Délibération n° 2015-371 du 22 octobre 2015 portant avis sur un projet de décret portant création du système d'information concernant les demandeurs d'emploi et salariés mis en œuvre par Pôle emploi (demande d'avis n° 1773036)

Version initiale

  • La Commission nationale de l'informatique et des libertés,
    Saisie par Pôle emploi d'une demande d'avis relative à la mise en œuvre d'un traitement de données à caractère personnel concernant les demandeurs d'emploi et les salariés et impliquant, notamment, la collecte et le traitement de numéros d'inscription des personnes au répertoire national d'identification des personnes physiques ;
    Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
    Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
    Vu le code du travail, notamment ses articles L. 5312-1 et suivants ;
    Vu le code de l'entrée et du séjour des étrangers en France, notamment ses articles R. 611-1 à R. 611-7-4 ;
    Vu le livre des procédures fiscales, notamment son article L. 152 ;
    Vu la loi n° 2008-126 du 13 février 2008 relative à la réforme de l'organisation du service public de l'emploi ;
    Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment les dispositions du 1° du I de son article 27 :
    Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
    Vu le décret n° 2012-927 du 30 juillet 2012 relatif aux informations transmises à Pôle emploi dans le cadre de la déclaration préalable à l'embauche ;
    Vu le décret n° 2013-266 du 28 mars 2013 relatif à la déclaration sociale nominative ; Vu l'arrêté du 14 juin 1982 modifié relatif à l'extension d'un système automatisé de gestion du fichier des comptes bancaires :
    Après avoir entendu Mme Marie-France MAZARS, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
    Emet l'avis suivant :
    La Commission nationale de l'informatique et des libertés a été saisie par Pôle emploi, en qualité d'établissement public à caractère administratif chargé du service public de l'emploi, d'une demande d'avis relative à la mise en œuvre du système d'information concernant les demandeurs d'emploi et salariés.
    Dans la mesure où ce traitement automatisé a vocation à être mis en œuvre par une personne morale de droit public et porte sur des données parmi lesquelles figurent des numéros d'inscription des personnes au répertoire national d'identification des personnes physiques, il y a lieu de faire application des dispositions prévues au 1° du I de l'article 27 de la loi du 6 janvier modifiée, qui prévoient que la création du traitement doit intervenir par décret en Conseil d'Etat pris avis motivé et publié de la commission.
    Sur les finalités du traitement et des téléservices :
    Le traitement dont a été saisie la commission pour avis, tel que précisé par le projet de décret, vise à permettre :


    - l'information, l'accueil, l'orientation et l'accompagnement des personnes à la recherche d'un emploi, d'une formation ou d'un conseil professionnel et leur mise en relation avec des employeurs ;
    - l'inscription, l'actualisation, la cessation et la radiation de la liste des demandeurs d'emploi ainsi que la prise en compte des changements de situation ;
    - l'élaboration et le suivi du projet personnalisé d'accès à l'emploi (PPAE) ;
    - le contrôle de la recherche d'un emploi en application des textes en vigueur ;
    - l'attribution et le versement d'allocations et d'aides ainsi que la répétition des sommes indûment perçues ;
    - la prévention et la lutte contre la fraude ;
    - la gestion des réclamations et des contentieux ;
    - la gestion électronique des documents ;
    - l'échange de données avec des organismes de sécurité sociale ou de retraite complémentaire pour garantir les droits sociaux des demandeurs d'emploi ou éviter les cumuls indus d'allocations et aides avec des prestations sociales ou un salaire ;
    - le partage de données entre les acteurs des services publics de l'emploi, de l'orientation et de la formation, ainsi qu'avec l'Agence de service et de paiement visée à l'article L. 313-1 du code rural, afin de permettre l'exercice des missions légales de chacun ;
    - l'alimentation des applications de statistique et de pilotage de Pôle emploi.


