(JO n° 188 du 13 août 2016)
NOR : CNIX1622913X
Vus
La Commission nationale de l'informatique et des libertés,
Saisie par la direction de la sécurité sociale d'une demande d'avis relative à la mise en œuvre d'un traitement de données à caractère personnel ayant pour finalité la gestion du compte personnel de prévention de la pénibilité ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code du travail, notamment ses articles L. 4162-1 et suivants, L. 1273-3 ainsi que ses articles D. 4161-1 et suivants ;
Vu le code de la sécurité sociale, notamment ses articles L. 161-17-1-2 et L. 351-6-1 ;
Vu le code rural et de la pêche maritime, notamment ses articles R. 712-2, R. 741-1-2 et R. 741-2 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment les dispositions du 1° du I de son article 27 ;
Vu la loi n° 2014-40 du 20 janvier 2014 garantissant l'avenir et la justice du système de retraites ;
Vu la loi n° 2015-994 du 17 août 2015 relative au dialogue social et à l'emploi ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2014-1155 du 9 octobre 2014 relatif à la gestion du compte personnel de prévention de la pénibilité, aux modalités de contrôle et de traitement des réclamations ;
Vu le décret n° 2015-1885 du 30 décembre 2015 relatif à la simplification du compte personnel de prévention de la pénibilité ;
Vu le décret n° 2015-1888 du 30 décembre 2015 relatif à la simplification du compte personnel de prévention de la pénibilité et à la modification de certains facteurs et seuils de pénibilité ;
Après avoir entendu Mme Marie-France MAZARS, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie par la direction de la sécurité sociale, rattachée au ministère des affaires sociales, de la santé et des droits des femmes et au ministère des finances et des comptes publics, d'une demande d'avis relative à la mise en œuvre, par la Caisse nationale d'assurance vieillesse des travailleurs salariés (CNAVTS) du compte personnel de prévention de la pénibilité (CPPP).
Dans la mesure où ce traitement automatisé a vocation à être mis en œuvre par une personne morale de droit public et porte sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques (NIR), il y a lieu de faire application des dispositions prévues à l'article 27-I (1°) de la loi du 6 janvier modifiée, qui prévoient que la création du traitement doit intervenir par décret en Conseil d'Etat pris avis motivé et publié de la commission.
La commission relève que la mise en œuvre de ce traitement sera particulièrement complexe en raison notamment du nombre important de salariés concernés par le dispositif, du nombre d'acteurs impliqués dans son fonctionnement et de l'articulation avec d'autres traitements tels que le compte personnel d'activité.
Sur les finalités du traitement :
La loi du 20 janvier 2014 garantissant l'avenir et la justice du système de retraites, a créé un mécanisme de compensation de la pénibilité au travail permettant aux travailleurs salariés relevant du régime général de la sécurité sociale ou de la Mutualité sociale agricole (MSA), et dont la durée du contrat est supérieure ou égale à un mois, de bénéficier de certains avantages en contrepartie de l'exposition à un ou plusieurs risques professionnels, listés par l'article D. 4161-2 du code du travail.
Dans le cadre des déclarations sociales obligatoires qu'ils ont à effectuer (déclaration sociale nominative, déclaration automatisée des données sociales, titre emploi simplifié agricole, titre emploi-service entreprise et déclaration trimestrielle des salaires), les employeurs informent la caisse compétente du réseau de la CNAVTS ou de la MSA s'agissant des salariés agricoles, de la nature des risques rencontrés par les salariés et des durées d'exposition à ces risques. En fonction de ces deux éléments, les salariés perçoivent un certain nombre de points, crédités sur leur compte personnel de prévention de la pénibilité, qu'ils peuvent convertir en trois avantages :
- la prise en charge d'une formation professionnelle pour accéder à un poste moins ou non exposé aux facteurs de risque ;
- un passage à temps partiel sans baisse de rémunération ;
- un départ anticipé en retraite.
Le compte, dont la gestion est assurée par la CNAVTS, prend la forme d'un portail sur lequel les salariés peuvent se créer un espace personnel et consulter la synthèse des points acquis. Les employeurs disposent également d'un espace qui leur est propre pour notamment consulter leurs déclarations et transmettre les pièces justificatives.
Le traitement dont la commission a été saisie pour avis, tel que précisé par le projet de décret, vise ainsi à permettre la gestion et le suivi des comptes personnels de prévention de la pénibilité en application de l'article L. 4162-1 et suivants du code du travail, et plus précisément à permettre :
- le contrôle du nombre de points acquis et le suivi des recours ;
- l'utilisation, par le salarié, de ses points ;
- la conservation des informations relatives aux conditions de travail des salariés exposés aux facteurs de risque professionnels ;
- la production de statistiques anonymes à des fins de pilotage des politiques publiques en matière de retraites et de prévention de la pénibilité.
