La CNIL annonce instruire des plaintes concernant une vidéo envoyée par Stanislas Guérini. Le ministre de la Transformation et de la Fonction publique a envoyé jeudi 26 janvier par email une vidéo adressant un message aux agents publics pour présenter les points qui les concernent du projet de loi de réforme des retraites. « Depuis, de nombreuses personnes interrogent la CNIL sur la conformité de ce message aux règles de la protection des données », explique l'autorité administrative qui a été destinataire de plaintes à ce sujet.
La CNIL annonce s'être « immédiatement rapprochée du ministère et l'a interrogé sur le ou les fichiers utilisés pour procéder à cette communication ».
L'autorité promet de vérifier si l'envoi du message a bien respecté la protection des données personnelles pour créer le ou les fichiers de contacts. « Elle devra notamment vérifier si l’envoi du message était conforme aux finalités du fichier qui a été utilisé », affirme la CNIL en parlant d'elle-même.
Commentaires (42)
#1
Si one ne sait pas si c’était des e-mail pro ou perso, cette news ne nous avance malheureusement à rien !
#1.1
e-mail perso, celui fourni au site des impôts…
source
#2
personnellement c’est sur le mail de mon compte ensap
#3
#4
C’est même pire que ça, le mail a été envoyé par les impôts, le From est : “Direction Générale des Finances Publiques” [email protected]
#4.1
Je confirme, message provenant des impôts
#5
Le mail a été adressé sur l’adresse que j’ai donnée à l’ENSAP.
Ils n’ont pas le droit de faire de communication politique (masquée sous une forme “pédagogique” par ce canal. Ils sont clairement hors des clous.
J’aimerais prendre contact avec la CNIL, suis allé sur leur site (touffu) mais n’ai pas trouvé le canal que je cherchais … si quelqu’un peut aider, je prends ;)
#5.1
Cela est probablement faux.
C’est plus probablement comme dit ici par
et
par l’adresse donnée à l’ENSAP qui est chargées des rémunérations et pensions. C’est elle qui met à disposition les documents de paie et de pension.
Que l’adresse mail fournie soit la même que celle des impôts est assez normal.
De plus, c’est bien plus facile d’utiliser cette base de données pour adresser un mail aux fonctionnaires que de les rechercher dans la base des impôts où cette information ne figure probablement pas aussi simplement.
L’ENSAP est une plateforme gérée par la DGFiP, d’où la confusion (peut-être volontaire de l’UNSA qui ne peut l’ignorer).
Par contre, l’envoi de vidéo par un ministre n’est pas dans la liste des traitements prévus des données dont dispose ce service.
Pour HamsterJovial, avant de contacter la CNIl il faut réclamer auprès de ceux qui t’ont envoyé le mail (ils te diront que tout va bien et qu’ils n’ont pas commis de faute) et après seulement porter plainte auprès de la CNIL avec le lien que l’on t’a donné plus haut.
Pour la première étape, écrit qu DPD : [email protected] en indiquant que dans leur page RGPD (second lien) “ de disposer d’un outil d’échange et de communication avec l’administration ;” ne devrait pas aller jusqu’à un envoi en masse de la parole d’un ministre sur un sujet politique.
Un moyen d’échange avec l’administration étant par nature un moyen individuel.
Ensuite, dans ta plainte à la CNIL, tu envoies ta réclamation au DPD et sa réponse (si pas de réponse sous un mois, tu envoie quand même à la CNIL).
#5.2
Non, il n’y a pas besoin de contacter le DPO pour saisir la CNIL, il faut seulement que la personne concernée considère que le traitement de données à caractère personnel la concernant constitue une violation du RGPD (article 77 du RGPD).
La CNIL promeut les droits des personnes (et de contacter le DPO avant de la saisir) car souvent les personnes contactent la CNIL pour supprimer leurs données ou s’opposer à un traitement sans avoir exercer ses droits. Ici on peut très facilement considérer que le RGPD est violé et ainsi directement déposer plainte, dont voici un mini-guide fait rapidement : https://dav.li/plainteCNILretraitesGuerini.html
#5.3
Tu as raison à la lecture stricte du RGPD, par contre, quand on va sur le site de la CNIL par le lien donné plus haut, on n’atteindra pas la page que tu as donnée si on n’est pas passé par la phase dpo.
