🟩 ArrĂȘtĂ© du 15 dĂ©cembre 2022 relatif Ă  l’exercice de la responsabilitĂ© conjointe du traitement de donnĂ©es Ă  caractĂšre personnel dĂ©nommĂ© « I-MILO »

Références

NOR : MTRD2218299A
ELI : https://www.legifrance.gouv.fr/eli/arrete/2022/12/15/MTRD2218299A/jo/texte
Source : JORF n°0055 du 5 mars 2023, texte n° 12

En-tĂȘte

Le ministre du travail, du plein emploi et de l’insertion,
Vu le rĂšglement (UE) 2016/679 du Parlement europĂ©en et du Conseil du 27 avril 2016 relatif Ă  la protection des personnes physiques Ă  l’Ă©gard du traitement des donnĂ©es Ă  caractĂšre personnel et Ă  la libre circulation de ces donnĂ©es, et abrogeant la directive 95/46/CE, notamment son article 26 ;
Vu le code du travail ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiĂ©e relative Ă  l’informatique, aux fichiers et aux libertĂ©s ;
Vu le dĂ©cret n° 2015-59 du 26 janvier 2015 modifiĂ© autorisant un traitement automatisĂ© de donnĂ©es Ă  caractĂšre personnel relatif Ă  l’accompagnement des jeunes pour l’accĂšs Ă  l’emploi et dĂ©nommĂ© « I-MILO », notamment son article 1er ;
Vu l’arrĂȘtĂ© du 17 novembre 2021 relatif au traitement automatisĂ© de donnĂ©es Ă  caractĂšre personnel dĂ©nommĂ© « I-MILO »,
ArrĂȘte :

Article 1

Les modalitĂ©s d’exercice de la responsabilitĂ© conjointe du ministre chargĂ© de l’emploi et des missions locales pour l’insertion professionnelle et sociale des jeunes sur le traitement de donnĂ©es Ă  caractĂšre personnel dĂ©nommĂ© « I-MILO » sont dĂ©finies Ă  l’annexe au prĂ©sent arrĂȘtĂ©.

Article 2

Le dĂ©lĂ©guĂ© gĂ©nĂ©ral Ă  l’emploi et Ă  la formation professionnelle est chargĂ© de l’exĂ©cution du prĂ©sent arrĂȘtĂ©, qui sera publiĂ© au Journal officiel de la RĂ©publique française.

Annexe

ANNEXE
CONDITIONS D’EXERCICE DE LA RESPONSABILITÉ CONJOINTE DU MINISTRE CHARGÉ DE L’EMPLOI ET DES MISSIONS LOCALES POUR L’INSERTION SOCIALE ET PROFESSIONNELLE DES JEUNES SUR LE TRAITEMENT DE DONNÉES À CARACTÈRE PERSONNEL DÉNOMMÉ « I-MILO »

Préambule

ConformĂ©ment aux dispositions de l’article 26 du rĂšglement (UE) du 27 avril 2016 susvisĂ©, la prĂ©sente annexe dĂ©finit les obligations respectives auquel les responsables du traitement sont soumis aux fins d’assurer le respect des exigences du rĂšglement prĂ©citĂ©, notamment en ce qui concerne l’exercice des droits de la personne concernĂ©e, et leurs obligations respectives quant Ă  la communication des informations mentionnĂ©es aux articles 13 et 14 du mĂȘme rĂšglement.
Le dĂ©cret du 26 janvier 2015 et l’arrĂȘtĂ© du 17 novembre 2021 susvisĂ©s dĂ©terminent les caractĂ©ristiques essentielles du traitement, ainsi que les donnĂ©es traitĂ©es.
ConformĂ©ment au e du 1 de l’article 6 du rĂšglement prĂ©citĂ©, le traitement est nĂ©cessaire Ă  l’exĂ©cution d’une mission d’intĂ©rĂȘt public exercĂ©e par les responsables conjoints du traitement.

