La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
Vu le code de l'action sociale et des familles, notamment son article L. 263-4-1 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 8.I.4°.a et 30 ;
Vu le décret n° 2019-341 du 19 avril 2019 modifié relatif à la mise en œuvre de traitements comportant l'usage du numéro d'inscription au répertoire national d'identification des personnes physiques ou nécessitant la consultation de ce répertoire (« décret-cadre NIR ») ;
Après avoir entendu le rapport de M. Philippe LATOMBE, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Adopte la délibération suivante :

I. La saisine

A. L'objet de la saisine

L'accompagnement des personnes en insertion nécessite l'intervention de plusieurs parties prenantes (organismes financeurs, caisses débitrices des prestations et aides sociales, acteurs qui assurent l'accompagnement et le suivi régulier sur le terrain, fournisseurs de services de formation, d'accompagnement, etc.).
L'efficacité de ces actions est tributaire de l'accès de l'ensemble des intervenants aux données relatives à l'identification du bénéficiaire du suivi, son éligibilité aux prestations, aux actions d'accompagnement passées et à venir, etc.
L'accès de chaque acteur à ces données se fait actuellement via la collecte de justificatifs délivrés par d'autres organismes concernés ou produits par le bénéficiaire lui-même. Un tel schéma de fonctionnement mobilise des ressources nécessaires pour des saisies redondantes, et est source de délais de traitement, d'erreurs éventuelles, et d'une complexité administrative frappant les personnes parmi les plus vulnérables.
Pour éviter ces inconvénients, le législateur a posé le principe de partage de données entre l'ensemble des acteurs de l'insertion par l'intermédiaire d'un nouvel article L. 263-4-1 du code de l'action sociale et des familles (« CASF ») inséré au sein d'une nouvelle section intitulée « Partage de données entre acteurs de l'insertion ».
Introduit par la loi n° 2022-217 du 21 février 2022 relative à la différenciation, la décentralisation, la déconcentration et portant diverses mesures de simplification de l'action publique locale (loi « 3DS »), ce texte s'inscrit dans la logique du principe « dites-le nous une fois » figurant dans les articles L. 113-12 et suivants du code des relations entre le public et l'administration (CRPA).
Ce nouvel article créé un traitement appelé « Parcours insertion emploi », placé sous la responsabilité du groupement d'intérêt public « Plateforme de l'insertion ». Il s'agit en réalité d'une évolution d'un dispositif d'ores et déjà mis en place à titre expérimental sous le nom « carnet de bord » par le ministère de l'emploi.
Le traitement prend la forme d'une plateforme en ligne et répond à quatre finalités prévues par la loi (identification des bénéficiaires, évaluation de leur situation, suivi de leur parcours et réalisation d'actions d'accompagnement), auxquelles le projet de décret ajoute quelques objectifs nouveaux.
Des garanties visent à protéger les droits et intérêts des personnes concernées : la loi interdit la réutilisation des données à d'autres fins, en particulier pour la détection ou pour la sanction de fraudes, et prévoit la destruction sans délai des données des personnes qui ne sont pas bénéficiaires des services d'accompagnement. Un décret en Conseil d'Etat (DCE) pris après avis de la CNIL doit préciser les modalités de son application et prévoir certaines évolutions réglementaires rendues nécessaires.

B. Les mesures projetées

Le projet contient quatre articles portant des dispositions substantielles qui seront examinées successivement, à savoir :

- l'article 1er introduit dans la partie réglementaire du CASF une nouvelle section intitulée « Partage de données entre acteurs de l'insertion » composée de neuf articles numérotés de R. 263-1 à R. 263-9 relatifs aux modalités de fonctionnement de la plateforme « Parcours insertion emploi » ;
- l'article 2 modifie le « décret-cadre NIR » afin d'y ajouter le nouveau cas d'usage du NIR prévu par le législateur ;
- l'article 3 prévoit la possibilité d'exporter certaines données du dispositif projeté vers les systèmes d'information du Pôle emploi ;
- enfin, l'article 4 modifie certaines dispositions du code du travail de manière à les mettre en cohérence avec la désignation du nouveau responsable de traitement du traitement projeté.

