L’essentiel :

1. La mesure législative projetée vise à lutter contre la fraude au financement des formations éligibles à une prise en charge au titre du CPF, par le traitement des informations relatives à l’inscription aux épreuves ou certifications d’une part, et relatives à la présentation à l’épreuve ou à la certification, d’autre part.

2. Le projet n’appelle pas d’observations particulières au regard de la règlementation en matière de protection des données à caractère personnel.

­­­­­­­­­­­­­­­­­­­­­­­­­­­­___________________

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (« loi informatique et libertés »), notamment son article 8.I.4°.a ;

Après avoir entendu le rapport de M. Philippe Latombe, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,

Adopte la délibération suivante :

I. La saisine

Le projet de disposition législative soumis à la CNIL pour avis est destiné à figurer dans le projet de loi relatif à la lutte contre la fraude sociale, fiscale et douanière.

Il concerne le compte personnel de formation (« CPF »), encadré par les articles L6323-1 et suivants du Code du travail, et consiste à modifier les conditions de prise en charge des frais de formation par les organismes financeurs.

L’objectif est à la fois de limiter certains schémas de fraude aux financements des formations, et de faciliter la réalisation des contrôles correspondants.

A ce titre, le projet met à la charge des ministères et des organismes de certification professionnelle l’obligation de communiquer au système d’information « compte professionnel de formation » (ci-après « SI-CPF »), mis en œuvre par la Caisse des dépôts et consignations (CDC), de nouvelles informations, ce qui se traduit par une modification de la liste des catégories de données susceptibles de faire l’objet de ce traitement.

La mesure projetée vise ainsi à modifier deux dispositions législatives existantes :

• l’article L. 6113-8 du code du travail qui, en l’état, contient une liste de données qui doivent être communiquées par les ministères et les organismes certificateurs au « SI-CPF » pour chaque personne ayant obtenu une certification ou une validation d’un bloc de compétences.

La mesure projetée ajoutera de nouvelles catégories de données, à savoir les informations sur l’inscription et sur la présentation aux épreuves de certification ou de validation des blocs de compétences, pour chaque personne qui a bénéficié d’une formation prise en charge dans le cadre du CPF, qu’elle ait, ou non, obtenu la certification ou la validation en question.

• l’article L. 6323-6 du code du travail qui, en l’état, contient la liste des critères d’éligibilité des formations à la prise en charge au titre du CPF.

La mesure projetée vise à ajouter la précision selon laquelle la non-présentation, sans motif légitime, aux épreuves de certification ou de validation des blocs des compétences conduit au rejet de la prise en charge des actions de formation correspondantes.

II. L’avis de la CNIL

A. Sur la finalité poursuivie par la mesure

Le projet soumis à l’avis de la commission implique la collecte de nouvelles catégories de données dans le cadre du traitement « SI-CPF ». Conformément à l’article 5 du RGPD, les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes.

En l’espèce, le ministère indique que la collecte projetée vise à lutter contre certains scénarios de fraude à la prise en charge des coûts de formation et de certification via le dispositif CPF dont notamment :

• la cession à des tiers, par des titulaires légitimes, de leurs droits à la formation;
• l’inscription de complaisance à des formations non-dispensées en vue de percevoir des rétrocommissions de la part des organismes de formation ;
• l’inscription à des formations réellement dispensées, mais non éligibles à la prise en charge au titre de CPF, moyennant une fausse déclaration sur la nature de la formation suivie.

Selon le ministère, "il est attendu [des mesures projetées] que les titulaires, responsabilisés grâce à cette obligation, ne voudront pas risquer un remboursement à la CDC des sommes indûment mobilisées et donc souscriront à des formations qui mènent réellement à la certification visée. Les titulaires de CPF seront sensibilisés, grâce à cette mesure, au fait que la mobilisation de leur CPF engage des fonds publics et, qu’à ce titre, ils ont également des devoirs à respecter."

Outre cet effet dissuasif, la mesure devrait également permettre aux agents de la CDC de mieux cibler les contrôles de la réalité et de l’éligibilité des formations suivies, en leur fournissant des indices susceptibles de faciliter la détection des incohérences dans le parcours de formation.

La CNIL relève que la lutte contre la fraude en matière de protection sociale constitue un objectif de valeur constitutionnelle. Une telle finalité est déterminée et légitime au regard de la réglementation en matière de protection des données à caractère personnel.

B. Sur les données traitées

En l’état, les modifications projetées prévoient deux nouvelles catégories de données dans le SI-CPF, à savoir les données relatives à l’inscription des personnes aux épreuves d’une part, et de la présentation aux épreuves, d’autre part.

Le traitement de ces données supplémentaires ne présente pas de sensibilité particulière.

La CNIL relève que les titulaires du CPF pourront, le cas échéant, invoquer certains motifs considérés comme légitimes en vue de justifier de l’absence de présentation aux épreuves pour l’obtention de la certification.

Les précisions fournies par le ministère indiquent qu’à ce stade, la liste des motifs considérés comme légitimes n’est pas finalisée et sera précisée "dans les conditions générales d’utilisation du service MonCompteFormation".

Sur ce point, dans l’hypothèse où la collecte des motifs d’absence aux épreuves de certification (et des justificatifs associés) conduirait à la conservation, au sein du traitement SI-CPF, de nouvelles catégories de données, particulièrement des données sensibles au sens de l’article 9.1 du RGPD, la CNIL attire l’attention du ministère sur la nécessité de mettre à jour les actes règlementaires encadrant ce traitement.

En effet, dans contexte actuel de multiplication des violations des données, elle reste particulièrement vigilante dans l’évaluation des garanties prévues en ce sens dans le cadre de la saisine à venir.

C. Sur la proportionnalité

Conformément à l’article 5.1.c du RGPD, les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données).

S’agissant des traitements ayant pour finalité la lutte contre la fraude, l’appréciation de cette condition nécessite en principe une mise en balance entre le bénéfice résultant de la mise en place du traitement projeté, d’une part, et l’évaluation de la nature et du volume des données traitées, ainsi que de l’atteinte que le traitement pourrait potentiellement apporter aux droits et intérêts des personnes concernées, d’autre part.

Invité à produire une estimation chiffrée des montants des fraudes que le dispositif projeté vise à endiguer, et de l’impact attendu de la mesure projetée sur ces montants, le ministère a indiqué ne pas pouvoir fournir d’estimation fiable de ces deux éléments.

Il a toutefois communiqué à la CNIL une synthèse des contrôles réalisés par la CDC en 2024. Réalisés sur un échantillon non-représentatif au sens statistique du terme, ces contrôles ont permis de sauvegarder environ 50 M € au titre des déréférencements de formations et de blocages de paiement en lien avec différents schémas de fraude.

Au demeurant, la CNIL constate, au cas d’espèce, que les deux catégories de données dont le traitement est projeté ne présentent pas de sensibilité particulière, et que leur traitement n’est pas de nature à affecter des droits autres que celui à la prise en charge financière du coût des formations, des certifications et des validations des blocs de compétences.

Dans ces conditions, la CNIL estime que les nouvelles catégories de données collectées sont adéquates, pertinentes et ne dépassent pas ce qui est nécessaire à la réalisation de la finalité poursuivie de lutte contre la fraude.

Les autres dispositions du projet de mesure législative n’appellent pas d’observations de la part de la CNIL.

La présidente,

M.-L. Denis