    Au regard des attributions de Pôle emploi, la commission considère que ces finalités sont déterminées, explicites et légitimes.
    La commission relève que le projet de décret prévoit, par ailleurs, que Pôle emploi est autorisé à mettre en œuvre des téléservices accessibles à partir de pole-emploi.fr dans le cadre de ces finalités, afin de permettre aux usagers de l'administration électronique, à travers un espace personnel sur le site internet de Pôle emploi ou toute autre technologie de l'information et de la communication :


    - d'être mis en relation avec un employeur ;
    - de créer ou de télécharger un curriculum vitae et de le transmettre à des employeurs ou à des partenaires de Pôle emploi ;
    - de s'inscrire à une prestation ou de faire une demande d'aide ;
    - de s'inscrire sur la liste des demandeurs d'emploi, de faire une demande d'allocations, de préparer le premier entretien du PPAE et de télécharger des documents justificatifs ;
    - d'actualiser une situation sur la liste des demandeurs d'emploi ou un projet personnalisé d'accès à l'emploi, de faire une demande d'aide ou une réclamation ;
    - d'être mis en contact avec un conseiller par messagerie électronique ou instantanée, par visioconférence ou par téléphone ;
    - d'effectuer des modules de conseil ou de formation en ligne et participer à des forums.


    A cet égard, la commission rappelle qu'elle a adopté, le 27 mai 2014, une délibération portant avis sur le projet de délibération du conseil d'administration de Pôle emploi relatif à la création de téléservices accessibles à partir de pole-emploi.fr.
    Par rapport au périmètre initial de ces téléservices, la commission relève que le projet de décret prévoit que l'inscription sur la liste des demandeurs d'emploi, les demandes d'allocations, la préparation du premier entretien du PPAE et le téléchargement des documents justificatifs devront désormais être uniquement accomplis par cet intermédiaire, avec l'assistance de Pôle emploi en cas de besoin.
    Sous réserve que chaque usager puisse effectivement accéder à l'intégralité des services assurés par Pôle emploi, avec l'assistance des agents de cet opérateur si nécessaire, la commission estime que les nouvelles finalités poursuivies à l'occasion de la mise en œuvre des téléservices précités sont déterminées, explicites et légitimes.
    Sur l'origine des données et les modes d'alimentation du traitement :
    Le traitement dénommé « système d'information concernant les demandeurs d'emploi et les salariés » est alimenté par :


    - les données collectées directement auprès des personnes concernées ;
    - des données issues du traitement dénommé « déclaration sociale nominative » (DSN) mis en œuvre par la Caisse nationale d'assurance vieillesse des travailleurs salariés, en application du décret n° 2013-266 du 28 mars 2013 ;
    - des données issues du traitement dénommé « système d'information du compte personnel de formation » (SI-CPF) mis en œuvre par la Caisse des dépôts et consignations, en application des articles R. 6323-12 et suivant du code du travail ;
    - des informations issues des déclarations préalables à l'embauche (DPAE), en application de l'article R. 1221-17 du code du travail ;
    - des données issues d'un fichier d'annonces légales.


    Les quatre premiers modes d'alimentation du traitement n'appellent pas d'observation de la commission, au-delà du constat qu'il s'agit soit de données remises directement par les personnes concernées, soit de données communiquées à Pôle emploi en application de dispositions légales et sur lesquelles la commission a rendu des avis.
    S'agissant de l'alimentation à partir de données issues d'un fichier d'annonces légales, la commission relève que cette partie du traitement s'inscrit dans la politique de fiabilisation des données à caractère personnel déclarées à Pôle emploi. Cette alimentation doit permettre de sécuriser l'identité des demandeurs d'emploi ainsi que de fiabiliser les données issues des demandes d'inscription sur la liste des demandeurs d'emploi, des demandes d'allocation ou de tout autre aide pouvant être accordée par Pôle emploi aux demandeurs d'emplois et aux employeurs. Plus précisément, les objectifs poursuivis par Pôle emploi consistent à détecter des doublons, des multi-inscriptions, des usurpations de références bancaires ainsi que des situations de lien de parenté ou de travail fictif.
    Pour atteindre ces objectifs, des rapprochements seront opérés entre des données de Pôle emploi relatives aux demandeurs d'emploi et aux employeurs. Un autre rapprochement de données sera quant à lui opéré entre des données de Pôle emploi relatives aux employeurs et un fichier fourni par un prestataire constitué de données publiques agrégées relatives aux entreprises et aux mandats sociaux.
    Ces deux types de rapprochements permettront d'effectuer un contrôle de cohérence sur les déclarations des demandeurs d'emploi et des entreprises avant, le cas échéant, de générer des alertes en cas de situation anormale.
    Les alertes générées seront dans un premier temps traitées par les agents de Pôle emploi en charge de la gestion administrative des dossiers, afin de déterminer s'il s'agit d'une alerte infondée ou d'une alerte liée à une erreur de déclaration. Le cas échéant, les correctifs nécessaires seront apportés aux données erronées.
    En cas d'alerte paraissant liée à une déclaration frauduleuse, et non à une simple erreur, l'alerte sera transmise aux agents de Pôle emploi en charge de la lutte contre la fraude.
    La commission prend acte de ce que le traitement d'une alerte ne peut avoir pour effet la suspension des droits d'un demandeur d'emploi avant la décision définitive des agents habilités à traiter les cas de fraude suspectés. Une suspension de droit impliquera nécessairement une enquête.
    Sous cette réserve, la commission considère que les finalités des rapprochements de données précités sont déterminées, explicites et légitimes.
    La commission estime toutefois que le projet de décret devrait préciser, de la même façon que pour les mises en relation mentionnées par le futur article R. 5312-41 du code du travail, la finalité poursuivie par l'alimentation assurée à partir d'un fichier d'annonces légales.
    Sur les autres mises en relation :
    Le projet de décret précise que le traitement de Pôle emploi est également mis en relation, à des fins de vérification et de mise à jour, avec :