II. L'avis de la CNIL

A. Concernant l'article 1er du projet de décret (modalités de fonctionnement de la plateforme d'échanges d'informations)

Cette disposition contient plusieurs précisions sur le fonctionnement du dispositif, regroupés en neuf articles successifs énumérés de R. 263-1 à R. 263-9 et destinés à compléter le CASF.

a. Sur l'article R. 263-1

La partie II de l'article R. 263-1 définit trois catégories de personnes physiques et morales susceptibles d'interagir avec le traitement : les « personnes en insertion », les « acteurs de l'insertion » et « les utilisateurs ».
Le projet définit « les utilisateurs » comme comprenant « les personnes en insertion » et « les personnes physiques désignées par les acteurs de l'insertion qui interagissent avec les services numériques issus du traitement ».
Le projet semble distinguer les notions d'« utilisateurs » et des « personnes en insertion » (un alinéa spécifique étant réservé à chacun de ces deux termes) tout en amalgamant ensuite les deux concepts (l'alinéa consacré aux « utilisateurs » y incluant « les personnes en insertion »). Par ailleurs, la formulation retenue n'indiquait pas le ou les critères utilisés par les acteurs de l'insertion pour « désigner des personnes physiques » en tant qu'utilisateurs du traitement.
Interrogé sur ce point, le ministère s'est engagé à modifier le projet de décret afin de :

- réserver le terme « utilisateurs » aux seules « personnes physiques désignées par les acteurs de l'insertion », à l'exclusion des bénéficiaires d'accompagnement ;
- préciser que seules les personnes physiques faisant partie des effectifs des acteurs de l'insertion eux-mêmes, à l'exclusion de toute personne tierce à l'organisme en question, peuvent être ainsi désignées. A cette fin, il sera précisé dans l'article R. 263-1.II.3° du CASF que ces personnels seront désignés par les acteurs de l'insertion « en leur sein », en cohérence avec la mention portée au projet d'art. R. 263-5-I CASF ;
- renforcer la sécurité de l'authentification des « utilisateurs » par au moins deux mesures techniques : la mise en place d'une procédure d'authentification à double facteur puis, dans un second temps, l'intégration de FranceConnect+ pour l'amélioration de l'accès des usagers au service.

La CNIL prend acte de ces engagements, qu'elle accueille favorablement.

b. Sur l'article R. 263-2

Cet article contient une liste exhaustive des finalités du traitement, classée en six catégories, comprenant notamment un item 6° relatif à « la production de statistiques, nationales et locales, à des fins d'évaluation des politiques publiques ».
La CNIL estime ces finalités déterminées, explicites et légitimes au sens de l'article 5 du RGPD ; elle prend acte que les données ne seront pas traitées à des fins de production de statistiques individuelles permettant d'évaluer les performances des agents utilisant les services.