Comme tu as manifestement reçu le mail, ça serait bien de nous le montrer en entier (anonymisé), là, on ne discute pas à “armes égales” !
Ton texte de plainte est assez mauvais. Tu supposes probablement à tort que ton adresse mail a été fournie au ministère de Guérini et aussi probablement à tort qu’elle provient du service des impôts (j’ai expliqué pourquoi plus haut).
La bonne manière de procéder est donc de commencer par écrire au ministère de Guérini pour savoir s’il dispose d’informations personnelles te concernant et d’où elles proviennent comme tu ne les lui a pas fournies alors que tu as reçu un message de sa part.
S’il te réponds oui, bingo : violation.
Si c’est non, écrire au dpo de la DGFIP qui lui est concerné parce qu’il y a cette mention du site des impôts (ce qui est probablement une erreur).
Comme c’est probablement l’ENSAP qui a envoyé, autant les contacter directement.
Porter plainte auprès de la CNIL qui traite déjà le sujet ne sert plus à rien si ce n’est qu’à les encombrer de plaintes identiques alors qu’ils sont déjà surchargés.
Mais écrire au dpd de la DGFIP, me semble plus efficace : il va en avoir assez d’être spammé et va faire passer le mot en interne qu’il faut arrêter ce genre de conneries. Oui, je suis un peu pervers.
#5.4
Je viens de comparer les en-têtes du mail de Guerini, et celles d’un vrai mail de l’ENSAP, et il y a effectivement la même X-Originating-IP, et la même chaîne de Received from. Donc on peut effectivement penser à qqun à l’ENSAP qui s’est emêlé les pinceaux, et que ça vient bien de chez eux contrairement à ce qui est dit dans le mail.
Les “précisions complémentaires” citées dans le mail sont ici: https://www.transformation.gouv.fr/files/presse/Reforme_retraites_fonction_publique.PDF
D’après l’ENSAP, mon adresse email sert notamment à “disposer d’un outil d’échange et de communication avec l’administration”: https://ensap.gouv.fr/web/information/rgpd . Je suppose que c’est ça qui justifie pour eux l’envoi de ce mail.
Je me demande quand même pourquoi l’administration souhaite communiquer avec moi au sujet d’un projet de loi même avant même qu’il soit débattu à l’Assemblée, où il risque fort d’être amendé, voire rejeté.
#6
Normalement, tu dois pouvoir trouver ton bonheur ici :
https://www.cnil.fr/fr/plaintes/internet
#7
Donc oui, là c’est de l’info pertinente !!
J’ai reçu le même genre de mail de la direction y a 15jours mais sur adresse pro donc communication interne entreprise, aucun problème CNIL.
#8
Donc si je comprends bien, ils ont carrément utilisé le système de mailing list des impôts pour envoyer une communication sur la réforme des retraites ?
Y en a qui vont avoir des problèmes
#9
#10
Pareil, c’est un peu l’information de base qu’il manque dans cette news. Perdu du temps à la relire 2 fois…
#11
C’est bien un mail envoyé dans la boîte perso
#12
La suite fictive: l’État (=c’est à dire nous) est semoncé voire condamné par la CNIL pour ces faits. Aucun responsable n’est pénalisé. Les fauteurs continuent leur carrière dans la haute administration ou trouvent une place confortable dans le privé.
#12.1
+1
Ce n’est pas la première fois que des politiques détournent une base de courriels pour communiquer (de mémoire un président de région envers de nouveaux bacheliers, ou des irrégularités lors des campagnes présidentielle/législatives).
Il faudrait que cela aboutisse à une condamnation pour faire rentrer dans le crâne aux politiques la fin de ces abus (même si je me doute que la condamnation ne devrait pas être 3 ans de prisons ou 3 millions d’amende).
#13
Encore une fois ce mail a été envoyé sur le mail fourni lors de la création de l’espace ensap, qui sert, pour les fonctionnaires, à stocker les bulletins de paie et de pension et également à consulter ses périodes de cotisation qui sont valables pour la retraite.