    - le système national de gestion des identifiants (SNGI) mis en œuvre par la Caisse nationale d'assurance vieillesse des travailleurs salariés, afin d'identifier de manière unique les demandeurs d'emploi et les salariés par la certification de leur numéro d'inscription au répertoire national d'identification des personnes physiques (NIR ou numéro de sécurité sociale) ;
    - l'application de gestion des dossiers des ressortissants étrangers en France (AGDREF) visée à l'article R. 611-1 du code de l'entrée et du séjour des étrangers en France, pour vérifier la validité d'un titre de séjour et de l'accès au marché du travail ;
    - le fichier des comptes bancaires visé par l'arrêté du 14 juin 1982 relatif à l'extension d'un système automatisé de gestion du fichier des comptes bancaires, pour vérifier que les coordonnées bancaires sont celles du demandeur d'emploi ;
    - les fichiers des organismes visés au 7° et 8° du futur article R. 5312-38 du code du travail, soit :
    - les organismes de sécurité sociale et de retraite complémentaire, pour garantir les droits sociaux des demandeurs d'emploi et éviter les cumuls indus d'allocations et aides avec des prestations sociales ou un salaire ;
    - les acteurs du service public de l'emploi, de l'orientation et de la formation ainsi que l'agence de service et de paiement, afin permettre l'exercice des missions légales de chacun.


    La commission considère que les finalités de ces mises en relation sont déterminées, explicites et légitimes.
    Sur la nature des données traitées :
    Le projet de décret soumis à la commission prévoit que les données enregistrées dans le traitement dénommé « système d'information concernant les demandeurs d'emploi et les salariés » concernent des personnes à la recherche d'un emploi, d'une formation ou d'un conseil professionnel, des huissiers et des avocats, des correspondants au sein d'entreprises avec lesquelles Pôle emploi est en relation et, enfin, des agents de Pôle emploi.
    Ces données sont relatives :
    1. Pour les demandeurs d'emploi et les salariés :


    - à des données d'identification : nom, prénoms, sexe, date et lieu de naissance, adresse, domiciliation fiscale, numéro de téléphone, adresse de messagerie électronique, nationalité, numéro d'inscription au répertoire national d'identification des personnes physiques, identifiant interne à Pôle emploi, numéro AGDREF, numéro et date d'expiration du titre de séjour, image de la personne (photographie), caractéristiques physiques pour les mannequins et artistes interprètes ;
    - à la vie personnelle : situation familiale, nombre d'enfants à charge ;
    - à la vie professionnelle : régime de protection sociale, formation, qualification, expérience professionnelle, périodes de travail, périodes et motifs d'inscription sur la liste des demandeurs d'emploi, caractéristiques des emplois recherchés, curriculum vitae, projet personnalisé d'accès à l'emploi, suivi des actions menées avec le demandeurs d'emploi ou le salarié, informations sur les contacts et relations entre le demandeur d'emploi ou le salarié et Pôle emploi, périodes d'indisponibilité pour la recherche d'un emploi, reconnaissance de la qualité de travailleur handicapé ;
    - à des informations d'ordre économique et financier : coordonnées bancaires, revenus, allocations ou aides versées par Pôle emploi, périodes de perception de pensions d'invalidité ou vieillesse, d'indemnités journalière de sécurité sociale, d'allocations parentales liées à une suspension d'activité professionnelle ou toutes autres allocations ou prestations sociales, bénéfice du revenu de solidarité active, montant des pensions d'invalidité ou de retraites, charges et revenus du foyer, sommes indûment perçues ;
    - aux litiges, aux contentieux et aux condamnations liés à l'inscription et au suivi du demandeur d'emploi, à l'attribution et au versement des aides et allocations, à la discrimination et à la fraude.


