Délibération n° 2016-346 du 17 novembre 2016 portant avis sur un projet d'arrêté relatif aux conditions de fonctionnement du traitement automatisé de données à caractère personnel de la carte d'identification professionnelle des salariés du bâtiment et des travaux publics (demande d'avis n° 1988639)

Version initiale


La Commission nationale de l'informatique et des libertés,
Saisie par le ministère du travail, de l'emploi, de la formation professionnelle et du dialogue social d'une demande d'avis concernant un projet d'arrêté relatif aux conditions de fonctionnement du traitement automatisé de données à caractère personnel de la carte d'identification professionnelle des salariés du bâtiment et des travaux publics ;
Vu la convention n° 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code du travail, notamment les articles L. 8291-1 et L. 8291-2 ;
Vu la loi n° 2015-990 du 6 août 2015 pour la croissance, l'activité, l'égalité des chances économiques, notamment son article 282 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 11 (2°, d) ;
Vu le décret n° 2016-175 du 22 février 2016 relatif à la carte d'identification professionnelle des salariés du bâtiment et des travaux publics ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la délibération n° 2016-024 du 28 janvier 2016 de la Commission nationale de l'informatique et des libertés portant avis sur un projet de décret en Conseil d'Etat relatif au dispositif national de la carte d'identification professionnelle des salariés du bâtiment et des travaux publics ;
Vu le dossier et ses compléments ;


  • Sur la proposition de Mme Marie-France MAZARS, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,
    Emet l'avis suivant :
    La commission a été saisie par le ministère du travail, de l'emploi, de la formation professionnelle et du dialogue social d'une demande d'avis concernant un projet d'arrêté précisant les modalités de fonctionnement du système d'information de la carte d'identification professionnelle des salariés du bâtiment et des travaux publics, dénommé « SI-CIP ».
    Le présent projet d'arrêté est pris pour application de l'article R. 8295-1 du code du travail, introduit par le décret n° 2016-175 du 22 février 2016 relatif au dispositif national de la carte d'identification professionnelle des salariés du bâtiment et des travaux publics, portant plus spécifiquement sur les modalités de déclaration et de délivrance des titres, pour lequel la commission a rendu un avis le 22 février 2016 (délibération n° 2016-175).
    Sur les finalités :
    Le traitement a pour finalité la gestion et le suivi du dispositif national de la carte d'indentification professionnelle des salariés du bâtiment et des travaux publics.
    A cette fin, l'Union des caisses de France-Congés intempéries BTP (UCF-CI BTP) est chargé de la délivrance des cartes d'indentification professionnelle, ainsi que de la gestion administrative, technique et financière des titres.
    La commission considère que les finalités sont déterminées, explicites et légitimes.
    Sur les données traitées :
    L'article 1er du projet d'arrêté liste les données suivantes, renseignées par les employeurs et les entreprises utilisatrices de travailleurs intérimaires détachés mentionnés à l'article R. 8291-1 du code du travail, dans le cadre de la procédure de déclaration des salariés sur le site dédié de l'UCF-Cl BTP, les déclarations étant appelées à être enregistrées dans le système d'information :


    - données relatives aux titulaires des cartes d'identification professionnelle : nom et prénoms, sexe, date et lieu de naissance, nationalité, photographie d'identité numérisée, adresse électronique, nature du contrat de travail, et, pour les salariés étrangers titulaires d'une autorisation ou d'une carte de séjour valant autorisation de travail, le numéro de cette carte, données relatives au chantier ou au lieu d'activité (adresse, durée du chantier ou date de début et de fin de la prestation ou des travaux), pour les salariés détachés et les salariés titulaires d'un contrat de chantier ;
    - données personnelles relatives aux employeurs et aux entreprises utilisatrices de salariés intérimaires détachés par une entreprise de travail temporaire établie à l'étranger : pour les employeurs personnes physiques (noms, prénoms, sexe, date et lieu de naissance, nationalité, SIRET ou SIREN ou à défaut le numéro d'immatriculation à un registre professionnel ou à un organisme chargé du recouvrement des cotisations de sécurité sociale, adresse professionnelle postale et électronique, coordonnées téléphoniques, activité principale exercée [APE/NAF], le cas échéant, identité du représentant en France), pour les employeurs personnes morales (dénomination sociale, objet social ou statut, identité du représentant légal ou du représentant en France, numéro SIREN ou SIRET ou à défaut le numéro d'immatriculation à un registre professionnel, adresse du siège social, adresse professionnelle postale et électronique, coordonnées téléphoniques, activité principale exercée (APE/NAF)).