L’État va donc se cacher derrière une utilité d’expliquer cette réforme à de futurs pensionnés et non à des fonctionnaires. Je ne suis pas assez calé pour savoir ce que la CNIL en dira bien qu’à titre personnel je considère ça comme une forme de propagande envers les fonctionnaires.
#14
C’est peut-être à partir d’un fichier d’adresse de l’ENSAP que ce message a été adressé, mais c’est bien les Impots qui l’ont émis.
Il y a même l’avertissement suivant à la fin du message : “Si vous ne souhaitez plus recevoir ce type de courriel, merci de vous désabonner dans votre espace Particulier, rubrique « Gérer mon profil » sur impots.gouv.fr”
#14.1
L’ENSAP étant édité par le Service des Retraites de l’État, qui est une direction de la DGFIP, le mail provient bien de la DGFIP, mais pas des “impôts”, ce sont des services différents au sein de la DGFIP
#14.2
Pourtant le mail parle bien des impots:
Donc ce n’est peut-être pas le même service de la DGFIP mais on passe bien par le service des impôts avec son numéro fiscal pour choisir de ne plus recevoir ce genre de communication…
#14.3
Je pense que c’est simplement un copier-coller foireux en plus à partir d’un message assez ancien : “Gérer mon profil” n’existe pas écrit comme ça sur impots.gouv.fr Et le seul truc approchant dans le Profil du compte, c’est fait pour accepter ou refuser la communication des impôts soit par mail soit par SMS.
Tout ça ça sent l’amateurisme parce qu’un ministre a demandé qu’on fasse vite un mail pour qu’il puisse porter la bonne parole avec sa vidéo.
Par contre, je veux bien que l’on mette le message anonymisé dans les commentaires afin de mieux l’étudier. Si en plus, on a les entêtes en texte brut, ça serait encore mieux.
#14.4
Voilà tu trouveras plus bas un copier/coller du texte du mail (désolé pour la forme, c’est vraiment un simple copier/coller de tout le mail, qui ne reprend donc pas la mise en page).
Si l’UNSA (et d’autres) ont au départ uniquement parlé d’adresses perso, c’est que rien n’était clair vendredi, certains ayant reçu le mail sur leur boite professionnelle personnelle, d’autre sur une adresse personnelle. Seuls ceux l’ayant reçu sur une adresse perso se sont donc plaint. En discutant entre nous (et en lisant aussi les diverses réactions sur les sites et journaux), on a fini par comprendre que l’adresse utilisée était celle renseignée lors de la création de son compte sur le site de l’ENSAP, adresse qui peut donc être totalement différente de celle utilisée pour son espace particulier sur le site impots.gouv.fr ; perso, j’avais ainsi utilisé mon adresse professionnelle personnelle. C’est donc sur celle-ci que j’ai reçu le message jeudi 26. Je n’ai donc pas crié au scandale (j’aurais peut-être dû), pensant seulement que la vidéo, disponible sur un autre site depuis le 23 janvier, ne devait pas avoir eu un grand nombre de vues pour que le ministre de la fonction publique se sente “obligé” de nous envoyer un lien vers sa propagande gouvernementale.
Cependant, le fait de savoir désormais que ce sont les adresses utilisées pour la création de compte sur le site de l’ENSAP pose un vrai problème. À l’origine, c’était juste un site permettant de consulter ses bulletins de paie lorsque l’état les a dématérialisé fin 2016. Puis, assez rapidement, les éléments relatif aux retraites ont été ajoutés. Mais il ne nous a jamais été rien demandé sur l’usage de l’adresse mail fournie (nous n’avons donc jamais accepté que cette adresse puisse être utilisée pour autre chose, comme par exemple du mailing).
Pour en revenir au mail, le voici donc :
Réforme des retraites : Message de Stanislas GUERINI
Date: Jeu 16:37
Photo du contact
De: Direction Générale des Finances [email protected]
À
Corps du courriel
Réforme des retraites
Message de Stanislas Guerini aux agents de la Fonction publique
Chers agents publics,
Quelques jours après la présentation de la réforme des retraites, j’ai souhaité m’adresser directement à vous pour vous présenter les mesures qui vous concernent :
Pour visualiser la vidéo, cliquez ici.