La commission considère que ces finalités sont déterminées, explicites et légitimes.
Sur la nature des données traitées :
Les données enregistrées dans le « compte personnel de prévention de la pénibilité » concernent les travailleurs salariés affiliés au régime général ou à la mutualité sociale agricole et portent sur :
Des données relatives aux salariés :
- données d'identification du salarié : NIR ou, le cas échéant, le numéro identifiant d'attente (NIA) attribué par la CNAVTS aux personnes qui sont en cours d'immatriculation ou aux personnes dont les données d'état civil sont incomplètes ou n'ont pas été confirmées par une pièce d'état civil, nom de famille, nom d'usage et prénoms, sexe, date et le lieu de naissance, le cas échéant, date de décès, commune, département et pays de résidence du salarié adresses postale et électronique personnelles du salarié et son numéro de téléphone ;
- données relatives à la vie professionnelle du salarié et plus précisément à la nature du contrat de travail ;
- données relatives à l'exposition aux facteurs de risque : périodes d'expositions, facteurs de risque professionnels ;
- données relatives aux cotisations du salarié : montant des cotisations, montant de l'assiette, taux de cotisation ;
- données relatives au nombre de points acquis par un salarié au cours de sa carrière ;
- données relatives à l'utilisation des points acquis : nombre de points convertis en heures de formation professionnelle au titre de l'article L. 4162-5 du code du travail, périodes de réduction de durée de travail au titre de l'article L. 4162-6 du code du travail, trimestres de majoration de durée d'assurance acquis au titre de l'article L. 351-6-1 du code de la sécurité sociale, traçabilité des actions réalisées à la demande du salarié par les agents des organismes compétents ;
Des données relatives aux employeurs : SIRET, code d'activité principale (NAF) et code du régime d'affiliation, raison sociale, adresse postale, code INSEE de la commune, effectifs de l'entreprise, relevé d'identité bancaire de l'employeur, taux de cotisations applicables et montant de cotisation déclaré ;
Des données relatives aux financeurs de formations professionnelles : données d'identification, relevé d'identité bancaire.
S'agissant de la collecte et du traitement du NIR, la commission relève que cette donnée n'est traitée que par des organismes qui y sont habilités dans le cadre de leurs missions.
Le projet de décret énonce que les personnes sont identifiées par le NIR ou NIA ainsi que par le ou les numéros d'inscription qui leur auraient été précédemment attribués. Interrogée sur ce point, la direction de la sécurité sociale a indiqué qu'un seul des deux numéros permettant l'identification des salariés, le NIR ou à défaut le NIA, serait collecté et traité. Ainsi, les données d'un salarié ne sont rattachées qu'à son NIR ou, en attendant qu'un N1R lui soit attribué, à son NIA qui constitue un NIR de gestion.
S'agissant des données relatives à l'utilisation des points par les salariés, le responsable de traitement a indiqué que sont collectées les données liées à la gestion administrative du compte et plus précisément à la traçabilité des actions effectuées par les agents, à la demande des salariés souhaitant utiliser leurs points. La commission observe que ces données ne figurent pas dans le projet de décret. Elle prend néanmoins acte de l'engagement pris par le responsable de traitement de modifier le projet de décret en ce sens.
Sous ces réserves, la commission considère que ces données sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et au regard de leurs traitements ultérieurs.
Sur l'origine des données et les modes d'alimentation du traitement :
Le CPPP est alimenté par les déclarations des employeurs, la déclaration sociale nominative, ou à défaut la déclaration annuelle des données sociales, le titre emploi-service entreprise ou encore, s'agissant des employeurs agricoles, par les déclarations spécifiques envisagées par le code rural et de la pêche maritime que sont le titre emploi simplifié agricole ou la déclaration trimestrielle des salaires.
Les données relatives à l'adresse postale sont quant à elles issues des déclarations des employeurs et du répertoire national commun de la protection sociale (RNCPS), institué par l'article L. 114-12-1 du code de la sécurité sociale pour notamment garantir la fiabilité des informations détenues par les organismes sociaux.
Enfin, les données relatives à l'adresse électronique sont également issues du RNCPS.
Les données du compte alimentent le répertoire de gestion des carrières unique ou, à défaut, le système national de gestion des carrières de la Caisse nationale d'assurance vieillesse, réunissant les informations relatives à la carrière professionnelle des assurés sociaux.
Les modes d'alimentation du traitement n'appellent pas d'observation de la part de la commission.
