'Etat ", il résulte des écritures du DPO que l’administration estime que l’action de la DGFiP pour l’envoi de ce message excédait ce cadre et que son action relevait alors de l’autorité du ministre de l’économie. La formation restreinte considère également qu’en utilisant le fichier ENSAP et en déterminant certains des moyens du traitement en cause, le ministère de l’économie, à travers la DGFiP, a également déterminé les finalités et moyens du traitements.
21. La formation restreinte considère, compte tenu de ces éléments, que le ministère de la transformation et de la fonction publiques et le ministère de l’économie doivent être regardés comme conjointement responsables du traitement en cause.
B- Sur le manquement à l’obligation de traiter des données de manière compatible avec les finalités pour lesquelles elles ont été collectées en application de l’article 5, paragraphe 1, b) du RGPD
22. L’article 5.1.b) du RGPD dispose que " Les données à caractère personnel doivent être : / (…) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités ; (…) ".
23. La rapporteure relève que les adresses électroniques utilisées dans le cadre du traitement en cause sont celles collectées au titre du décret n° 2022-1446 du 21 novembre 2022 fixant les modalités du traitement de l’ENSAP et qu’elles ont été traitées de manière incompatible avec les finalités prévues par ledit décret pour envoyer un message relevant d’une communication de nature politique.
24. En défense, les ministères soutiennent que le SRE, qui exploite le traitement ENSAP au sein de la DGFiP " assure l’information des ressortissants du régime de retraite des fonctionnaires civils et militaires de l’Etat, notamment au regard du droit à l’information sur les retraites ", et qu’il a ainsi agi dans sa mission d’intérêt public d’information. Ils indiquent qu’ils prennent toutefois note des réactions déclenchées par la communication en cause et qu’un recensement des coordonnées des usagers s’étant manifestés pour ne plus recevoir d’informations de la part de l’ENSAP a été effectué afin qu’ils soient exclus d’éventuelles communications futures. Par ailleurs, une évolution de l’interface ENSAP, prévue à échéance de décembre 2023, permettra aux usagers de directement refuser la réception de courriels d’information.
25. Les ministères contestent ensuite la qualification de communication politique retenue par la rapporteure en affirmant notamment que l’usager avait le choix de regarder ou non la vidéo jointe au courriel, et que " l’envoi n’avait pas vocation à promouvoir le projet de réforme, mais bien à informer, en tant qu’employeur, les agents publics sur les axes spécifiques les concernant et l’impact très concret pouvant en résulter pour eux ". A cet égard, les ministères considèrent que les différents sujets abordés dans la vidéo (tels que la prise en compte de la pénibilité des catégories dites actives ou les explications apportées sur la retraite progressive) ainsi que le powerpoint étaient purement informatifs, sans que le format de l’allocution par le ministre lui-même constitue un élément caractéristique d’une communication politique, le ministre de la transformation et de la fonction publiques pouvant, en tant qu’employeur public, s’adresser directement et personnellement à l’ensemble des agents publics sur toutes les questions administratives et de gestion des ressources humaines.
26. En premier lieu, la formation restreinte relève que, comme l’a indiqué le DPO des deux ministères aux services de la CNIL, les adresses électroniques utilisées dans le cadre du traitement en cause sont issues d’une extraction contemporaine de l’ENSAP et sont relatives aux agents en activité. La formation restreinte rappelle que lorsqu’un traitement est encadré par un acte réglementaire, ses finalités ne peuvent être que celles autorisées par cet acte.
27. Aux termes de l’article 1er du décret n° 2022-1446 du 21 novembre 2022 fixant les modalités du traitement de l’ENSAP, " ce traitement a pour finalité de mettre à disposition des agents publics un espace numérique sécurisé offrant des services personnalisés relatifs aux pensions de l’Etat, à la paye et aux élections des représentants du personnel dans la fonction publique de l’Etat. A ce titre, il permet à l’agent public : 1° De disposer d’un outil d’échange et de communication avec l’administration ; 2° De disposer d'un espace d'archivage de documents relatifs aux pensions de l’Etat (…) et à la paye ". Il résulte de ces dispositions que le traitement en cause ne permet à l’administration que d’adresser aux agents publics des courriels les informant qu’un document est disponible sur la plateforme ENSAP afin de leur offrir des services personnalisés.