Vous trouverez des précisions complémentaires sur l’ensemble des dispositifs d’accompagnement de l’allongement des carrières en cliquant ici.
L’ensemble de vos administrations pourra dans les prochains jours répondre à toutes les questions que vous pourriez vous poser sur votre situation personnelle.
Bien sincèrement,
Stanislas GUERINI
Ministre de la Transformation et de la Fonction publique
Si vous ne souhaitez plus recevoir ce type de courriel, merci de vous désabonner dans votre espace Particulier, rubrique « Gérer mon profil » sur impots.gouv.fr
#14.5
Merci, il manque juste les liens sous les”ici”.
Je pense que mes messages précédents étaient dans le vrai (en particulier pour le copier-coller foireux avec impots.gouv.fr qui n’a rien à voir et pour l’ENSAP : le fait que tu l’as reçu sur ton adresse pro le confirme).
En fait, de part la nature des traitements fait par l’ENSAP, il est normal que tu n’aies pas le droit d’opposition sur les traitements y compris pour la réception de message de l’administration.
Par contre, l’utilisation faite ici me semble bien problématique (sous réserve du contenu des “précisions complémentaires sur l’ensemble des dispositifs d’accompagnement de l’allongement des carrières” qui pourrait justifier la communication ou même de la vidéo que je n’ai pas vue).
#14.6
Voici le mail au complet: https://transfert.free.fr/IR7nF6
#14.7
Merci à vous deux.
En fait, j’ai quand même bien fait de mettre une réserve dans mon dernier message.
Tant la vidéo que le PDF apportent des précisions spécifiques aux fonctionnaires sur cette prochaine réforme. Ça peut rentrer dans “de disposer d’un outil d’échange et de communication avec l’administration”. C’est bien de la communication d’informations spécifiques aux fonctionnaires, donc le canal choisi pourrait être approprié. Par contre, ce n’est pas l’administration qui a communiqué ici, mais un ministre et c’est peut-être là ce qui peut faire tiquer la CNIL.
Avec tous les éléments, on voit que ce n’est pas si évident de conclure sur une violation du RGPD. Bon courage à la CNIL.
C’est quand même dommage que pas un seul site d’information ait fait une analyse de ce type.
Je ne parle pas de NXI : une brève n’est pas appropriée pour creuser le sujet.
#14.8
Vous racontez n’importe quoi.
#14.9
Ceci est un peu court jeune homme.
Qu’est-ce qui est faux dans ce que j’ai dit en restant prudent ?
Merci d’argumenter.
#15
Effectivement, ce que je trouve vraiment très bizarre du coup :/
En tout cas aucun doute sur le fait que ce soit le fichier ensap puisque j’utilise des adresses uniques pour chaque site
#16
Merci d’avoir préciser ce qu’est ensap. je connaissais pas du tout. y’en a des fonctionnaires ici!
#17
Mon employeur (fonction publique) a fait passé un message pour expliquer la réforme et que la gréve ce n’était pas une solution car la réforme était indispensable, sur le journal mensuel de mon administration… Une première… Qui est très mal passée.
#18
Enfin la problématique est aussi qu’ils communiquent sur un truc pas encore voté ni mis en application. Étrange non pour une administration ?
#18.1
Je ne pense pas qu’en soi, ça soit un problème par rapport au RGPD et donc à la CNIL, mais je peux me tromper. Tu as un point précis du RGPD à mettre en avant ?
#18.2
J’aurais tendance à comparer ça à de la communication d’entreprise quand “la Direction” met en valeur sa stratégie auprès de ses employés.
#19
Je bloque un peu là-dessus aussi. Est-ce qu’on recevra un mail aussi pour nous “expliquer” à quel point les projets de loi de l’opposition sont formidables ?
#20
Bah non pour moi c’est de la communication politique avec tous les éléments de langages qu’on nous abreuve. C’est le ministre qui parle sur son projet de loi pas encore voté. Pour une entreprise ce n’est pas pareil. Elle peut très bien dire a ses employés le futur pour un projet non validé.
