Résumé des faits
La délibération SAN-2023-016 du 9 novembre 2023 concerne une sanction de la Commission Nationale de l’Informatique et des Libertés (CNIL) envers le Ministère de la Transformation et de la Fonction Publiques, et le Ministère de l’Économie des Finances et de la Souveraineté Industrielle et Numérique.
Les faits font mention de l’envoi d’un courriel en date du 26 janvier 2023, à 2 346 303 agents de la fonction publique, contenant un message vidéo du ministre de la Transformation et de la Fonction Publiques sur la réforme des retraites.
Ce message a été qualifié par les plaignants de « communication politique », utilisant leurs données personnelles de manière inappropriée.
Plusieurs points sont passés au crible par la CNIL à la suite de cette plainte :
I. La qualification des responsables conjoints
La question est de savoir quel Ministère était responsable dans la mise en œuvre de ce traitement ? – Articles. 4.7 et 26 du RGPD
La CNIL a établi que les ministères concernés ont agi en tant que responsables conjoints du traitement des données, ayant utilisé les adresses électroniques des agents publics de manière incompatible avec la finalité pour laquelle elles avaient été collectées.
Pour qualifier les ministères de la Transformation et de la Fonction Publiques et de l’Économie des Finances et de la Souveraineté Industrielle et Numérique comme responsables conjoints du traitement dans la délibération, la CNIL s’est basée sur plusieurs faits clés, conformément aux articles 4. 7 du RGPD[1], et de l’article 26 du RGPD[2] :
La prise en compte des deux ministères dans la collaboration à l’envoi du courriel : Les deux ministères ont collaboré pour envoyer un courriel à 2 346 303 agents de la fonction publique, contenant un message vidéo du ministre de la Transformation et de la Fonction Publiques sur la réforme des retraites[3].
La finalité et les moyens du traitement ont été élaborés de manière conjointe: Les ministères ont déterminé ensemble à la fois la finalité (communication sur la réforme des retraites) et les moyens (utilisation des adresses électroniques des agents, ainsi que les données collectées) du traitement des données personnelles.
II. Un traitement caractérisé comme disposant d'une finalité politisée
La question soulevée était de savoir si la finalité du présent traitement (envoi de courriel politique) rentrait dans les clous des finalités envisagées par l’acte règlementaire (décret ENSAP (espace numérique sécurisé pour l’administration publique)) fondant le traitement initial – Article 5.1.b) RGPD
La CNIL a décidé de prononcer un rappel à l’ordre à l’encontre des deux ministères pour ce manquement à l’article 5.1.b) du RGPD [4]. En effet, le rapporteur avait constaté que les deux ministères s’étaient appuyés sur le décret ENSAP pour légitimer l’envoi du courriel de communication (courriel d’explication de la réforme des retraites), considéré comme incompatible avec les finalités prévues par le décret [5].
Les ministères en défense arguent que le présent message était envoyé aux fins d’assurer une information conformément au décret, pour eux la finalité du message se recoupait avec la mission d’intérêt public d’information.
À la différence le rapporteur de la CNIL qualifie le message de contenu politique. Cette qualification semble être matérialisée par l’office du faisceau d’indices, plusieurs éléments factuels semblent tendre vers une finalité politisée :
Contenu du courriel : Le courriel, envoyé le 26 janvier 2023, était signé par le ministre de la Transformation et de la Fonction Publiques et comprenait une vidéo avec une allocution officielle présentant la réforme des retraites.
Moment de l’envoi : L’envoi du courriel est intervenu peu après la présentation de la réforme des retraites par le Ministre et avant son adoption par le Parlement, ce qui peut légitimement suggérer une intention de persuasion ou d’influence politique.
Nature des messages : La CNIL a relevé que le contenu de la vidéo et du powerpoint associé indiquait les messages suivants : « Pour nos retraites : un projet de justice, d’équilibre et de progrès » ainsi que la teneur générale du message étaient orientés vers la persuasion et la justification de la réforme. Ces différentes phrases pouvaient alors être perçues comme proposant un contenu politisé, permettant de requalifier la finalité de traitement, prévu au décret ENSAP (information des agents de l’administration) comme un contenu à caractère politique [6].
Méthode de Communication : Contrairement aux pratiques habituelles pour les communications via l’ENSAP, le courriel n’invitait pas les agents à consulter un message dans l’ENSAP, mais contenait directement le message et un lien vers une vidéo hébergée sur un service tiers. Cela a été perçu comme une déviation des normes de communication sécurisée.
Cadre Réglementaire : La CNIL a rappelé que les traitements se fondant sur une mission d’intérêt public, encadrés par un acte réglementaire, ne peuvent avoir que les finalités prévues par cet acte. Dans ce cas, l’utilisation du courriel pour une communication perçue et qualifiée de politique ne correspond pas aux finalités autorisées par l’acte réglementaire encadrant l’ENSAP.
