Partage de données du GIP

Note sur le partage de données par les Start-up d’Etat du GIP

Sous réserve d’avoir une base juridique parmi celles identifiées de respecter les formalités du RGPD et de modifier les documents juridiques (politique de confidentialité, AIPD, fiche de traitement), les SE du GIP de l’inclusion peuvent échanger des données avec les partenaires publics ou privés dans les conditions énoncées ci-dessous.

1. Cadre juridique des échanges d’API, logiciels et données

A. Échange avec des partenaires publics

Le GIP de l’inclusion et les Start-up d’Etat qui le composent développent classiquement des API et logiciels, qui conformément à l’article L.300-2 du code des relations entre le public et l’administration, sont des « documents administratifs » au sens du droit.

Plusieurs règles autorisent cet échange de données, que les API et logiciels contiennent ou non des données.

S’ils ne contiennent pas de données à caractère personnel, l’article 1 de la loi n°2016-1321 du 7 octobre 2016 pour une République numérique impose l’échange de documents administratifs entre administrations (personnes publiques et personnes privées chargées d’une mission de service public) dès lors que cet échange est réalisé dans le cadre d’une mission de service public.

S’ils contiennent des données à caractère personnel, l’article 1 de la loi de 2016 l’autorise également, à condition de respecter la loi « informatique et libertés ».

Dans ce cas, il faut rappeler que le l’article 4 du RGPD considère une transmission ou échange de données comme un traitement de données. Aucune obligation supplémentaire et spécifique n’est légalement requise dans le cas de ce traitement spécifique.

En ce sens, la loi, reprenant les article 5 et 6 du RGPD impose de mobiliser une base juridique qui autorise le traitement, de respecter les droits des personnes, notamment le droit à l’information et de prendre les mesures techniques et organisationnelles permettant un traitement de données sécurisé.. Le Groupement de l’inclusion étant une personne publique, seule une mission d’intérêt public ou une obligation légale peut l’autoriser à transmettre ou échanger des données avec des personnes publiques.

Enfin, aucun responsable de traitement n’est autorisé à effectuer un traitement de données « incompatible » avec les finalités initiales.

B. Échange avec des partenaires privés

A l’exception des partenaires privés qui seraient des « administrations » au sens de l’article 1 de la loi de 2016, ou de ceux qui seraient, dans le domaine de l’insertion, prévus par l’article L.263-4-1 du code de l’action sociale et des familles, rien n’empêche le responsable de traitement à partager des informations avec ses partenaires privés, sous certaines conditions.

Dans ce cas, le cadre juridique posé par le RGPD s’applique aussi et celui-ci dispose que toute transmission de données est un traitement de données. Il est donc nécessaire d’avoir une base juridique pour l’effectuer. Comme toutes les personnes morales de droit public et conformément aux recommandations de la CNIL, la mission d’intérêt public doit être la base juridique mobilisée en priorité. Il nous faudra dès lors, justifier d’une telle mission du GIP et s’assurer que les acteurs sont des « acteurs de l’insertion et de l’emploi ». Autrement, l’obligation légale est également mobilisable.

Par ailleurs les partenaires devront à leur tour s’assurer de la légalité du traitement de données qu’ils souhaitent effectuer, et aucun ne pourra réaliser de prospection commerciale.

Par ailleurs, le responsable de traitements est tenu de respecter l’ensemble des dispositions relatives aux RGPD et notamment :

- Informer les personnes ;

- Modifier et inscrire l’ensemble des destinataires des données dans sa politique de confidentialité ;

- S’assurer que les échanges respectent les mesures de sécurité adéquates et suffisantes (voir notamment les modalités de sécurité obligatoire https://www.cnil.fr/fr/securite-securiser-les-echanges-avec-dautres-organismes ;

- Prévoir les modalités de partage et d’accès aux structures qui vont avoir accès aux données.

Enfin, pour rappel, aucun responsable de traitement n’est autorisé à effectuer un traitement de données « incompatible » avec les finalités initiales.

2. Application au GIP

A. Échange avec des partenaires publics ou des partenaires privés spécifiés par des textes

Dans le cadre d’échange de données avec des partenaires publics, et sous réserve du respect des obligations de documentation, d’information et de sécurité du RGPD (modification de la politique de confidentialité, fiche de traitement, AIPD si elle existe et mise en place d’un échange sécurisé), le GIP peut échanger des données à caractère personnel selon 3 fondements juridiques différents. Il n’est cependant possible d’échanger le NIR que sur le deuxième fondement.

Il pourra se fonder sur l’article 1 de la loi de 2016 pour une République numérique qui prévoit une obligation légale d’échange de documents administratifs entre administrations, y compris contenant des données à caractère personnel (ex : base de données, API).

Il pourra se fonder sur l’article L.263-4-1 du code de l’action sociale et des familles qui prévoit l’échange de données entre acteurs de l’inclusion déterminés, dès lors que ceux-ci fournissent un accompagnement personnalisé aux personnes rencontrant des difficultés sociales et professionnelles particulières dans le but de faciliter leur insertion sociale et professionnelle.

Il pourra enfin se fonder sur l’article L.118-4 du code des relations entre le public et l’administration, si l’échange permet de traiter une « demande » ou « d’informer une personne sur un droit.

Attention, néanmoins aucune prospection commerciale ne peut être réalisée sur ces fondements.

Nous sommes donc en mesure, selon la Start-up d’Etat, d’échanger avec ses partenaires publics des données à caractère personnel en toute légalité, à minima en se fondant sur l’article 1 de la loi de 2016 pour une République numérique. Cette interprétation est conforme aux récentes préconisations du Conseil d’Etat en matière d’action publique et de clarification des aspects juridiques[1], dès lors qu’on documente l’échange de données et que la finalité d’utilisation n’est pas « manifestement incompatible ».

B. Échange avec des partenaires privés non spécifiés par des textes

Dans le cadre de l’échange de données avec des partenaires privés non spécifiés par des textes, le GIP peut mobiliser ses propres missions d’intérêt public. Ici encore, tout échange ne sera légal que sous réserve du respect des obligations de documentation, d’information et de sécurité du RGPD (modification de la politique de confidentialité, fiche de traitement, AIPD si elle existe et mise en place d’un échange sécurisé).

Pour rappel, le GIP de l’inclusion a pour objet :

- construire et déployer à l'échelle nationale des services numériques publics (patrimoine commun) utilisés par les acteurs de l'insertion et de l'emploi pour faciliter les parcours des personnes en insertion, le travail des acteurs de l'insertion et l'engagement des employeurs, et pilotés par l'impact mesuré sur le terrain en associant les parties prenantes et les usagers à leur développement ;

- participer au développement de démarches numériques innovantes d'intérêt général, en particulier dans le domaine de l'insertion professionnelle.

L’arrêté du 19 avril 2022 précise également que le GIP doit permettre, dans l’exercice de ses missions :

- une gouvernance unifiée des services numériques concourant à l'insertion ;

- une meilleure circulation des données de parcours ;

Eu égard à ces missions, les SE du GIP doivent pouvoir échanger des données avec des partenaires privés qui sont des acteurs de l’insertion et de l’emploi et pour des missions ou objectifs du même champ d’action.

[1] Conseil d’Etat, Rapport demandé à la demande du premier ministre « Intelligence artificielle et action publique : construire la confiance, servir la performance », 31 mars 2022