Délibération de la forma­tion restreinte n° SAN-2023–016 du 9 novembre 2023 concer­nant le minis­tère de la trans­for­ma­tion et de la fonc­tion publiques et le minis­tère de l’économie, des finances et de la souve­rai­neté indus­trielle et numé­rique 

Contexte 

Le 26 janvier 2023, un cour­riel ayant pour titre « Réforme des retraites : Message de Stanislas Guerini aux agents de la Fonction publique » est envoyé à 2 346 303  agents publics actifs de l’administration fran­çaise.  

Le cour­riel est adressé par le Ministère de l’Écono­mie, des Finances et de la Souveraineté indus­trielle et numé­rique (ci-après : Ministère de l’Écono­mie) pour le compte du Ministère de la Transformation et de la Fonction publique. Il contient une vidéo ainsi qu’une pièce jointe inti­tu­lée « Pour nos retraites : un projet de justice, d’équilibre et de progrès ». La vidéo consiste dans un message filmé du Ministre de la Transformation et de la Fonction publique aux agents publics expo­sant et justi­fiant un projet de réforme des retraites, alors en cours d’adoption.  

Près de 1 600  plaintes sont dépo­sées auprès de la CNIL, l’Autorité fran­çaise de protec­tion des données. Il est repro­ché aux minis­tères concer­nés d’avoir utilisé et détourné l’adresse de messa­ge­rie élec­tro­nique des agents publics à des fins de commu­ni­ca­tion poli­tique. Les adresses de messa­ge­rie élec­tro­nique ont été extraites de la plate­forme qui héberge l’« espace numé­rique sécu­risé des agents publics de l’État » (ci-après : l’ENSAP), géré par le Ministère de l’Écono­mie, des Finances et de la Souveraineté indus­trielle et numé­rique (ci-après : le Ministère de l’Écono­mie). 

Statuant sur cette affaire, la forma­tion restreinte de la CNIL a prononcé le 9 novembre 2023 un rappel à l’ordre à l’encontre des deux minis­tères pour les sensi­bi­li­ser « sur l’usage des données à carac­tère person­nel déte­nues par l’administration au titre de ses missions et dont le trai­te­ment doit être respec­tueux du cadre légal et régle­men­taire appli­cable ». Elle a aussi estimé que ce rappel à l’ordre devait pour la même raison être publié, car le public « a démon­tré, au cours des derniers mois, un fort inté­rêt pour les ques­tions rela­tives au trai­te­ment de ses données à carac­tère person­nel par l’État, comme en témoigne le nombre sans précé­dent de plaintes reçues à l’issue de cette commu­ni­ca­tion ». 

Délibérations de la CNIL 

La première partie des déli­bé­ra­tions porte sur la qualité de respon­sables conjoints du trai­te­ment des deux minis­tères. La CNIL rappelle que le respon­sable du trai­te­ment est défini, selon l’art. 4 par. 7 RGPD, comme la personne physique ou morale, l’autorité publique, le service ou un autre orga­nisme qui, seul ou conjoin­te­ment avec d’autres, déter­mine les fina­li­tés et les moyens du trai­te­ment et qu’en vertu de l’art. 26 RGPD, lorsque deux respon­sables du trai­te­ment ou plus déter­minent conjoin­te­ment les fina­li­tés et les moyens du trai­te­ment, ils sont les respon­sables conjoints du trai­te­ment. 

Il ressort des consta­ta­tions de la CNIL que le cour­riel liti­gieux a fait l’objet de plusieurs échanges entre les deux minis­tères. Bien qu’il ait été envoyé par le Ministère de l’Écono­mie auquel est ratta­ché l’ENSAP, c’est néan­moins le Ministère de la Transformation et de la Fonction publique qui en est à l’origine. Il a demandé au Ministère de l’Écono­mie d’adresser une commu­ni­ca­tion aux agents de l’État sur les mesures incluses dans le projet de réforme de la loi sur les retraites en cours de prépa­ra­tion ; il a trans­mis le message à envoyer ; il a encore demandé s’il était possible, d’une part, d’insérer la vidéo de manière à pouvoir la regar­der direc­te­ment dans le cour­riel et, d’autre part, si des statis­tiques pouvaient être établies concer­nant le taux d’ouverture et de vision­nage de la vidéo ainsi que, dans la mesure du possible, du nombre de clics sur la pièce jointe.  