Sur la durée de conservation des données :
Le projet de décret portant création du compte personnel de prévention de la pénibilité prévoit que les données sont conservées sur le compte du travailleur salarié, cinq ans à compter de la liquidation de sa pension vieillesse ou, le cas échéant, de son décès, afin notamment de s'assurer de la disponibilité des données dans l'éventualité d'un contentieux. Le salarié dispose toujours d'un accès au compte pour simple consultation des informations pendant ces cinq années après liquidation de sa pension vieillesse.
Interrogé sur cette durée de conservation, le responsable de traitement a indiqué s'être fondé sur les dispositions de la loi du 17 août 2015 qui a abaissé à trois ans le délai de recours, et y avoir ajouté un délai supplémentaire de deux ans pour s'assurer de la disponibilité des documents au cas où un recours contentieux serait exercé peu de temps avant l'expiration du délai de recours légal.
La commission s'interroge sur la pertinence de cette durée dans la mesure où le délai légal de recours en attribution de points, pour le salarié, est désormais de deux années civiles suivant la fin de l'année au titre de laquelle des points ont été ou auraient dû être portés au compte, conformément à l'article L. 4162-16 du code du travail. En revanche, les organismes chargés du contrôle de l'effectivité de la pénibilité peuvent exercer un redressement durant les trois années civiles suivant la fin de l'année au titre de laquelle des points ont été ou auraient dû être inscrits au compte, conformément à l'article L. 4162-12 du même code.
La commission ajoute qu'en cas de recours contentieux, les informations y afférentes peuvent être conservées jusqu'à l'extinction de l'action contentieuse.
Au vu de ces éléments, la commission rappelle la nécessité :
- de conserver les données en base active, sur le compte personnel de prévention de la pénibilité, tant que le salarié peut disposer de ses droits ;
- de les conserver ensuite en archivage intermédiaire, dans une base distincte, pendant trois ans à compter de la liquidation de la pension de vieillesse du salarié ou, le cas échéant, trois ans après son décès.
La commission prend acte que le ministère s'est engagé à modifier le projet de décret pour indiquer que « les données mentionnées à l'article 2 sont conservées dans le compte personnel de prévention de la pénibilité trois ans après la liquidation de la pension de vieillesse du salarié ou, le cas échéant, après son décès, ou jusqu'à l'intervention d'une décision définitive en cas de contentieux ».
S'agissant de l'élaboration des statistiques anonymes mentionnées dans le projet de décret, la commission est informée que des mesures sont adoptées afin d'éviter les risques de ré-identification. Ainsi les données directement identifiantes, telles que les données nominatives, les RIB ou encore le NIR, sont supprimées des jeux de données. En outre, les données servant de base aux statistiques sont conservées dans un environnement logique séparé, distinct du compte personnel de prévention de la pénibilité. Enfin, pour la présentation des résultats, des seuils sont appliqués pour éviter que les statistiques obtenues ne permettent la ré-identification d'un assuré.
La commission recommande que davantage de mesures de sécurité soient prises pour, d'une part, évaluer les risques de ré-identification des personnes par l'agglomération de données indirectement identifiantes et pour, d'autre part, pouvoir y répondre.
Sur les destinataires des données et les mises en relation du traitement :
Tel que précisé par le projet de décret examiné par la commission, les données du traitement sont accessibles aux personnes habilitées listées ci-après, dans la stricte limite des informations dont elles ont à connaître au regard de leurs fonctions :
- les salariés accédant à l'espace personnel de leur CPPP via le portail d'offres de services pour consulter leur compte, effectuer une demande d'utilisation des points ou transmettre des pièces justificatives ;
- les employeurs accédant à leur espace employeur via ce même portail pour consulter les informations les concernant et transmettre des pièces justificatives ;
- les agents de la CNAVTS, les agents des organismes du régime général chargés de l'assurance vieillesse et les agents des organismes de la MSA, individuellement désignés et dûment habilités par le directeur de leur organisme, accédant à l'intégralité des données du compte ;
- les agents des organismes du régime général chargés de la gestion du risque accidents du travail et maladies professionnelles, accédant aux données du compte excepté les adresses postale et électronique ainsi que les relevés d'identité bancaire ;
- conformément aux dispositions de l'article 7 bis de la loi du 7 juin 1951, les services statistiques des ministères en charge du travail, des affaires sociales et de la santé, s'agissant des données du compte excepté les adresses postale et électronique ainsi que les relevés d'identité bancaire ;
- les agents exerçant des activités statistiques, individuellement désignés et dûment habilités au sein de la CNAVTS, de la Caisse nationale de l'assurance maladie des travailleurs salariés, des organismes du régime général chargés de la gestion du risque accidents du travail et maladies professionnelles et de l'assurance vieillesse et des organismes de la Mutualité sociale agricole ainsi que les agents des services de I'Etat placés sous l'autorité respective des ministres chargés de la sécurité sociale, de l'agriculture, du budget et de la fonction publique, pour réaliser des statistiques anonymes sur la base des données du compte excepté le NIR (ou NIA), les nom, prénoms, les adresses postale et électronique, les relevés d'identité bancaire ;
- les agents de la Caisse des dépôts et consignations, individuellement désignés et dûment habilités, pour assurer la gestion du compte personnel de formation, s'agissant du NIR (ou NIA) ainsi que des noms et prénoms du salarié.