    2. Pour les huissiers et avocats : nom, prénom, adresse professionnelle, téléphone, adresse électronique.
    3. Pour les correspondants de Pôle emploi au sein d'organismes de formation ou de prestataires et partenaires : nom, prénom, adresse professionnelle, téléphone, adresse électronique, identification de l'entreprise.
    4. Pour les agents de Pôle emploi : nom, prénom, adresse professionnelle, téléphone et adresse électronique professionnels, logs de connexion et traces des actions effectuées.
    La commission considère que ces données sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.
    S'agissant de la collecte et du traitement du numéro d'inscription des personnes au répertoire national d'identification des personnes physiques, la commission rappelle que l'Agence nationale pour l'emploi (ANPE) et les ASSEDIC ont été autorisées, par le décret n° 87-1025 du 17 décembre 1987 pris en Conseil d'Etat après avis favorable de la commission, à collecter cette donnée auprès des demandeurs d'emploi, notamment pour assurer la gestion et le contrôle de leurs droits en déterminant les allocations auxquelles ils peuvent prétendre, en avançant les salaires et accessoires dus, et en détectant les situations de versement d'allocations indues ou de cumul non autorisé de ces allocations avec d'autres prestations. Les traitements automatisés de l'ANPE et des ASSEDIC ont été conçus dans ce cadre, en particulier sur la base de cet identifiant national.
    En application de la loi n° 2008-126 du 13 février 2008 relative à la réforme de l'organisation du service public de l'emploi, Pôle emploi est un organisme public directement issu de la fusion de l'ANPE et des ASSEDIC. Cet organisme est désormais chargé par la loi d'accueillir les demandeurs d'emploi, de les inscrire sur la liste des demandeurs d'emploi et de leur verser les allocations correspondantes pour le compte de l'organisme gestionnaire du régime d'assurance chômage. Pôle emploi ayant notamment bénéficié d'une mise à disposition des applications informatiques nécessaires à l'exercice des missions qui lui ont été transférées, il utilise depuis sa création des applications initialement conçues sur la base de numéros de sécurité sociale par l'ANPE et les ASSEDIC.
    Dans ces conditions, la commission estime que le projet de décret qui lui est soumis, qui abroge notamment le décret n° 87-1025 du 17 décembre 1987, peut s'analyser comme une adaptation et une clarification du cadre réglementaire permettant à Pôle emploi de recourir au NIR, en ce qu'il vise désormais expressément cet organisme et son traitement automatisé permettant de gérer les demandeurs d'emploi et les salariés.
    La commission souhaite néanmoins rappeler qu'elle demeure très attentive aux risques qu'induit pour les libertés l'utilisation extensive d'un identifiant national particulièrement signifiant tel que le numéro de sécurité sociale. Elle recommande, en conséquence, de limiter l'utilisation du NIR à la sphère de la santé et à la sphère
    sociale et, dans les autres secteurs, de privilégier le recours à des identifiants spécifiques sectoriels.
    S'agissant de la collecte de données relatives à des litiges, contentieux et condamnations liés à l'inscription et au suivi du demandeur d'emploi, à l'attribution et au versement des aides et allocations, à la discrimination et à la fraude, la commission prend acte du fait qu'il s'agit des seules données collectées par Pôle emploi à l'occasion des contentieux dans lesquels il est partie prenante. Seules les données présentant un intérêt au regard des finalités précédemment citées peuvent y être enregistrées, étant précisé que seuls les agents de Pôle emploi habilités à traiter des contentieux et leurs suites peuvent y accéder.
    Sur la durée de conservation des données :
    La commission relève que le projet de décret portant création du système d'information concernant les demandeurs d'emploi et salariés ne précise pas les durées de conservation des données du traitement soumis à son examen.
    La commission estime à cet égard que la précision de la durée de conservation des données dans le projet de décret et les mentions informatives, au besoin en se limitant à faire référence à des évènements butoirs et non à des durées précises, serait de nature à améliorer l'information des usagers.
    Elle rappelle que des données à caractère personnel, en application des dispositions du 5o de l'article 6 de la loi du 6 janvier 1978 modifiée, ne peuvent être conservées sous une forme permettant l'identification des personnes concernées que pour une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles les données sont collectées et traitées.
    Dès lors, Pôle emploi devra impérativement veiller à ce que les données à caractère personnel collectées et traitées par l'intermédiaire du traitement en cause ne soient pas conservées au-delà des durées nécessaires à l'accomplissement des finalités mentionnées aux futurs articles R. 5312-38 et R. 5312-39 du code du travail.
    A toutes fins utiles, la commission précise que les données concernées, à l'expiration de ces périodes, doivent être supprimées de manière sécurisée ou archivées à titre définitif, dans des conditions définies en conformité avec les dispositions du code du patrimoine relatives aux obligations d'archivage des informations du secteur public.
    Interrogé sur ce point, Pôle emploi a précisé à la commission que les durées de conservation du traitement seront définies conformément aux textes législatifs et réglementaires encadrant ses missions, notamment afin de pouvoir calculer les droits des personnes demandant une inscription sur la liste des demandeurs d'emploi, y compris en cas de réinscription plusieurs années après la dernière inscription, satisfaire aux droits de communication des administrations ou des organismes sociaux, ou encore faire valoir des droits en justice, et ce, le temps de la prescription des actions correspondantes.
    La commission considère qu'elle n'est pas en mesure d'apprécier à ce stade le caractère proportionné de la durée de conservation des données et demande à être destinataire, dans les meilleurs délais, des résultats de « l'étude de cadrage » actuellement menée par Pôle emploi en matière de durée de conservation.
    La commission attire l'attention de Pôle emploi sur la nécessité de disposer d'une politique transparente en matière de durée de conservation et d'archivage, afin de ne pas se mettre en infraction avec les dispositions de la loi du 6 janvier 1978 modifiée.
    Sur les destinataires des données :
    Tel que précisé par le projet de décret examiné par la commission, les données du traitement sont accessibles, dans la stricte limite des informations dont ils ont à connaître au regard de leurs fonctions, aux personnes habilitées :