Pour la CNIL, il appa­raît qu’en souhai­tant adres­ser une commu­ni­ca­tion aux agents publics sur la réforme des retraites, le Ministère de la Transformation et de la Fonction publique a défini les fina­li­tés du trai­te­ment et qu’en solli­ci­tant à cette fin le Ministère de l’Écono­mie pour l’envoi du cour­riel et en lui donnant les instruc­tions rela­tives au contenu et à la forme de la commu­ni­ca­tion, il a égale­ment défini les moyens du trai­te­ment. Néanmoins, la CNIL relève que, selon les décrets appli­cables, la respon­sa­bi­lité de l’ENSAP relève du Ministère de l’économie, qui déter­mine les fina­li­tés et les moyens du trai­te­ment rela­tifs à la plate­forme. Dans ces circons­tances, la CNIL consi­dère que le Ministère de la Transformation et de la Fonction publiques et le Ministère de l’Écono­mie doivent être regar­dés comme conjoin­te­ment respon­sables du trai­te­ment en cause. 

La deuxième partie des déli­bé­ra­tions porte sur la licéité du cour­riel adressé aux agents publics. La CNIL rappelle qu’à teneur de l’art. 5 par. 1 let. b RGPD les données person­nelles doivent être collec­tées pour des fina­li­tés déter­mi­nées, expli­cites et légi­times, et ne pas être trai­tées ulté­rieu­re­ment de manière incom­pa­tible avec ces fina­li­tés. 

La CNIL se réfère d’abord au décret du 21 novembre 2022 fixant les moda­li­tés d’utilisation du trai­te­ment auto­ma­tisé de données à carac­tère person­nel dénommé Espace numé­rique sécu­risé des agents publics (ENSAP). Ce trai­te­ment a pour fina­lité de mettre à dispo­si­tion des agents publics un espace numé­rique sécu­risé offrant des services person­na­li­sés rela­tifs aux pensions de l’État, à la paie et aux élec­tions des repré­sen­tants du person­nel dans la fonc­tion publique de l’État. À ce titre, il permet notam­ment aux agents publics : i) de dispo­ser d’un outil d’échange et de commu­ni­ca­tion avec l’administration ; ii) de dispo­ser d’un espace d’archivage de docu­ments rela­tifs aux pensions de l’État (…) et à la paie « ; iii) d’obtenir la simu­la­tion du montant de la retraite servie par le régime des retraites de l’État et iv) d’effectuer des démarches en ligne. 

Pour la CNIL, il résulte de ces dispo­si­tions que le trai­te­ment en cause permet à l’administration unique­ment d’adresser aux agents publics des cour­riels les infor­mant qu’un docu­ment est dispo­nible sur la plate­forme ENSAP afin de leur offrir des services person­na­li­sés, mais pas de commu­ni­quer direc­te­ment avec eux par échange de cour­riels. 

La CNIL se penche ensuite sur le contenu du cour­riel adressé. Elle relève qu’il est signé du Ministre de la Transformation et de la Fonction publique et qu’il contient une allo­cu­tion offi­cielle de ce dernier expo­sant en détail le projet de réforme des retraites. Cette commu­ni­ca­tion comporte des infor­ma­tions concrètes sur les évolu­tions envi­sa­gées pour le régime de pension ainsi qu’un docu­ment séparé sur ce sujet. La CNIL critique cepen­dant le fait que cet envoi inter­vienne avant l’adoption du projet de loi par le Parlement et que la teneur géné­rale du message vise à convaincre de la néces­sité et du bien-fondé de la réforme. Finalement, la CNIL souligne que, contrai­re­ment à ce qui est habi­tuel­le­ment fait pour les commu­ni­ca­tions via l’ENSAP, le cour­riel adressé n’invitait pas son desti­na­taire à aller consul­ter un message sur la plate­forme, mais conte­nait direc­te­ment le message qui inté­grait un lien vers une vidéo héber­gée sur un service tiers. 

De l’avis de la CNIL, le cour­riel signé par le ministre, le format de la vidéo et la teneur géné­rale du message sont incom­pa­tibles avec la fina­lité de l’ENSAP. Il est certes loisible à l’administration de commu­ni­quer auprès de ses agents toutes les infor­ma­tions néces­saires à l’exercice de leur mission ou rela­tives à leur statut d’agent public, mais elle ne saurait le faire que dans le respect des dispo­si­tions régis­sant les plate­formes qu’elle utilise. Or la CNIL consi­dère que, dans le cas d’espèce, le cour­riel adressé ne corres­pond pas à une commu­ni­ca­tion entre des agents publics et leur admi­nis­tra­tion, mais relève d’une action de commu­ni­ca­tion poli­tique. 

Appréciation 

Cette affaire pour­rait consti­tuer un cas d’école dans le domaine de la protec­tion des données. On y trouve des consi­dé­ra­tions inté­res­santes concer­nant le statut de respon­sables conjoints du trai­te­ment et sur la portée du prin­cipe de fina­lité. Mais le résul­tat final semble néan­moins un peu sévère. 