#20.1
Il a pourtant raison, c’est le ministre de la Transformation et de la Fonction publique qui a communiqué sur les implications du projet pour les fonctionnaires, pas celui du Travail qui est celui qui porte le projet de réforme de la retraite.
#21
#22
Pour info, un article sur le sujet du site acteurspublics.fr : https://acteurspublics.fr/articles/le-courriel-de-stanislas-guerini-sur-les-retraites-est-il-hors-des-clous
Le courriel de Stanislas Guerini sur les retraites est-il “hors des clous” ?
Le ministre de la Transformation et de la Fonction publiques est-il allé trop loin en envoyant à l’ensemble des agents publics un mail contenant une vidéo pour défendre la réforme des retraites ? Selon plusieurs juristes interrogés par Acteurs publics, il semblerait que oui.
“Il nous faut travailler plus longtemps pour préserver notre modèle de retraites par répartition. Ce modèle est aujourd’hui fragilisé car déficitaire, c’est une réalité qui justifie le fait que nous devions faire cette réforme des retraites.” Ainsi débute le discours de Stanislas Guerini, ministre de la Transformation et de la Fonction publiques, dans la fameuse vidéo envoyée par la direction générale des finances publiques (DGFIP) par courriel à l’ensemble des agents publics jeudi 26 janvier, parfois sur leur adresse professionnelle, d’autres fois sur leur adresse personnelle, et même à certains d’entre eux ayant quitté le secteur public depuis plusieurs mois, voire années. Le soir-même, plusieurs agents publics se sont étonnés du procédé sur les réseaux sociaux.
Le lendemain matin, la grogne se répand sur Twitter parmi les agents. Les syndicats leur emboîtent rapidement le pas pour dénoncer l“utilisation des adresses personnelles fournies à l’administration” pour de la “propagande politique”. Dans la foulée, le gendarme des données personnelles, la Cnil, annonce “procéder à des vérifications” à la suite de nombreux dépôts de plaintes – près de 1 500 au 31 janvier. Depuis lors, des ministres, à commencer par Stanislas Guerini lui-même, s’évertuent sur les plateaux TV à éteindre l’incendie. Mais qu’en est-il vraiment ? Le ministre est-il allé trop loin et a-t-il violé le RGPD pour défendre une réforme contestée ?
Pour trancher, il faut d’abord répondre à plusieurs questions. Quel fichier a été utilisé pour envoyer ce message ? Le ministre pouvait-il l’utiliser ? Le message était-il à caractère informatif ou politique ? Et surtout, l’envoi d’un tel message à partir de ce fichier était-il prévu dans les finalités initiales fixées par décret, et auxquelles les agents ont consenti en renseignant leur adresse ?
Un envoi à partir du fichier de l’Ensap
Sollicité par Acteurs publics, le cabinet du ministre reconnaît avoir souhaité “adresser un message vidéo à l’ensemble des agents de la fonction publique d’État sur la réforme des retraites et les mesures les concernant”, en utilisant un fichier géré par la DGFIP pour son “espace numérique sécurisé de l’agent public” (Ensap). Ce qui explique qu’elle en soit l’émettrice. “L’envoi a donc bien été assuré par la DGFIP, comme elle a l’habitude de le faire”, ajoute le cabinet mais, se défend-il, “aucune transmission de fichier de contacts n’a été faite entre la DGFIP et le MTFP”.
Le cabinet renvoie au décret d’encadrement des usages des données personnelles par l’Ensap, plate-forme qui permet aux agents de retrouver leurs bulletins de paye et de pensions et d’échanger via une messagerie avec les gestionnaires de l’administration. Pour le ministère de la Transformation et de la Fonction publiques, le fichier constituait probablement le meilleur moyen de toucher d’un seul coup l’ensemble des agents et anciens agents publics. Le cabinet invoque également les conditions générales d’utilisation de l’Ensap. “En acceptant les présentes conditions générales d’utilisation vous acceptez d’être contacté-e via l’adresse de messagerie collectée lors de votre création de compte, pour tous contacts nécessaires à nos échanges”, précisent ces CGU.