    - du service public de l'emploi ;
    - des partenaires, organismes ou établissements liés à Pôle emploi par une convention ;
    - des collectivités territoriales compétentes en matière d'emploi, de formation, d'orientation et d'insertion sociale ;
    - des organismes participant au financement de la formation professionnelle ;
    - des organismes de formation ;
    - des employeurs mentionnés à l'article L. 5424-1 dans le cadre de la gestion de l'assurance chômage de leurs anciens agents ;
    - des employeurs dans le cadre du placement et de la gestion des contrats aidés ;
    - des organismes de sécurité sociale et de retraite complémentaire ;
    - des services ministériels ou déconcentrés de l'Etat ,
    - des institutions des Etats membres de l'Union européenne compétentes pour la mise en œuvre du règlement portant sur la coordination des systèmes de sécurité sociale ;
    - du fonds social européen.


    Le projet de décret prévoit également que ces données peuvent être accessibles aux huissiers et avocats impliqués dans une procédure, en particulier s'agissant des procédures de recouvrement des sommes indûment perçues.
    Il précise enfin que les demandeurs d'emploi peuvent accéder aux noms, prénoms, numéros de téléphone et adresses électroniques professionnels des conseillers chargés de leur accompagnement ou de leur indemnisation.
    La commission considère que ces destinataires présentent un intérêt légitime à accéder aux données du présent traitement, sous réserve que les données accessibles présentent un lien direct et nécessaire avec leurs fonctions.
    La commission rappelle, à toutes fins utiles, qu'un sous-traitant ne peut agir que sur instruction du responsable de traitement qui n'est pas dispensé de son obligation de veiller au respect des mesures de sécurité qui lui sont imposées par l'article 34 de la loi du 6 janvier 1978 modifiée. Le sous-traitant doit par ailleurs présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité, et le contrat établi entre les parties doit comporter l'indication des obligations incombant au sous-traitant en matière de sécurité des données à caractère personnel.
    S'agissant des relations avec des prestataires, la commission rappelle enfin que le responsable de traitement doit s'assurer, par exemple en prévoyant des clauses contractuelles spécifiques, que ceux-ci traitent les données remises par le responsable de traitement conformément aux dispositions de la loi du 6 janvier 1978 modifiée, en particulier s'agissant du respect des finalités prévues et des mesures de sécurité.
    Sur l'information des personnes :
    Les personnes concernées par le traitement examiné par la commission sont informées, conformément à l'article 32 de la loi du 6 janvier 1978 modifiée, par des mentions apposées sur des formulaires et des mentions figurant sur le site internet de Pôle emploi.
    La commission considère que ces modalités d'information des personnes sont satisfaisantes.
    Sur les droits d'accès, de rectification et d'opposition des personnes :
    Les droits d'accès et de rectification, prévus par les articles 39 et 40 de la loi du 6 janvier 1978 modifiée, s'exercent :


    - auprès de l'agence d'inscription pour les demandeurs d'emploi ;
    - auprès du correspondant informatique et libertés de Pôle emploi pour les autres personnes, soit les employeurs, les candidats non inscrits sur la liste des demandeurs d'emploi, les huissiers et les contacts de Pôle emploi dans les organismes de formation ou ses autres partenaires.