Les déve­lop­pe­ments de la CNIL concer­nant le statut de respon­sables conjoints du trai­te­ment sont globa­le­ment convain­cants et n’appellent pas de commen­taires parti­cu­liers. Du reste, ils ne sont pas non plus contes­tés par les deux Ministères concer­nés. On peut tout de même regret­ter l’absence de toutes consi­dé­ra­tions concer­nant la fixa­tion des respon­sa­bi­li­tés entre les deux Ministères comme le prévoit l’art. 26 RGPD. 

Plus déli­cate est la quali­fi­ca­tion du cour­riel liti­gieux. En substance, la CNIL est d’avis que le message d’information sur le projet de réforme des retraites adressé par le Ministère de la Transformation et de la fonc­tion publique consti­tue un détour­ne­ment de données person­nelles à des fins de commu­ni­ca­tion poli­tique. 

Tout d’abord, la CNIL critique la tempo­ra­lité du message. Elle est d’avis qu’un tel message aurait dû inter­ve­nir après l’adoption du projet de réforme et non avant. Pareil argu­ment peine quelque peu à convaincre. Il est incon­tes­table qu’un sujet tel que la réforme des retraites aura un impact consi­dé­rable auprès des agents publics et qu’il peut susci­ter auprès d’eux inter­ro­ga­tions et résis­tance. Il semble donc normal dans ces condi­tions que l’administration commu­nique au sujet de cette réforme avant qu’elle ne soit défi­ni­ti­ve­ment adop­tée. Le cas échéant, cela doit permettre aux agents publics et aux parte­naires sociaux de faire remon­ter auprès du gouver­ne­ment leurs doléances et d’éventuelles propo­si­tions d’amendements. Au contraire, c’eût été une forme de mépris de ces derniers, si le gouver­ne­ment avait soumis cette réforme au Parlement sans même prendre la peine de s’adresser à eux. A titre de compa­rai­son, l’art. 33 de la loi fédé­rale sur le person­nel de la Confédération (LPers) énonce expres­sé­ment que l’employeur four­nit en temps utile au person­nel et aux asso­cia­tions qui le repré­sentent toutes les infor­ma­tions rela­tives aux ques­tions impor­tantes en matière de person­nel et qu’il les consulte avant toute modi­fi­ca­tion légale de leur statut. 

Ensuite, la CNIL consi­dère qu’en faisant usage des adresses élec­tro­niques présentes dans l’ENSAP pour commu­ni­quer sur la réforme des retraites, les Ministères concer­nés ont commis un détour­ne­ment de fina­lité. Selon le décret rela­tif à l’ENSAP, la plate­forme a pour fina­lité de mettre à dispo­si­tion des agents publics un espace numé­rique sécu­risé offrant des services person­na­li­sés rela­tifs aux pensions de l’État, à la paie et aux élec­tions des repré­sen­tants du person­nel dans la fonc­tion publique de l’État. À ce titre, il permet notam­ment aux agents publics de dispo­ser d’un outil d’échange et de commu­ni­ca­tion avec l’administration.  

À la lecture, de cette dispo­si­tion, une viola­tion du prin­cipe de fina­lité ne paraît pas non plus évidente. Il est vrai que le message en ques­tion ne corres­pond pas en tant que tel à un service person­na­lisé, mais il concerne direc­te­ment le régime appli­cable à ces services. On peut dès lors de se deman­der si le fait d’être informé des futurs chan­ge­ments de ce régime ne fait pas partie des attentes légi­times des personnes qui y sont assu­jet­ties. Dans l’affirmative, il y aurait lieu d’admettre que le trai­te­ment en cause est à tout le moins compa­tible avec la fina­lité fixée dans le décret ENSAP (art. 5 par. 1 let. b RGPD ; voir à ce sujet : www​.swiss​pri​vacy​.law/​144). Certes, la CNIL relève le « nombre sans précé­dent de plaintes reçues à l’issue de cette commu­ni­ca­tion ». On note cepen­dant qu’elles ne repré­sentent « que » 0,07 % des desti­na­taires du message liti­gieux. 

Il est vrai cepen­dant que le mode de commu­ni­ca­tion choisi par les Ministères n’est pas tota­le­ment exempt de critiques. Comme c’est géné­ra­le­ment le cas pour les plate­formes de ce type, l’ENSAP n’envoie pas direc­te­ment de contenu aux usagers sur leur adresse de messa­ge­rie, mais unique­ment un message les infor­mant qu’un tel contenu est dispo­nible sur la plate­forme. Ce mode de commu­ni­ca­tion assure un niveau plus élevé de sécu­rité et conserve la confi­den­tia­lité des commu­ni­ca­tions effec­tuées. Or, en l’espèce, le message adressé aux agents publics ne se limi­tait pas à leur annon­cer un nouveau contenu sur la plate­forme, mais conte­nait l’entier de celui-ci. Cette manière de procé­der s’écarte donc des normes établies et aurait dû être évitée.