c. Sur l'article R. 263-3

Cet article contient une liste de catégories des données susceptibles d'être traitées dans le cadre du dispositif. Il est divisé en deux parties, I et II, la seconde étant consacrée à des données sensibles au sens de l'article 9 du RGPD, et la première aux données non-sensibles.
Sur le traitement des données sensibles
La partie II du projet d'article R. 263-3 écarte la possibilité de traitement de données sensibles au sens de l'article 6.1 de la loi « informatique et libertés », sauf deux exceptions limitativement énumérées.
Ces exceptions visent les données relatives à la santé et « à la dénomination et à l'objet des acteurs de l'insertion » dès lors que ces éléments peuvent révéler « l'orientation sexuelle, les opinions politiques, les convictions philosophiques et religieuses, ainsi qu'à des condamnations pénales, des infractions ou des mesures de sûreté connexes ».
Une telle qualification semble en effet cohérente au regard de la jurisprudence de la Cour de justice de l'Union européenne (arrêt de Grande Chambre, 1er août 2022, affaire C-184/20) selon laquelle certaines données « administratives » peuvent révéler des informations couvertes par l'article 9 du RGPD.
La CNIL accueille favorablement une telle rédaction, qu'elle estime protectrice des droits et intérêts des personnes concernées.
Sur la reconnaissance de qualité de travailleur handicapé
Toutefois, elle observe qu'en l'état de la rédaction du projet, l'item relatif au statut RQTH se trouve dans la partie I de l'article R. 263-3 du projet (consacrée aux données non sensibles au sens de l'article 9 du RGPD), et non pas dans la partie II de ce même article (consacrée aux données sensibles).
Or, la jurisprudence récente de la Cour de justice de l'Union européenne consacre une appréciation particulièrement large de la notion de donnée sensible (voir notamment CJUE, 1er août 2022, OT, C-184/20). Eu égard au fait que l'attribution du statut RQTH à une personne obéit à des critères médicaux précis, se fait à l'issue d'une procédure au cours de laquelle interviennent des avis médicaux et conduit à qualifier l'état général de la santé d'une personne au regard de notion de « handicap », la Commission estime que l'information selon laquelle une personne en bénéficie constitue en elle-même une « donnée relative à sa santé » au sens de l'article 9.1 du RGPD, quand bien même aucun autre élément, relatif notamment à la nature précise du handicap), n'est traité.
La CNIL estime par conséquent nécessaire que le projet du décret soit modifié de manière à ce que le statut RQTH y soit bien qualifié de « donnée relative à la santé ».
Toutefois, elle observe qu'en l'état de la rédaction du projet, l'item relatif au statut RQTH se trouve dans la partie I de l'article R. 263-3 du projet (consacrée aux données non sensibles au sens de l'article 9 du RGPD), et non pas dans la partie II de ce même article (consacrée aux données sensibles).
Or, la CNIL estime que la mention relative au statut RQTH d'une personne révèle par sa nature même des données relatives à l'existence d'un handicap et constitue dès lors une « donnée relative à sa santé » au sens de l'article 9.1 du RGPD, quand bien même aucun autre élément relatif au handicap en question (sa nature, le taux d'incapacité, les aménagements nécessaires du poste du travail, etc.) n'est traité.
Or, la rédaction actuelle des parties I.1°.f) et II.1° de l'article R. 263-3 aboutit à considérer que le statut RQTH ne constitue pas « une donnée relative à la santé ».
La CNIL estime par conséquent nécessaire que le projet du décret soit modifié de manière à ce que le statut RQTH y soit bien qualifié de « donnée relative à la santé ».
Enfin, s'agissant du traitement de l'ensemble des différentes catégories de données sensibles mentionnées par le projet de texte, la CNIL prend acte des analyses du ministère concernant la mobilisation des articles 9.2.b (traitement de données sensibles dans le cadre du droit du travail, de la sécurité sociale et de la protection sociale) et 9.2.g du RGPD (traitement de données sensibles nécessaire pour des motifs d'intérêt public important) en tant qu'exceptions permettant de fonder leur traitement.
Sur les données du personnel des structures d'accompagnement
Dans sa rédaction actuelle, le projet de texte ne mentionne pas explicitement le traitement des données à caractère personnel des salariés et agents intervenant pour le compte des structures d'accompagnement.
Or, les bénéficiaires d'accompagnement peuvent, en se connectant à leurs interfaces personnelles respectives, obtenir différents renseignements (nom, prénom, coordonnées professionnelles, date et nature des mesures d'accompagnement accomplies ou projetées, etc.) relatifs à leurs interlocuteurs au sein de ces structures.
Interrogé sur ce point, le ministère s'est engagé à modifier le projet de l'article R. 263-3 du CASF de manière à y faire apparaître les précisions correspondantes, ce dont la CNIL prend acte.

d. Sur l'article R. 263-4

Ce texte contient plusieurs parties dont quatre (numérotées de I à IV) concernent le processus d'habilitation d'accès des différentes entités au dispositif projeté et le cinquième (V) prévoit la tenue d'un registre des entités bénéficiaires d'habilitation.
Les éléments fournis par le ministère contiennent des précisions détaillées relatives aux différentes mesures de sécurité prévues dans ce contexte, ainsi qu'aux référentiels de sécurité applicables.
Ces éléments n'appellent pas de commentaires spécifiques de la part de la CNIL.

