image
logo

Utilisation d'adresses mails à des fins de « communication politique » : la CNIL épingle deux ministères

mercredi 15 novembre 20235 min
Écouter l'article

Le ministère de la Transformation et de la Fonction publiques et le ministère de l’Économie se sont vu rappeler à l’ordre le 9 novembre, après usage d'un fichier administratif pour adresser à 2 millions d’agents publics une vidéo visant à les convaincre de la nécessité de la réforme des retraites. Pour la CNIL, cela caractérise une atteinte à la législation en matière de RGPD.

C’est un coup de projecteur que la Commission nationale de l’informatique et des libertés (CNIL) a braqué sur le ministère de la Transformation et de la Fonction publiques, et le ministère de l’Économie, des finances et de la souveraineté industrielle et numérique au début du mois.

Dans une décision rendue le 9 novembre dernier, la formation restreinte de la commission, saisie de 1 590 plaintes formulées par des agents de la fonction publique en début d’année, a en effet rappelé les deux ministères à l’ordre, et a rendu publique ladite décision issue de la séance du 26 octobre 2023, à la fois sur son site Internet ainsi que sur celui de Légifrance.

En cause : l’utilisation des adresses électroniques d’agents publics aux fins d’envoi du courriel du 26 janvier 2023 ayant pour objet « Réforme des retraites : Message de Stanislas Guerini aux agents de la Fonction publique ».

Une vidéo « informative » qui relève de la « communication politique »

2 346 303 agents publics ont donc reçu le 26 janvier dernier ce mail, ayant pour expéditeur « ne-pas-repondre@dgfip.finances.gouv.fr », accompagné d’une vidéo de six minutes du ministre qui, selon la CNIL, vise à « à convaincre de la nécessité et du bien-fondé de la réforme des retraites » par l’utilisation de certains termes et « la teneur générale du message ».

Pour les agents ayant déposé une plainte, ce mail s’apparente à une « communication politique », qualificatif validé par la CNIL et retenu par la rapporteure, bien que contesté par les ministères qui affirment : « L'usager avait le choix de regarder ou non la vidéo jointe au courriel, (...) l’envoi n’avait pas vocation à promouvoir le projet de réforme, mais bien à informer, en tant qu’employeur, les agents publics sur les axes spécifiques les concernant et l’impact très concret pouvant en résulter pour eux. » Et d’ajouter qu’en tant qu’employeur, le ministère de la Transformation et de la Fonction publiques peut s’adresser directement et personnellement à l’ensemble des agents publics sur toutes les questions administratives et de gestion des ressources humaines.

Toutefois, pour la formation restreinte, « le courriel signé par le ministre, le format de la vidéo et la teneur générale du message, ne correspondent pas à une communication entre des agents publics et leur administration ». Argument supplémentaire : la formation restreinte de la CNIL a pris connaissance d’échanges de mails entre la Direction générale de l'Administration et de la Fonction publique (DGAFP) et la Direction générale des finances publiques (DGFiP), la première demandant à le seconde, dans un deuxième mail du 18 janvier 2023, s’il est « possible d’incruster la vidéo de manière à pouvoir la regarder dans l’e-mail ». « Quelles statistiques pourriez-vous obtenir ? Nous serons notamment demandeurs du taux d’ouverture, du taux de visionnage de la vidéo et même du nombre de clics sur le ppt joint si possible », est-il également écrit dans cette correspondance. Pour la CNIL, « il apparait que la DGAFP, souhaitant adresser une communication aux agents actifs de l’État sur la réforme des retraites, a défini les finalités du traitement ».

La commission a donc conclu à un mail à des fins de communication politique, mettant également en cause l’utilisation des adresses mails utilisées, pourtant régies par un acte réglementaire.

Des données « traitées de manière incompatible avec la finalité » prévue par décret

En plus du caractère politique du mail, la rapporteure a notifié aux ministères, le 22 juin 2023, un rapport détaillant le manquement à l’article 5-1-b) du Règlement général sur la protection des données (RGPD) qui dispose que « les données à caractère personnel doivent être : (…) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités ». Or, « celles collectées au titre du décret n° 2022-1446 du 21 novembre 2022 fixant les modalités du traitement de l’ENSAP ont été traitées de manière incompatible avec les finalités prévues par ledit décret pour envoyer un message relevant d’une communication de nature politique » indique la décision.

En effet, l’espace numérique sécurisé de l’agent public est une plateforme qui propose notamment aux agents de disposer d'un espace d'archivage de documents relatifs aux pensions de l’État et au bulletin de paie. « Il résulte de ces dispositions que le traitement en cause ne permet à l’administration que d’adresser aux agents publics des courriels les informant qu’un document est disponible sur la plateforme ENSAP afin de leur offrir des services personnalisés », le courriel reçu fin janvier n’entrant donc pas dans ce champ.

En utilisant les adresses du fichier de l’espace numérique sécurisé de l’agent public régi par le décret susmentionné, les deux ministères ont donc « traité lesdites données à caractère personnel de manière incompatible avec la finalité de la collecte en méconnaissance de l’article 5.1.b) du RGPD » est-il énoncé au 32e point de la décision. D’autant que des agents n’étant plus actifs ont eux aussi reçu ledit mail.

Pour leur défense, les ministères ont exprimé avoir agi en ce sens « dans sa mission d’intérêt public », et soutiennent « que le SRE, qui exploite le traitement ENSAP au sein de la DGFiP, assure l’information des ressortissants du régime de retraite des fonctionnaires civils et militaires de l’Etat, notamment au regard du droit à l’information sur les retraites ». Les ministères ont notamment fait part d’un recensement des coordonnées des agents ayant déposé une plainte qui a été fait dans le but de les exclure d’éventuelle communication future. En outre, « une évolution de l’interface ENSAP, prévue à échéance de décembre 2023, permettra aux usagers de directement refuser la réception de courriels d’information » ont-ils précisé.

Des argument qui n’auront pas suffi à convaincre la CNIL. Les ministères devront notamment, précise la décision, être sensibilisés en matière de RGPD « sur l’usage des données à caractère personnel détenues par l’administration au titre de ses missions et dont le traitement doit être respectueux du cadre légal et règlementaire applicable ». 

Ce coup de projecteur ne durera toutefois que deux ans, puisque la CNIL « n’identifiera plus nommément les ministères à l’expiration [de ce délai] à compter de [l]a publication [de la délibération] ».

Allison Vaslin

Partager l'article

THÉMATIQUES ASSOCIÉES

0 Commentaire

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Les plus vus

1.
Le procès en appel du « violeur de Tinder » s’est ouvert à Créteil
2.
Livret défense, une fausse bonne idée pour soutenir l’armement
3.
Comment la culture de la sécurité peut améliorer l’activité de l’entreprise
4.
Un temps menacée de report, la généralisation de la facturation électronique conserve finalement son calendrier
5.
La généralisation de la publication de certaines décisions civiles et pénales en open data à nouveau repoussée

Au cœur de l'actualité !

Infos locales, analyses et enquêtes : restez informé(e) sans limite.

S'abonner

Abonnez-vous à la Newsletter !

Recevez gratuitement un concentré d’actualité chaque semaine.