Les agents publics ont reçu sur leur boite mail personnelle un courriel le 26 janvier du ministre de la fonction publique concernant la réforme des retraites. Retour sur les manquements au RGPD à l’œuvre.
Suite à de nombreux signalements, la CNIL a indiqué ce vendredi 27 janvier avoir ouvert une enquête sur un courriel envoyé à l’ensemble des agents publics (et anciens agents) par le ministre de la Transformation et de la Fonction publique. Elle va déterminer s’il y a eu des manquements à la règlementation sur la protection des données personnelles en vigueur et communiquera à nouveau lorsqu’elle aura terminé son enquête. On peut d’ores et déjà tenter d’analyser la situation et d’apporter des éléments de réponses.
Qui traite les données personnelles ?
Le courriel indique clairement qu’il s’agit d’un « Message de Stanislas Guerini aux agents de la Fonction publique ». Pourtant celui-ci est envoyé par la Direction Générale des Finances Publiques (DGFiP) avec l’adresse ne-pas-repondre@dgfip.finances.gouv.fr. Il est difficile de déterminer qui traite les données au sens du RGPD avec les informations que nous disposons car il manque justement dans l’email une information claire sur le responsable de traitement (la personne qui traite les données).
D’après la réponse du cabinet de Stanislas Guerini, ce dernier a demandé à la DGFiP d’envoyer le courriel au nom du ministre mais ce dernier n’aurait pas eu accès aux données personnelles des agents publics. Cela signifierait que la DGFiP est seule responsable de traitement.
D’où proviennent les données ?
En bas de l’email est indiqué que « Si vous ne souhaitez plus recevoir ce type de courriel, merci de vous désabonner dans votre espace Particulier, rubrique « Gérer mon profil » sur impots.gouv.fr ». Pourtant, d’après de nombreux témoignages d’agents publics, il semblerait que les données utilisées ne proviennent pas de impots.gouv.fr mais de ensap.gouv.fr, l’Espace Numérique Sécuriséde l’Agent Public (ENSAP), une autre plateforme de la DGFiP permettant aux agents publics de recevoir leurs bulletins de salaire ou autres documents.
Quelle base légale est à l’œuvre ?
Pour traiter des données personnelles, il faut une raison valable et que cela rentre dans l’une des 6 catégories du RGPD. Pour les autorités publiques, très souvent il s’agit de la mission d’intérêt public car l’intérêt légitime ou le consentement ne sont pas applicables (sauf rares exceptions). Les autorités publiques doivent aussi baser leurs traitements sur un texte de loi ou règlementation. Donc il existe probablement un décret quelque part qui créer ce traitement.
Le décret pour les traitements de l’ENSAP est le Décret n° 2022-1446 du 21 novembre 2022 fixant les modalités d’utilisation du traitement automatisé de données à caractère personnel dénommé Espace numérique sécurisé des agents publics. Le cabinet du ministre a confirmé que c’était bien celui-ci qui est utilisé pour envoyer le courriel sur la réforme des retraites. Son article 1 précise bien qu’il permet « De disposer d’un outil d’échange et de communication avec l’administration ».
Est-ce que les personnes ont donné leur accord ?
Non. Sur l’ENSAP, il n’existe qu’une seule option de notification, la « Notification courriel à [la] réception d’un nouveau bulletin [de paie] ». Il n’existe aucune option pour accepter ou refuser la réception de courriels d’information générale ou provenant du gouvernement. Aucune demande de consentement n’a été non plus faite par mail préalablement. De plus, certaines personnes assurent même ne pas s’être inscrit sur l’ENSAP (mais ont probablement un compte d’office suite à un passage dans la fonction publique).
Sur quoi la CNIL va devoir trancher ?
La CNIL va devoir trancher sur le fait que le message de Stanislas Guerini sur la réformes des retraites est bien conforme au décret 2022-1446 et à la base légale de la mission d’intérêt public. Le cabinet du ministre a déjà argumenter qu’il s’agissait selon eux d’un simple « contenu RH » [ressources humaines] alors que beaucoup d’agents publics ont plutôt vu un message de propagande et de la communication politique. La réforme de retraites en question vient tout juste de commencée à être débattue par le parlement dans un climat de contestation sociale forte. L’envoi a d’anciens agents publics pourrait encore davantage déprécier l’argument du « contenu RH » prôné par le cabinet du ministre.
Concernant les mentions légales dans l’email, elles sont clairement erronées et insuffisantes. Les destinataires doivent être informé des coordonnées du responsable du traitement et du délégué à la protection des données, des finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ou encore la source d’où proviennent les données à caractère personnel. La mention du profil impots.gouv.fr est fausse car il s’agirait de l’ENSAP.
Pour finir, une question subsiste sur la responsabilité du ministre de la Transformation et de la Fonction publique. La CNIL pourrait potentiellement considérer que le ministère était responsable de traitement à cause du logo du ministère en en-tête de l’email et de la mention « Message de Stanislas Guerini », voir à cause de la demande du cabinet de Guerini à la DGFiP qui pourrait être considérée comme relevant de l’article 29 du RGPD (demande sous l’autorité du responsable de traitement).
7 réponses à “Ce que l’on sait du courriel de propagande de Stanislas Guerini sur les retraites”
ce message a également été reçu par des vacataires ponctuels de l’université… qui ne sont donc pas fonctionnaires… à l’adresse mail qu’ils ont fournie pour être informés de leur rémunération (ENSAP)
dans mon cas, c’est même amusant : je suis ancien fonctionnaire et j’ai donc démissionné…
quel plaisir de recevoir un message de M.Guerini qui ne me concerne pas/plus mais qui s’avère particulièrement partial dans sa description d’une réforme dont il ne présente que partiellement les effets.
[…] envoie des mails aux fonctionnaires pour vanter la réforme (liberation.fr) – voir aussi Ce que l’on sait du courriel de propagande de Stanislas Guerini sur les retraites (blog.davidlibeau.fr) et Réforme des retraites : la CNIL instruit les plaintes concernant le […]
Bonjour,
dans le didacticiel présenté, il faudrait préciser qu’il est d’abord nécessaire de contacter la ou le DPD de la DGFIP (donnees-personnelles-mes-droits@dgfip.finances.gouv.fr) pour demander sur quelle base s’est effectué la collecte et le transfert de données personnelles.
C’est un mois après que la plainte à la CNIL peut être effectué (voir https://www.cnil.fr/fr/adresser-une-plainte)
Bonjour, non, il est possible de saisir la CNIL dès que la personne concernée estime qu’une violation au RGPD a été commise (article 77 du RGPD). Dans la plupart des cas les personnes saisissent la CNIL en lui demandant la suppression de leur données perso ou pour s’opposer au traitement alors qu’il faut le faire auprès du responsable de traitement, c’est pour ça que la CNIL dit qu’il faut faire des demandes au responsable de traitement.
Mon propos concernait la plainte mais vous parlez ici de signalement.
Est-ce que vous parlez ici de ce que la CNIL nomme « alerte » ?
Non je parle bien des plaintes.
Je suis fonctionnaire au sein d’Orange et je n’ai pas d’espace Ensap.
A aucun mon moment mon employeur ne connait mon e-mail personnel.
Pourtant le mail a été envoyé à l’e-mail utilisé exclusivement sur mon espace impot.gouv.fr
Il y a forcement eu un traitement pour vérifier si j’étais fonctionnaire au niveau de site impot.gouv.fr et ensuite l’envoi du mail.