e. Sur l'article R. 263-5

La partie I de l'article R. 263-1 fixe la liste des acteurs d'insertion susceptibles d'accéder au nouveau dispositif. Cette désignation se fait par renvoi aux 1° à 4° du I de l'article L. 263-4-1 du CASF et concerne de très nombreux organismes.
La rédaction actuelle de la partie I de l'article R. 263-5 autorise l'ensemble de ces derniers à accéder en lecture et en écriture à l'ensemble des données figurant dans le traitement (y compris les données sensibles).
Une telle rédaction laisse entendre que certains acteurs de l'insertion pourront avoir accès à des données qu'elles n'auront en principe pas besoin de connaître.
Or, il résulte des éléments communiqués par le ministère que « seuls les membres du groupe de suivi ont accès à la totalité des données personnelles de la personne dont ils ont la charge », tandis que « les services de l'Etat chargés de l'emploi et de l'égalité professionnelle », eux, ne pourront accéder qu'aux données agrégées à des fins de « production de statistiques, nationales et locales et à des fins d'évaluation des politiques publiques ».
Par ailleurs, le ministère a indiqué que « par principe, l'objectif du traitement est de donner à tout membre du groupe de suivi un premier niveau d'information sur l'existence ou non d'une prise en charge de la personne par un professionnel sur un champ d'intervention (mobilité, santé…). Le traitement ne permet pas de donner des informations détaillées sur la nature des freins à lever et, par conséquent, aux données précisément enregistrées dans le cadre du dispositif ».
Si cet objectif parait respectueux du principe de minimisation de données, la rédaction actuelle de l'article R. 263-5 semble néanmoins être considérablement plus large et ne traduit pas ce schéma de fonctionnement.
En effet, aucune allusion ne semble y être actuellement faite à des informations « de premier niveau », d'une part, et « des données précisément enregistrées dans le cadre du dispositif », d'autre part. Au contraire, la formulation du projet ne semble prévoir que deux niveaux d'habilitation vastes et indifférenciés :

- « accès en lecture et écriture à l'ensemble des données ainsi que possibilité d'importation automatisée de l'ensemble des données » ;
- « accès en lecture et écriture à l'ensemble des données ainsi que possibilité d'importation automatisée de l'ensemble des données à l'exception des données sensibles ».

Dans ces conditions, le ministère a pris l'engagement de modifier le projet afin d'y faire apparaître l'ensemble des modalités d'accès aux données enregistrées dans le traitement :

- seuls les membres du « groupe de suivi », au sein de chaque acteur de l'insertion, auront accès à toutes les données du traitement, et ce concernant les seules personnes dont ils assurent le suivi ;
- l'identité et les données de contact des bénéficiaires d'un accompagnement, à l'exclusion de toute donnée renseignée au titre de celui-ci, seront accessibles à l'ensemble des professionnels mentionnés aux 1° à 3° du IV de l'art. R. 263-4 actuel, y compris lorsqu'ils n'interviennent pas dans l'accompagnement de ces personnes ;
- les services de l'Etat chargés de l'emploi et de l'égalité professionnelle mentionnés au 1° de l'article L. 5311-2 du code du travail auront en revanche accès à l'ensemble des données du traitement, mais pour la poursuite des seules finalités statistiques prévues au 6° de l'article R. 263-2.

La CNIL prend acte des engagements du ministère.

f. Sur l'article R. 263-6

Cette disposition instaure, au profit des personnes bénéficiaires d'accompagnement, la possibilité d'accès en lecture et en écriture aux données les concernant.
Lue conjointement avec le projet de l'article R. 263-3.I.4°, cette disposition semble s'appliquer à l'ensemble des données traitées, ce qui pourrait notamment comprendre des données de logs de connexion.
Le ministère a précisé que le projet sera modifié de manière à éviter une telle interprétation, ce que la CNIL accueille favorablement.

