Les agents publics ont reçu sur leur boite mail personnelle un courriel le 26 janvier du ministre de la fonction publique concernant la réforme des retraites. Retour sur les manquements au RGPD à l’œuvre.

Suite à de nombreux signalements, la CNIL a indiqué ce vendredi 27 janvier avoir ouvert une enquête sur un courriel envoyé à l’ensemble des agents publics (et anciens agents) par le ministre de la Transformation et de la Fonction publique. Elle va déterminer s’il y a eu des manquements à la règlementation sur la protection des données personnelles en vigueur et communiquera à nouveau lorsqu’elle aura terminé son enquête. On peut d’ores et déjà tenter d’analyser la situation et d’apporter des éléments de réponses.

Qui traite les données personnelles ?

Le courriel indique clairement qu’il s’agit d’un « Message de Stanislas Guerini aux agents de la Fonction publique ». Pourtant celui-ci est envoyé par la Direction Générale des Finances Publiques (DGFiP) avec l’adresse ne-pas-repondre@dgfip.finances.gouv.fr. Il est difficile de déterminer qui traite les données au sens du RGPD avec les informations que nous disposons car il manque justement dans l’email une information claire sur le responsable de traitement (la personne qui traite les données).

D’après la réponse du cabinet de Stanislas Guerini, ce dernier a demandé à la DGFiP d’envoyer le courriel au nom du ministre mais ce dernier n’aurait pas eu accès aux données personnelles des agents publics. Cela signifierait que la DGFiP est seule responsable de traitement.

D’où proviennent les données ?

En bas de l’email est indiqué que « Si vous ne souhaitez plus recevoir ce type de courriel, merci de vous désabonner dans votre espace Particulier, rubrique « Gérer mon profil » sur impots.gouv.fr ». Pourtant, d’après de nombreux témoignages d’agents publics, il semblerait que les données utilisées ne proviennent pas de impots.gouv.fr mais de ensap.gouv.fr, l’Espace Numérique Sécuriséde l’Agent Public (ENSAP), une autre plateforme de la DGFiP permettant aux agents publics de recevoir leurs bulletins de salaire ou autres documents.

Quelle base légale est à l’œuvre ?

Pour traiter des données personnelles, il faut une raison valable et que cela rentre dans l’une des 6 catégories du RGPD. Pour les autorités publiques, très souvent il s’agit de la mission d’intérêt public car l’intérêt légitime ou le consentement ne sont pas applicables (sauf rares exceptions). Les autorités publiques doivent aussi baser leurs traitements sur un texte de loi ou règlementation. Donc il existe probablement un décret quelque part qui créer ce traitement.

Le décret pour les traitements de l’ENSAP est le Décret n° 2022-1446 du 21 novembre 2022 fixant les modalités d’utilisation du traitement automatisé de données à caractère personnel dénommé Espace numérique sécurisé des agents publics. Le cabinet du ministre a confirmé que c’était bien celui-ci qui est utilisé pour envoyer le courriel sur la réforme des retraites. Son article 1 précise bien qu’il permet « De disposer d’un outil d’échange et de communication avec l’administration ».

Est-ce que les personnes ont donné leur accord ?

Non. Sur l’ENSAP, il n’existe qu’une seule option de notification, la « Notification courriel à [la] réception d’un nouveau bulletin [de paie] ». Il n’existe aucune option pour accepter ou refuser la réception de courriels d’information générale ou provenant du gouvernement. Aucune demande de consentement n’a été non plus faite par mail préalablement. De plus, certaines personnes assurent même ne pas s’être inscrit sur l’ENSAP (mais ont probablement un compte d’office suite à un passage dans la fonction publique).

Une seule option de notification : "Notification courriel à réception d'un nouveau bulletin"
Options de notification sur l’ENSAP

Sur quoi la CNIL va devoir trancher ?

La CNIL va devoir trancher sur le fait que le message de Stanislas Guerini sur la réformes des retraites est bien conforme au décret 2022-1446 et à la base légale de la mission d’intérêt public. Le cabinet du ministre a déjà argumenter qu’il s’agissait selon eux d’un simple « contenu RH » [ressources humaines] alors que beaucoup d’agents publics ont plutôt vu un message de propagande et de la communication politique. La réforme de retraites en question vient tout juste de commencée à être débattue par le parlement dans un climat de contestation sociale forte. L’envoi a d’anciens agents publics pourrait encore davantage déprécier l’argument du « contenu RH » prôné par le cabinet du ministre.

Concernant les mentions légales dans l’email, elles sont clairement erronées et insuffisantes. Les destinataires doivent être informé des coordonnées du responsable du traitement et du délégué à la protection des données, des finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ou encore la source d’où proviennent les données à caractère personnel. La mention du profil impots.gouv.fr est fausse car il s’agirait de l’ENSAP.

Pour finir, une question subsiste sur la responsabilité du ministre de la Transformation et de la Fonction publique. La CNIL pourrait potentiellement considérer que le ministère était responsable de traitement à cause du logo du ministère en en-tête de l’email et de la mention « Message de Stanislas Guerini », voir à cause de la demande du cabinet de Guerini à la DGFiP qui pourrait être considérée comme relevant de l’article 29 du RGPD (demande sous l’autorité du responsable de traitement).