En janvier 2023, les services du ministère de la fonction publique, aidés par les services du ministère de l’Économie, ont extrait les coordonnées des 2,3 millions agents publics en activité de l’Espace Numérique Sécurisé des Agents Publics (ENSAP), une application qui centralise l’ensemble des informations, des démarches et des documents mis à disposition par l’État. Ces coordonnées ont ensuite été utilisées pour envoyer un e-mail aux agents et vanter les mérites de la réforme des retraites en discussion au parlement.

La CNIL a rappelé aux deux ministères que les données contenues dans l’application ENSAP ne peuvent être traitées que pour les finalités initiales, définies par décret[1], c’est-à-dire : « disposer d’un outil d’échange et de communication avec l’administration », « disposer d’un espace d’archivage de document », « obtenir la simulation du montant de sa retraite », « effectuer des démarches en ligne », « consulter et mettre à jour ses données personnelles », « transmettre à des tiers, au moyen d’un lien sécurisé, des informations relatives à la paye » et « participer aux élections professionnelles ».

L’envoi d’e-mails de nature politique ne faisant pas partie de cette liste de finalités, les coordonnées des agents ont donc été utilisés pour des finalités incompatibles avec celles pour lesquelles les données ont été collectées, ce qui est contraire au décret fixant les modalités de l’ENSAP et contraire au RGPD[2].

De plus et « contrairement à ce que soutiennent les ministères », les e-mails envoyés aux agents « ne correspondent pas à une communication entre des agents publics et leur administration », mais à une « action de communication politique de la part de l’un des ministres porteurs de ladite réforme ».

Un rappel à l’ordre a été prononcé contre chaque ministère.

Ma réaction à cette décision

Si une personne, une société commerciale, un militant ou opposant politique avait extrait et utilisé les coordonnées de plus de 2 millions de personnes à fins politiques, une sanction significative aurait été prononcée, à juste titre. Les coupables de cette histoire ne sont toutefois pas des personnes « normales », mais des ministres qui bénéficient d’une immunité.

Cette impunité est même écrite dans la loi[3]. Les parlementaires ont, en effet, pris soin de préciser que la CNIL n’avait pas le pouvoir de sanctionner réellement l’État. Seuls des rappels à l’ordre sont permis. La CNIL a donc émis la seule sanction à sa disposition.

Tant que les représentants de l’État ne seront pas rendus responsables de leurs actes, les ministres continueront leurs pratiques de voyous en toute impunité. L’utilisation des services de l’État –financés par le contribuable– à des fins politiques devrait être lourdement sanctionnée. L’inverse est simplement injuste et injustifiée, particulièrement lorsque cela est fait pour changer les conditions d’accès à la retraite et imposer plusieurs années de travail supplémentaires.

On notera, enfin, que sur les 2 346 303 agents concernés, 1600 ont déposé une plainte à la CNIL. Grâce à ces 1600 personnes, qui ont pris un peu de leur temps pour faire valoir leurs droits, les deux ministres, Stanislas Guerini et Bruno Le Maire, savent que leurs agissements sont inacceptables.

Lire :

Notes et références

  1. Voir : Décret n° 2022-1446 du 21 novembre 2022 fixant les modalités d’utilisation du traitement automatisé de données à caractère personnel dénommé Espace numérique sécurisé des agents publics (ENSAP) ; les finalités sont décrites dans l’article 1.
  2. L’article 5-1-b du RGPD indique que « les données à caractère personnel doivent être […] collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ».
  3. Voir article 20-III de la loi Informatique et Libertés.
Voir les sigles et acronymes
  • RGPD : Règlement Général sur la Protection des Données
  • CNIL : Commission Nationale de l'Informatique et des Libertés