    La commission relève que les données pouvant être enregistrées dans le système d'information précisent celles d'ores et déjà mentionnées à l'article R. 8295-2 du code du travail.
    Elle observe plus précisément que le ministère a complété cette liste en introduisant l'adresse électronique des titulaires des titres ainsi que les coordonnées téléphoniques des employeurs. Le ministère indique que ces informations sont nécessaires afin de faciliter la mise en relation entre les personnes concernées et l'UCF-CI BTP, pour tout besoin relatif à la procédure de délivrance des cartes, ainsi que dans le cadre de l'exercice du droit de rectification.
    L'article 1er-V du projet d'arrêté prévoit en outre que l'UCF-CI BTP inclut dans le système d'information SI-CIP les données personnelles transmises par les entreprises adhérentes des caisses nationales et régionales de son réseau.
    Les données ainsi transmises permettent à l'UCF-CI BTP de pré-initialiser les comptes desdites entreprises, et de faciliter l'inscription et la première demande de carte d'identification pour les salariés concernés.
    La commission relève que les données collectées à cette fin n'excèdent pas celles traitées pour les autres catégories de personnes concernées.
    Elle estime que les données traitées sont pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées.
    Sur les destinataires :
    L'article 3 du projet d'arrêté mentionne les catégories de personnes habilitées à accéder aux données enregistrées dans le système d'information en renvoyant aux dispositions décret n° 2016-175 du 22 février 2016, à savoir :


    - les agents habilités de l'UCF-Cl BTP ;
    - les agents de contrôle mentionnés à l'article L. 8271-1-2 du code du travail, aux fins de lutte contre le travail illégal, selon des modalités prévues aux articles R. 8292-1-3° et R. 8294-5 et suivants du code du travail.