28. En second lieu, la formation restreinte rappelle que les traitements automatisés de données à caractère personnel des agents publics dont la finalité est limitée, par l’acte réglementaire qui les régit, à une communication de nature administrative, ne peuvent servir à une communication de nature politique (CNIL, FR, 3 septembre 2020, Sanction, n°SAN 2020-005, publié ; CNIL, FR, 3 septembre 2020, Sanction, n°SAN 2020-006, publié ; CNIL, FR, 24 juillet 2018, Sanction, n°SAN 2018-007, publié). Elle relève que le courriel du 26 janvier 2023 en question est signé par le ministre de la transformation et de la fonction publiques et renvoie notamment vers une vidéo contenant une allocution officielle de sa part présentant la réforme des retraites. La formation restreinte relève que cette vidéo contient - comme l’indiquent les ministères - des précisions concrètes sur la façon dont le régime des pensions serait amené à évoluer, de même que le powerpoint intitulé " Pour nos retraites : un projet de justice, d’équilibre et de progrès ". Toutefois, cet envoi intervient peu après la présentation par le ministre en janvier 2023 de la réforme envisagée, et ce avant l’adoption du projet par le Parlement. La formation restreinte considère également que certains termes utilisés et la teneur générale du message visent à convaincre de la nécessité et du bien-fondé de la réforme : " il nous faut travailler plus longtemps pour préserver notre modèle de retraite par répartition " ; " notre système par répartition auquel nous sommes toutes et tous attachés […] protège les plus fragiles " ; les mesures sont qualifiées de " mesures de justice, de progrès " ; enfin, la réforme " va nous permettre très concrètement, j’espère vous l’avoir démontré avec quelques axes très concrets, d’améliorer notre système sans dissimuler le fait que oui, nous demandons un effort à chacun d’entre vous et pour cela, je veux vous remercier ". Enfin, contrairement à ce qui est habituellement fait pour les communications via l’ENSAP (pour des motifs de sécurité informatique), le courriel reçu par les agents ne les invitait pas à aller consulter un message dans l’ENSAP, mais contenait le message avec un lien vers une vidéo hébergée sur un service tiers.
29. Ainsi, contrairement à ce que soutiennent les ministères, le courriel signé par le ministre, le format de la vidéo et la teneur générale du message, ne correspondent pas à une communication entre des agents publics et leur administration. S’il est loisible à l’administration de communiquer auprès de ses agents toutes les informations nécessaires à l’exercice de leur mission ou relatives à leur statut d’agent public, elle ne saurait le faire que dans le respect des dispositions régissant les fichiers qu’elle utilise. De façon plus générale, le respect du principe de finalité implique que les traitements institués pour les besoins du service public ou l’emploi des agents publics ne soient pas utilisés pour des finalités de communication politique auprès des agents publics. La formation restreinte estime que, en l’espèce, la démarche relève d’une action de communication politique de la part de l’un des ministres porteurs de ladite réforme.
30. La formation restreinte en conclut que le fichier de l’ENSAP a été utilisé à des fins de communication politique et que le traitement en cause ne correspond pas à la finalité prévue par le décret constitutif de ce traitement de " communication entre l’agent et l’administration ". L’utilisation de l’ENSAP pour l’envoi de ces messages méconnait donc l’article 1er du décret n° 2022-1446 du 21 novembre 2022 qui fixe les finalités du traitement.
31. Il résulte de ce qui précède qu’en utilisant les adresses électroniques des agents publics actifs collectées au titre du traitement ENSAP pour communiquer sur la réforme des retraites, le ministère de la transformation et de la fonction publiques et le ministère de l’économie, des finances et de la souveraineté industrielle et numérique, responsables conjoints du traitement, ont traité lesdites données à caractère personnel de manière incompatible avec la finalité de la collecte en méconnaissance de l’article 5.1.b) du RGPD.
II. Sur la mesure correctrice et sa publicité
32. Aux termes du III de l’article 20 de la loi du 6 janvier 1978 modifiée :
" Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé l'avertissement prévu au I du présent article ou, le cas échéant en complément d'une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes :
1° Un rappel à l'ordre ; […] "
33. En vertu du 7° du III de l’article 20 de la loi du 6 janvier 1978 modifiée, dans le cas où le traitement de données à caractère personnel est mis en œuvre par l’Etat, il ne peut être prononcé une amende administrative.
34. La rapporteure propose à la formation restreinte que soit prononcé un rappel à l’ordre à l’encontre à l’encontre du ministère de la transformation et de la fonction publiques et du ministère de l’économie, des finances et de la souveraineté industrielle et numérique. Elle propose également que cette décision soit rendue publique.
35. Les ministères contestent l’existence d’un manquement.
36. La formation restreinte considère que, dans le cas d’espèce, le manquement commis justifie que soit prononcé un rappel à l’ordre à l’encontre des ministères pour les motifs suivants.
37. La formation restreinte relève le nombre particulièrement important de personnes concernées, les adresses électroniques de 2 346 303 personnes ayant été utilisées afin de les rendre destinataires de cette communication.
38. Au vu de la nature des responsables conjoints de traitement qui disposent de prérogatives de puissance publique, la formation restreinte estime nécessaire de sensibiliser les ministères sur l’usage des données à caractère personnel détenues par l’administration au titre de ses missions et dont le traitement doit être respectueux du cadre légal et règlementaire applicable.
39. Enfin, et pour les mêmes raisons, la formation restreinte estime nécessaire que sa décision soit rendue publique. Elle relève, sur ce point, que le public a démontré, au cours des derniers mois, un fort intérêt pour les questions relatives au traitement de ses données à caractère personnel par l’État, comme en témoigne le nombre sans précédent de plaintes reçues à l’issue de cette communication.
PAR CES MOTIFS
La formation restreinte de la CNIL, après en avoir délibéré, décide de :
• Prononcer, au regard du manquement constitué à l’article 5-1-b) du règlement (UE) n° 2016/679 du 27 avril 2016 relatif à la protection des données :
-un rappel à l’ordre à l’encontre du ministère de la transformation et de la fonction publiques ;
-un rappel à l’ordre à l’encontre du ministère de l’économie, des finances et de la souveraineté industrielle et numérique ;
• rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément les ministères à l’expiration d’un délai de deux ans à compter de sa publication.
Le président
Alexandre LINDEN
Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.