III. Sanctions
Cette décision a été rendue publique sur le site de la CNIL et sur Légifrance, mais ne nommera plus explicitement les ministères concernés après deux ans à compter de sa publication. La décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois suivant la notification de la décision.
À retenir :
Cette décision propose plusieurs points de vigilance à destination des acteurs publiques (État, ou Collectivités Territoriales) :
Respect de la finalité du traitement :
- Vérification de la finalité : Assurez-vous que la finalité pour laquelle les données personnelles sont collectées et traitées est clairement définie, explicite et légitime. Ceci commence par une réflexion en amont, et dès la création de l’acte règlementaire se fondant sur base de la mission d’intérêt public, afin d’anticiper ces possibilités.
- Éviter les conflits d’intérêt : Évitez d’utiliser les ressources publiques ou les données personnelles collectées dans le cadre de fonctions publiques à des fins politiques ou de lobbying.
Partage des responsabilités entre responsables conjoints :
- Clarifier les rôles et responsabilités : Lorsque plusieurs entités sont impliquées dans le traitement des données, définissez clairement leurs rôles et responsabilités respectifs.
- Accords sur le traitement conjoints : Mettez en place des accords écrits qui détaillent ces rôles et responsabilités. À ce titre, gardez toutes traces des écrits permettant d’une part, de soulager votre responsabilité, d’autre part, afin de démontrer le rôle de chacun dans la détermination des moyens et de(s) finalité(s) de traitement.
Analyse d’Impact sur la Protection des Données (AIPD) : Réalisez des AIPD pour les traitements susceptibles de présenter des risques élevés pour les droits et libertés des personnes concernées.
[1] Définit le responsable de traitement comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ».
[2] »Lorsque deux responsables de traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement.
[3] Voir point 17 de ladite décision : En premier lieu, la formation restreinte note qu’il ressort des échanges de courriels entre les deux directions que la DGAFP a demandé le 16 janvier 2023 au service des retraites de l’État (SRE) de la DGFiP d’adresser une communication aux agents de l’État » sur les mesures incluses dans le projet de loi retraites en cours de préparation « , en précisant que celle-ci prendrait la forme de deux messages distincts, » l’un à destination des actifs, l’autre à destination des pensionnés « , avant de finalement revenir sur sa demande par un courriel du 18 janvier 2023 en précisant » Il s’agit en définitive de s’adresser aux seuls agents en activité « . Les mêmes échanges permettent de constater que la DGAFP a transmis à la DGFiP le message à envoyer aux agents actifs, en posant les questions suivantes : » est-il possible d’incruster la vidéo de manière à pouvoir la regarder dans l’e-mail ? » et » Quelles statistiques pourriez-vous obtenir ? Nous serons notamment demandeurs du taux d’ouverture, du taux de visionnage de la vidéo et même du nombre de clics sur le ppt joint si possible « . Il apparait ainsi que la DGAFP, souhaitant adresser une communication aux agents actifs de l’État sur la réforme des retraites, a défini les finalités du traitement. Ensuite, en sollicitant la DGFiP pour l’envoi du courriel et en lui donnant les instructions relatives au contenu et à la forme de la communication, la DGAFP a défini les moyens du traitement. La formation restreinte note également qu’il ressort des échanges entre la DGFiP et la DGAFP du 23 janvier 2023 que la DGFIP a réalisé des tests techniques en vue de l’envoi du courriel et qu’elle a » donné le go fonctionnel pour un envoi du mass mail [le] jeudi 26 janvier « .
[4] Les données à caractère personnel doivent être : / (…) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ; (…)
[5] Ce traitement a pour finalité de mettre à disposition des agents publics un espace numérique sécurisé offrant des services personnalisés relatifs aux pensions de l’État, à la paye et aux élections des représentants du personnel dans la fonction publique de l’État.
A ce titre, il permet à l’agent public : 1° De disposer d’un outil d’échange et de communication avec l’administration ; 2° De disposer d’un espace d’archivage de documents relatifs aux pensions de l’État (notamment estimations de pension, titres de pension, bulletins de pensions) et à la paye (notamment bulletins de paye, bulletins de solde, bulletins de solde de réserve, attestations fiscales) ; 3° D’obtenir la simulation du montant de sa retraite servie par le régime des retraites de l’Etat ; 4° D’effectuer des démarches en ligne ; 5° De consulter et mettre à jour ses données personnelles ; 6° De transmettre à des tiers, au moyen d’un lien sécurisé, des informations relatives à la paye et aux pensions ; 7° De participer aux élections professionnelles dans la fonction publique de l’Etat, par la mise à disposition de la carte électorale.
[6] D’autres arguments phrases étaient alors relevés par la CNIL comme : « il nous faut travailler plus longtemps pour préserver notre modèle de retraite par répartition » et la qualification des mesures de réforme comme des « mesures de justice, de progrès ».