g. Sur l'article R. 263-7

Ce texte prévoit les modalités d'information et d'exercice des droits des personnes.
A cet égard, le texte mentionne les « droits d'accès et de rectification des données, le droit à la limitation et le droit d'opposition », dont il est précisé qu'ils sont prévus « respectivement aux articles 15, 16, 17, 18 et 21 » du RGPD.
A cet égard, le ministère a confirmé que le droit à l'effacement sera expressément mentionné audit article et pourra être exercé dans les conditions prévues par les dispositions correspondantes du RGPD.
La Commission prend acte de l'engagement du ministère.

h. Sur les articles R. 263-8 et R. 263-9

L'article R. 263-8 fixe les durées de conservation en base active des données traitées dans le cadre du dispositif à deux ans à compter de la dernière communication individuelle avec la personne en insertion (hors l'hypothèse de la conservation plus longue en archives intermédiaires en cas de contentieux éventuels).
La formulation retenue semble indiquer que cette durée de conservation s'appliquera à l'ensemble des données traitées, y compris les logs de connexion (compris parmi les données traitées conformément à l'article R. 263-3.I.4°).
Or, la détermination d'une durée de conservation plus courte, spécifique à cette catégorie particulière de données fait précisément l'objet de l'article R. 263-9 projeté.
Interrogé sur l'articulation de ces deux dispositions, le ministère a indiqué que la rédaction du projet de décret sera clarifiée, et que les logs de connexion seraient conservés six mois, ce dont la CNIL prend acte.

B. Sur l'article 2 du projet de décret (traitement du NIR)

Le principe du recours au NIR dans ce contexte est prévu par l'article L. 263-4-1 du CASF.
L'article 2 du projet de décret a pour objet d'effectuer la mise en cohérence du « décret cadre NIR ».
La CNIL rappelle que l'existence d'un texte unique qui recense de manière exhaustive l'ensemble des usages autorisés du NIR, constitue une garantie pour les droits et intérêts des personnes concernées.
Elle estime que les modifications projetées du décret NIR doivent être effectuées préalablement à la mise en place du dispositif, quand bien même la possibilité de traiter le NIR dans le dispositif projeté est d'ores et déjà consacrée par une disposition législative (l'article L. 263-4-1 du CASF).
La CNIL accueille par conséquent favorablement la mise à jour du « décret-cadre NIR » dont le contenu des modifications projetées n'appelle pas d'observations de sa part.

C. Sur l'article 3 du projet de décret (possibilité d'importation de certaines données traitées par Pôle Emploi)

L'article 3 du projet de texte soumis à l'examen de la Commission prévoit la modification de l'article R. 262-104 du CASF, qui liste actuellement les catégories de données susceptibles d'être traitées dans le cadre du traitement « @ RSA ».
Il s'agit d'une erreur de rédaction, le texte visant en réalité à modifier l'article R. 262-107 du CASF.
Cette modification aura pour effet de permettre une importation automatisée de données enregistrées dans le traitement « @RSA » vers le traitement mis en œuvre par Pôle emploi dénommé « Système d'information concernant les demandeurs d'emploi et salariés ».
Cette nouvelle disposition, qui participe à la mutualisation des données des acteurs d'insertion telle que décrite par l'article 1er du projet de décret, n'appelle pas d'observations particulières de la CNIL.

D. Sur l'article 4 du projet de décret (mise en cohérence de certaines dispositions du code du travail)

L'article 4 du projet de décret modifie certaines dispositions relatives au téléservice qui permet d'accomplir les démarches relatives aux parcours d'insertion par l'activité économique, prévu aux articles R. 5132-1-19 et suivants du code du travail. Ces modifications consistent à :

- confier la responsabilité du traitement existant au GIP « Plateforme de l'inclusion » en lieu et place du ministre chargé du travail ;
- ajouter la délégation générale à l'emploi et à la formation professionnelle (DGEFP) en tant que destinataire des données ;
- enfin, mettre en cohérence les dispositions relatives aux modalités d'exercice des droits qui devront être exercés auprès du GIP « Plateforme de l'inclusion ».

La CNIL prend acte de ces modifications qui n'appellent pas de commentaires de sa part.