La commission prend acte que, s'agissant des statistiques réalisées par les services ministériels, le NIR n'est communiqué qu'à la direction de l'animation de la recherche, des études et des statistiques (DARES), habilitée à traiter du NIR dans le cadre de ses études statistiques, pour réaliser des appariements.
La commission considère que ces destinataires présentent un intérêt légitime à accéder aux données du présent traitement, sous réserve que les données effectivement accessibles présentent un lien direct et nécessaire avec leurs fonctions.
Sur l'information des personnes et sur les droits d'accès, de rectification et d'opposition des personnes :
L'information des personnes, telle que prévue à l'article 32 de la loi du 6 janvier 1978 modifiée, est délivrée par l'employeur puis par l'organisme compétent du réseau de la CNAVTS ou par la caisse compétente du réseau de la MSA s'agissant des salariés agricoles.
La commission est informée que le choix du support de l'information délivrée par l'employeur est libre. Quant à l'information délivrée par l'organisme du régime général ou de la MSA, elle est réalisée par courrier, lors de l'ouverture du compte.
La commission considère que ces modalités d'information des personnes sont satisfaisantes.
Les droits d'accès et de rectification, prévus par les articles 39 et 40 de la loi du 6 janvier 1978 modifiée, s'exercent auprès de la CNAVTS par voie électronique, via l'espace personnel, ou par voie postale à une adresse dédiée (Compte prévention pénibilité TSA 40236 35030 Rennes Cedex 9).
La commission note enfin que le projet de décret, en application des dispositions du dernier alinéa de l'article 38 de la loi du 6 janvier 1978 modifiée, écarte l'application du droit d'opposition.
Sur la sécurité des données et la traçabilité des actions :
La commission observe que le projet « Compte personnel de prévention de la pénibilité » est destiné à permettre l'accès à travers un téléservice à des données à caractère personnel concernant l'ensemble des travailleurs salariés affiliés au régime général ou à la MSA, et l'ensemble des sociétés françaises. Elle appelle ainsi à ce que ce projet puisse bénéficier d'une homologation référentiel général de sécurité (RGS) de l'ANSSI et de la réalisation d'une étude d'impact sur la vie privée (PIA) concernant la protection de ces données.
Il ressort des éléments transmis que la protection physique des locaux de la CNAVTS (direction du système informatique national des données sociales, ou DSINDS, à Tours) présente des garanties en termes de sécurité qui apparaissent conformes à l'état de l'art.
La commission prend bonne note de l'utilisation du standard INTEROPS, dispositif sur lequel elle a été amenée à se prononcer, et de la plate-forme Sterling pour l'échange de fichiers. Elle rappelle qu'une convention entre l'utilisateur de données et l'organisme fournisseur est un préalable indispensable à l'ouverture d'échanges en mode Interops. Elle rappelle en outre que l'échange de fichiers doit se réaliser dans des conditions de sécurité adaptées à la sensibilité des données échangées.
La commission appelle à une gestion rigoureuse des modalités d'authentification sur les plates-formes de service. Elle rappelle qu'une politique satisfaisante de mot de passe implique que ceux-ci soient composés de huit caractères minimum, comprenant au moins trois des quatre types de caractères suivants : majuscules, minuscules, chiffres et caractères spéciaux. Ils doivent en outre être définis ou modifiés dès la première connexion, par l'utilisateur, puis régulièrement renouvelés et ne doivent pas être stockés en clair. Elle considère que la mise en place d'une authentification partagée ne pourra se réaliser que si les conditions d'authentification sur les plates-formes précitées et les protocoles d'échanges pour des informations liées à la sécurité, et notamment pour la mise en œuvre de systèmes d'authentification unique, se révèlent suffisantes et conformes à l'état de l'art.
La commission considère également que des mesures doivent être prises pour auditer l'exploitation des données statistiques, afin notamment de limiter les risques de ré-identification.
Enfin, la commission rappelle que l'obligation de garantir la sécurité et la confidentialité des données nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.
La présidente,
I. Falque-Pierrotin