La question de la base légale
Ces explications ne convainquent toutefois pas les juristes contactés par Acteurs publics. “Le fait que le ministère se dédouane sur la DGFIP en disant qu’elle n’a pas eu accès au fichier illustre une méconnaissance du RGPD”, relève Emmanuel Netter, professeur de droit privé à l’université d’Avignon. Pour ce spécialiste du droit du numérique, cette histoire de courriel rappelle un autre épisode. En 2018, Laurent Wauquiez se fait prendre à détourner une base de numéros de téléphone de lycéens pour leur souhaiter une bonne rentrée par SMS, alors que cette base ne pouvait servir qu’à les informer sur les incidents relatifs aux transports scolaires. “À l’époque, la Cnil n’avait semble-t-il pas trouvé grand chose à redire, mais la situation n’a pas grand chose à voir avec l’affaire de Guerini”, fait observer le juriste.
Pour Suzanne Vergnolle, maître de conférences en droit du numérique au Conservatoire national des arts et métiers (Cnam), le problème tient déjà à la base légale du traitement de données et à son responsable. “Cela pourrait peut-être tenir si l’envoi avait été à l’initiative de Bruno Le Maire, qui est le ministre de tutelle de la DGFIP”, explique la juriste, qui ajoute : “Quand on choisit de renseigner son adresse personnelle dans l’Ensap, on le fait souvent pour une raison : retrouver plus tard l’ensemble de ses bulletins de paye, et non pour recevoir des messages politiques.” D’ailleurs, dans les paramètres de leur espace, une seule option d’envoi peut être cochée ou décochée par les agents : “Notification courriel à la réception d’un nouveau bulletin”.
Interprétation extensive des finalités
Pour défendre sa démarche, le ministère rappelle également un précédent : lorsqu’Amélie de Montchalin avait envoyé, en novembre 2021, aux agents publics un courriel pour les informer des changements apportés par la réforme de la protection sociale complémentaire. Là encore, l’analogie ne convainc pas les juristes consultés. “Dans le cas d’Amélie de Montchalin, il s’agissait d’une réforme adoptée, et donc d’un message informatif, avant l’entrée en application de nouvelles mesures, alors que dans le cas de Stanislas Guerini, il s’agit plutôt de véhiculer un message politique aux agents, pour qu’ils acceptent la réforme et évitent de faire la grève”, souligne Suzanne Vergnolle.
D’autant que le courriel du ministre a été envoyé à quelques jours seulement de la deuxième journée de mobilisation syndicale, le 31 janvier. Même lecture du côté d’Emmanuel Netter : “La finalité d’un fichier peut s’interpréter de manière souple et extensive, pour permettre au RGPD de résister à l’épreuve du temps et de l’évolution des technologies, d’autant plus qu’il est difficile de prévoir, dans la rédaction d’un décret, l’ensemble des finalités possibles. Sauf qu’en l’occurrence, il ne s’agit vraiment pas d’un message à caractère informatif en matière de paye et de pensions, mais visant à convaincre du bien-fondé d’une décision politique et d’une réforme purement hypothétique à ce stade”.
Stanislas Guerini s’expose-t-il pour autant à une quelconque sanction de la part de la Cnil ? “C’est la question à 1 000 euros”, répond Thibault Douville, professeur à l’université de Caen Normandie. “Étant donné que la nature du message est difficile à analyser (promotionnel ou informatif) et que de sa nature dépend la conformité du traitement, cela ne va pas être simple” de se prononcer pour l’autorité indépendante.
Pour Emmanuel Netter, le caractère politique du message ne fait aucun doute, mais ce n’est pas pour autant que le ministère sera sanctionné. Au mieux l’autorité froncera-t-elle les sourcils. Mais le ministère ne risque probablement rien, aucune amende ne pouvant être prononcée à l’encontre d’une administration. D’autant que, comme le souligne Suzanne Vergnolle, le préjudice subi par les agents n’est pas immense à l’échelle individuelle ni facile à caractériser.
par Emile Marzolf
2 février 2023, 15:58, mis à jour le 2 février 2023, 16:29
#22.1
Merci de ce texte.
Ça correspond assez à ce que je disais et c’est pour cela que je souhaitais bon courage à la CNIL.