    La commission considère que ces modalités d'exercice des droits d'accès et de rectification sont satisfaisantes. S'agissant des modalités d'exercice de ces droits, la commission estime qu'il serait opportun, dans la mesure où Pôle emploi est engagé dans un processus de dématérialisation de ses services, d'offrir également aux usagers la possibilité de les exercer par voie dématérialisée, par exemple à partir du téléservice pole-emploi.fr.
    La commission relève enfin que le projet de décret, en application des dispositions du dernier alinéa de l'article 38 de la loi du 6 janvier 1978 modifiée, écarte l'application du droit d'opposition.
    Sur la sécurité des données et la traçabilité des actions :
    La commission rappelle que le responsable d'un traitement de données à caractère personnel est tenu, en application de l'article 34 de la loi du 6 janvier 1978 modifiée, de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par son traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.
    La commission prend tout d'abord acte et salue le fait que Pôle emploi a finalisé sa démarche d'homologation au référentiel général de sécurité (RGS) pour les téléservices accessibles depuis pole-emploi.fr. Cette homologation, signée le 21 septembre 2015 et publiée le 2 octobre de la même année, est prononcée pour une durée de deux ans, sous réserve des éventuelles modifications des téléservices concernés.
    Une analyse des risques a ainsi été réalisée et des mesures de sécurité proportionnées aux risques identifiés mises en œuvre. Des mesures complémentaires sont programmées pour réduire la portée des risques résiduels acceptés.
    La commission relève également avec satisfaction que la direction des systèmes d'information de Pôle emploi dispose d'une politique de sécurité des systèmes d'information mise en œuvre selon un système de gestion de la sécurité de l'information certifié« ISO 27 001 ».
    S'agissant du système d'information concernant les demandeurs d'emploi et salariés créé par le projet de décret, la commission relève que l'authentification des utilisateurs est assurée par des mots de passe respectant ses recommandations ainsi que l'utilisation de certificats logiciels « client ».
    Des profils d'habilitation définissent par ailleurs les données et les fonctionnalités accessibles en fonction des rôles des utilisateurs. A cet égard, la commission rappelle que la gestion des habilitations doit faire l'objet de procédures formalisées validées par le responsable de traitement et portées à la connaissance des utilisateurs et être régulièrement mise à jour.
    Les échanges de données sont réalisés au moyen de canaux sécurisés, en particulier par le recours à des réseaux privés et par l'authentification de la source et de la destination.
    Des sauvegardes régulières permettent de garantir l'intégrité et la disponibilité du système. Les sauvegardes sont stockées dans un lieu garantissant leur confidentialité.
    Les interventions de maintenance sont enregistrées dans une main courante. Les opérations de maintenance effectuées par un sous-traitant sont quant à elles réalisées en présence d'un agent de Pôle emploi.
    Des mesures de sécurité physiques protègent l'accès aux locaux et les équipements.
    Une fonctionnalité de journalisation a été définie pour les opérations de consultation, de création, de mise à jour et de suppression. Les accès à l'application font l'objet d'une journalisation répertoriant l'identification de l'utilisateur, un horodatage et l'opération effectuée. Les accès aux fichiers de données à caractère personnel font quant à eux l'objet d'une journalisation répertoriant l'identification de l'utilisateur et un horodatage. S'agissant des accès aux fichiers, la commission recommande d'y ajouter la référence des données consultées. Elle recommande, par ailleurs, qu'un contrôle des traces soit effectué de manière automatique, pour détecter les comportements anormaux, et de prévoir des mesures pour assurer l'intégrité des traces.
    Sous réserve de ses observations précédentes, la commission estime que les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée.
    La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité, au regard de la réévaluation régulière des risques et de l'évolution des technologies.


La présidente,
I. Falque-Pierrotin

Extrait du Journal officiel électronique authentifié PDF - 252,4 Ko
Retourner en haut de la page