La Cnil a émis des réserves sur le projet de décret lié à l’ouverture du système d’information de France Travail prévu dans le cadre de la loi sur le plein emploi du 18 décembre 2023. L’institution indépendante pointe des inquiétudes sur la sécurité des données personnelles notamment de publics fragiles.
Le projet de décret prévoit que l’information des personnes concernées est assurée, selon les traitements, par la CNAF et la CCMSA ou par FT, notamment par l’intermédiaire de leurs sites web et lors du dépôt de demande d’allocation. “Au regard du public concerné incluant des mineurs et des personnes en situation de handicap, la délivrance de l’information devra être adaptée conformément à l’article 12 du RGPD, notamment via la mise à disposition d’une mention d’information au format « Facile à lire et à comprendre » (FALC)” pointe la CNIL.
Sur l’exercice des droits des personnes, le projet de décret écarte expressément pour chacun des traitements l’exercice du droit d’opposition en application de l’article 56 de la loi du 6 janvier 1978 modifiée. “Dès lors, la CNIL s’interroge sur une limitation aussi générale du droit d’opposition. La CNIL rappelle, d’une part, que, pour pouvoir apporter valablement des limitations au droit d’opposition des personnes, la mesure normative prise à cet effet doit contenir certaines « dispositions spécifiques » minimales énumérées à l’article 23.2 du RGPD et, d’autre part, que l’article 56 de la loi énonce qu’une telle exclusion doit être prévue par « une disposition expresse de l’acte instaurant le traitement”. La CNIL invite en conséquence le ministère à compléter le projet de décret afin de satisfaire entièrement aux exigences de ces articles. Par ailleurs, la CNIL indique qu’elle “ne sauraient préjuger de la licéité de l’ensemble des traitements concernés“.
L’autorité s’inquiète de ce que l’ouverture massive de nouveaux accès au système d’information de France Travail, dans des délais extrêmement contraints, ne soit pas accompagnée par des mesures de sécurité adaptées aux risques, en particulier à court terme”.
La CNIL appelle également à préciser dans le décret les cas d’utilisation du NIR par France travail.
Par ailleurs, les traitements impliquent la collecte à grande échelle de données avec des données sensibles. “Le responsable de traitement devra veiller à collecter et traiter ces données avec la plus grande précaution et en apportant des garanties particulières”.
La CNIL recommande au ministère, “d’une part, de s’assurer du caractère nécessaire des données collectées au regard des finalités poursuivies et, d’autre part, de distinguer les catégories de données nécessaires pour chacune des finalités poursuivies“.
Enfin, elle s’interroge également sur le caractère proportionné des durées de conservation pour chacune des données collectées au regard des nombreuses finalités poursuivies et invite le ministère à clarifier ce point.
Certaines dispositions de la loi ont été censurées par le Conseil constitutionnel en raison d’un manque de garanties suffisantes pour protéger la vie privée des bénéficiaires.
