La délibération de la Commission nationale de l'informatique et des libertés (CNIL), en date du 5 décembre 2024, portant avis sur un projet de décret relatif au système d'information de l'opérateur France Travail (ex Pôle emploi) a été publiée au Journal officiel du 1er janvier 2025. Cette délibération concerne diverses dispositions relatives aux traitements de données à caractère personnel dans le champ de l'emploi, de l'insertion et de la formation professionnelle.
Dans sa délibération, la Commission formule ses réserves sur la capacité des dispositifs, en l'état, à garantir la sécurisation des données personnelles des publics concernés. La Commission revient également sur les axes majeurs de transformation de la loi pour le plein emploi de 2023.
Le décret issu du projet de décret étudié par la CNIL a aussi été publié au Journal officiel du 1er janvier 2025.
Appel à une vigilance accrue pour garantir la protection des données
La délibération de la CNIL revient sur les conditions de saisine du projet de décret (délai trop court) et précise les points qui réclameraient une vigilance et des garanties accrues :
- sur la gestion des identités et des habilitations des accédants : la CNIL regrette qu'il n'y ait pas eu de consultation préalable sur une convention-cadre définissant les conditions minimales de sécurité exigées des partenaires de France Travail ;
- sur la sensibilité des données collectées : la CNIL appelle à mieux circonscrire l’utilisation du NIR (numéro de sécurité sociale) compte tenu des spécificités de ce numéro et de son caractère signifiant (données personnelles de santé, de situation familiale...) ;
- sur l’information et les droits des personnes : la CNIL veut s'assurer que le droit à l'information des personnes soit respecté, notamment pour les publics plus fragiles (bénéficiaires du revenu de solidarité active (RSA), personnes en situation de handicap, mineurs) et s'interroge sur une limitation aussi générale du droit d'opposition ;
- sur les mesures de sécurité : au regard de l’extension à des partenaires de France Travail et du caractère personnel des données des demandeurs d’emploi, la CNIL demande une sécurisation accrue des systèmes d’information, et particulièrement ceux de France Travail.
Que prévoyait la loi du 18 décembre 2023 ?
Dans sa délibération, la CNIL revient sur les principales évolutions prévues dans le cadre de l'application de la loi pour le plein emploi du 18 décembre 2023. Cette loi prévoyait notamment :
- la création d'un "réseau pour l’emploi" regroupant différents acteurs dont France Travail, les missions locales, les Cap emploi, les caisses d’allocations familiales et la caisse centrale de la mutualité sociale agricole ;
- l’inscription généralisée sur la liste des demandeurs d’emploi de l'ensemble des bénéficiaires du RSA et des jeunes concernés par l’accompagnement pour l’insertion professionnelle et sociale, des personnes handicapées sollicitant un accompagnement auprès de Cap emploi avec un nouveau régime de sanctions pour les bénéficiaires du RSA ne respectant pas certaines règles.
Censure du Conseil constitutionnel
La CNIL rappelle que certaines dispositions de la loi avaient été censurées par le Conseil constitutionnel (dispositions prévoyant un partage obligatoire des données des bénéficiaires du RSA, de la prime d'activité (PA) et de l'allocation aux adultes handicapés (AAH), notamment de nature médicale, à un nombre très important d'acteurs publics et privés) au motif "qu'elles ne présentaient pas suffisamment de garanties et portaient ainsi atteinte à la vie privée des personnes concernées".