    Conformément aux précisions apportées lors de l'instruction de la demande d'avis portant sur le décret n° 2016-175 du 22 février 2016, la commission constate que l'accès aux données par les agents de contrôle se fera au moyen d'une application spécifique disponible sur un équipement (de type Smartphone), permettant de flasher un code matriciel datamatrix (de type Q-R) figurant sur les cartes d'identification professionnelle.
    Les agents de contrôle pourront, en outre, procéder aux même vérifications via une application web ou mobile spécifique, nécessitant la saisie d'informations relatives à l'organisme (raison sociale, nationalité, SIREN), ou au salarié (nom, prénoms, date de naissance, type de contrat de travail).
    La commission observe que l'accès au système d'information par les agents de contrôle s'appuiera sur une politique de gestion rigoureuse des habilitations.
    Elle considère que les personnes ci-dessus mentionnés présentent un intérêt légitime à accéder en tout ou partie aux données.
    Sur les durées de conservation :
    L'article 4 du projet d'arrêté mentionne que les données enregistrées dans le système d'information seront conservées pendant une durée de cinq ans à compter de la dernière invalidation enregistrée pour le compte du titulaire de la carte.
    Interrogé sur le choix de cette durée, le ministère indique que les données seront conservées en base active pendant toute la durée de validité de la carte, soit jusqu'au terme du contrat de travail ou du détachement.
    Au terme de cette durée, les données seront conservées pendant trois ans en base active, puis deux années supplémentaires en archive intermédiaire, afin de tenir compte du délai de prescription de droit commun et de l'épuisement des voies de recours.
    La commission rappelle qu'à l'expiration de ces durées, les données doivent être supprimées de manière sécurisée ou archivées à titre définitif, dans des conditions définies en conformité avec les dispositions du code du patrimoine relatives aux obligations d'archivage des informations du secteur public.
    Elle estime que les données traitées ne sont pas conservées au-delà du temps nécessaire à l'accomplissement des finalités pour lesquelles elles ont été collectées.
    Sur l'information et les droits des personnes :
    La commission observe que les articles R. 8293-1-III et R. 8293-2 du code du travail prévoient qu'avant d'effectuer la déclaration auprès de l'UCF-CI BTP, les employeurs informent les salariés de la transmission des données personnelles les concernant.
    Elle rappelle que conformément à l'article 32 de la loi « Informatique et Libertés », l'information doit porter sur : l'identité du responsable du traitement, les objectifs poursuivis par le traitement, le caractère obligatoire ou facultatif des réponses, les conséquences éventuelles d'un défaut de réponse, les destinataires des données, les droits des personnes, et le cas échéant, les transferts de données hors de l'Union européenne. En tout état de cause, cette information doit être donnée, aux salariés, d'une part, et aux employeurs, d'autre part, préalablement à la collecte des données, selon des modalités adaptées au nombre de personnes concernées.
    Sur ce point, l'article 2 du projet de décret précise qu'une mention portant sur les droits d'accès et de rectification sera faite via le site de l'UCF-CI BTP, ainsi que sur l'attestation provisoire dématérialisée et sur le courrier d'envoi contenant la carte, destinés aux employeurs.
    Le ministère indique que les droits d'accès et de rectification s'exercent directement auprès de l'UCF-Cl BTP.
    Enfin, la commission prend note que le projet d'arrêté écarte l'application du droit d'opposition, comme le permet le dernier alinéa de l'article 38 de la loi « Informatique et Libertés ».
    Sur les mesures de sécurité :
    Les habilitations d'accès au système d'information sont paramétrées selon les rôles des intervenants, avec des profils définissant les fonctions et les types d'informations accessibles à un utilisateur.
    La commission recommande que la gestion et l'usage des habilitations fassent l'objet de procédures formalisées, validées par le responsable de traitement et portées à la connaissance des utilisateurs.
    Elle recommande également que les permissions d'accès soient supprimées pour tout utilisateur n'étant plus habilité et qu'une revue globale des habilitations soit opérée régulièrement.
    Comme indiqué plus haut, la commission note que les agents contrôleurs devront systématiquement s'authentifier pour avoir accès aux données détaillées que ce soit via un terminal comportant un lecteur de flash-code (de type Smartphone) ou via un navigateur web. Par ailleurs, les maîtres d'ouvrage et les donneurs d'ordre scannant le Q-R Code présent sur la carte ne pourront que vérifier qu'une carte CIP est valide ou non.
    Le contrôle des accès repose sur des mots de passe d'une validité de deux mois. La commission rappelle qu'elle recommande le recours à des mots de passe d'une longueur minimale de huit caractères, composés de minuscules, majuscules, chiffres et caractères spéciaux. Le mot de passe doit être modifié par l'utilisateur dès sa première connexion puis régulièrement.
    Concernant les administrateurs du traitement, la commission recommande en outre de porter la longueur du mot de passe à dix caractères minimum.
    La commission rappelle également que les mots de passe ne doivent pas être stockés en clair en base de données et recommande ainsi de stocker les empreintes obtenues par une fonction de hachage à clé secrète adaptée.
    Les transferts de données sont sécurisés par l'utilisation de réseaux isolés et compartimentés et la mise en œuvre du protocole SSLITLS pour le chiffrement des flux et l'authentification du serveur. À cet égard, la commission recommande d'utiliser la version de TLS la plus à jour possible.
    Des sauvegardes régulières, au minimum mensuelles, sont réalisées. La commission recommande que le transfert et le stockage des sauvegardes soit sécurisé, notamment par chiffrement des sauvegardes, et que des tests de continuité d'activité soient effectués régulièrement.
    La mise au point des logiciels s'effectue sur des données anonymisées.
    Les interventions de maintenance font l'objet d'une traçabilité et d'une surveillance. Les supports de stockages destinés à la destruction font l'objet d'une procédure de protection particulière.
    Les consultations, créations, modifications et suppressions de données sont journalisés en répertoriant, notamment, l'identification de l'utilisateur et du poste de travail, l'horodatage, l'opération effectuée et la référence des données accédées. Les traces des accès et des opérations effectuées dans l'application sont conservées pendant un an, afin d'apporter une traçabilité étendue des actions des usagers du site, ainsi que des gestionnaires de l'UCF-CI BTP.
    La commission rappelle qu'elle préconise une conservation des traces de six mois en l'absence de contrainte légale ou réglementaire spécifique, ou lorsqu'il n'y a pas de risque à l'impact potentiel particulièrement grave sur les individus.
    La commission recommande qu'un contrôle des traces soit effectué de manière automatique, pour détecter les comportements anormaux et assorti d'une levée d'alerte. Elle recommande également que des mesures soient mises en œuvre pour assurer l'intégrité des traces.
    Enfin, l'accès aux locaux et équipement hébergeant le traitement est sécurisé par un contrôle d'accès physique et la présence d'un gardien.
    Sous réserve de ces observations, la commission estime que les mesures de sécurité décrites par le responsable de traitement dans le dossier d'instruction sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi « Informatique et Libertés ».
    La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques et de l'évolution des technologies.


Pour la présidente :
Le vice-président délégué,
M.-F. Mazars

Extrait du Journal officiel électronique authentifié PDF - 234,6 Ko
Retourner en haut de la page