La CNIL encadre la gestion des données personnelles destinées au système d’information du Compte personnel de formation

26 août
2015

À l’instar des données de santé, la gestion des données à caractère personnel par le système d’information du compte personnel de formation (SI-CPF) nécessite d’équilibrer principe de précaution et souplesse. Précisément ce que vient de faire la Commission nationale de l’informatique et des libertés (CNIL) en indiquant la possibilité d’une « autorisation unique ». Explications.

Choisie pour assurer fluidité et rapidité à la gestion des comptes personnels de formation, la dématérialisation de la gestion des droits inscrits ou mentionnés au CPF implique de nombreux acteurs. Parmi ceux-ci, des acteurs de la formation professionnelle non autorisés à traiter les numéros d’inscription des personnes au répertoire national d’identification des personnes physiques du titulaire d’un compte accompagné de son nom.

Le principe de « l’autorisation unique »

Saisie par le ministre du Travail, de l’Emploi, de la Formation professionnelle et du Dialogue social, la CNIL explique dans sa délibération du 9 juillet 2015 qu’il est toutefois possible de déroger : « dans la mesure où la connexion au SI-CPF est indispensable pour bénéficier d’une formation professionnelle et impose de renseigner le numéro d’inscription […], la Commission a souhaité alléger les formalités ». Aussi devient-il possible pour ces acteurs de bénéficier d’une « autorisation unique de traitements de données à caractère personnel mis en œuvre aux fins de gestion des comptes personnels de formation ».

Un spectre limité de données

Encadrée, cette autorisation bénéficie aux « organismes de droit privé habilités à intervenir dans le domaine de la formation professionnelle aux fins de mise en œuvre des CPF […] et de se connecter au SI-CPF [...] ». Rappelant le concept de données « adéquates, pertinentes et non excessives au regard de la finalité poursuivie », la CNIL énumère de façon limitative les données susceptibles d’être collectées. Ceci, dans cinq domaines : informations personnelles du titulaire du compte ; données correspondantes aux comptes d’heures ; données des dossiers de formation ; passeports d’orientation, de formation et de compétences ; annuaires techniques des gestionnaires des organismes.

Des données à date de conservation limitée

L’article 3 de la délibération le précise, ces données « peuvent être conservées au maximum un mois à l’issue des opérations requises pour la gestion des comptes personnels de formation ».

  • Délibération n° 2015-227 du 9 juillet 2015 portant autorisation unique de traitements de données à caractère personnel mis en œuvre aux fins de gestion des comptes personnels de formation – JORF n° 1072 du 28 juillet 2015, texte n° 75 : format PDF – 136 ko

Nicolas Deguerry
Article paru dans Le Quotidien de la Formation du 31 juillet 2015.

Mis en ligne le 26 août 2015
Publicité

catalogue 2018-2019