Chapitre I : DĂ©finitions

Au sens de la présente annexe, on entend par :
1° « responsables conjoints » : la dĂ©lĂ©gation gĂ©nĂ©rale Ă  l’emploi et Ă  la formation professionnelle, par dĂ©lĂ©gation du ministre chargĂ© de l’emploi, et les missions locales dont les missions sont dĂ©finies aux articles L. 5314-1 Ă  L. 5314-4 du code du travail ;
2° « donnĂ©es Ă  caractĂšre personnel » (ou « donnĂ©es personnelles ») : toute information se rapportant Ă  une personne physique identifiĂ©e ou identifiable, directement ou indirectement, notamment par rĂ©fĂ©rence Ă  un identifiant tel qu’un nom, un numĂ©ro d’identification, des donnĂ©es de localisation, un identifiant en ligne, ou Ă  un ou plusieurs Ă©lĂ©ments spĂ©cifiques propres Ă  son identitĂ© physique, physiologique, gĂ©nĂ©tique, psychique, Ă©conomique, culturelle ou sociale ;
3° « droits des personnes » : le droit pour une personne concernĂ©e d’obtenir notamment l’accĂšs Ă  ses donnĂ©es Ă  caractĂšre personnel ou la rectification de celles-ci ;
4° « sous-traitants » : toute personne physique ou morale amenĂ©e Ă  traiter des donnĂ©es personnelles pour le compte d’un des responsables conjoints du traitement.

Chapitre II : Évolutions du traitement

Dans le cadre du maintien de la conformitĂ© du traitement de donnĂ©es Ă  caractĂšre personnel dĂ©nommĂ© « I-MILO » aux dispositions lĂ©gales et rĂ©glementaires en vigueur et afin d’adapter le traitement aux Ă©volutions de la politique conduite par l’Etat en faveur de l’insertion des jeunes, la dĂ©lĂ©gation gĂ©nĂ©rale Ă  l’emploi et Ă  la formation professionnelle apprĂ©cie la nĂ©cessitĂ© de modifier les finalitĂ©s, les donnĂ©es collectĂ©es, ainsi que les destinataires de donnĂ©es et les traitements alimentant le traitement dĂ©nommĂ© « I-MILO ».
Dans le cadre de l’amĂ©lioration des fonctionnalitĂ©s du traitement, les missions locales peuvent demander Ă  la dĂ©lĂ©gation gĂ©nĂ©rale Ă  l’emploi et la formation professionnelle la modification des finalitĂ©s, des donnĂ©es collectĂ©es, ainsi que des destinataires de donnĂ©es et des traitements alimentant le traitement dĂ©nommĂ© « I-MILO ».

Chapitre III : Analyse d’impact relative Ă  la protection des donnĂ©es

La dĂ©lĂ©gation gĂ©nĂ©rale Ă  l’emploi et Ă  la formation professionnelle est responsable de la mise Ă  jour et du suivi de l’analyse d’impact relative Ă  la protection des donnĂ©es concernant le traitement dĂ©nommĂ© « I-MILO » et de sa mise Ă  disposition aux missions locales.
Les missions locales communiquent Ă  la dĂ©lĂ©gation gĂ©nĂ©rale Ă  l’emploi et Ă  la formation professionnelle les mesures techniques et organisationnelles appropriĂ©es qu’elles mettent en place afin de garantir un niveau de sĂ©curitĂ© adaptĂ© au risque.

Chapitre IV : Information des personnes

L’information des personnes concernĂ©es est rĂ©alisĂ©e par la mission locale conformĂ©ment Ă  l’article 7 du dĂ©cret du 26 janvier 2015 susvisĂ©.

Chapitre V : Exercice des droits

Chaque mission locale assure l’exercice des droits des personnes concernĂ©es (jeunes, utilisateurs habilitĂ©s par les missions locales, personnels des partenaires) dans le respect des dĂ©lais fixĂ©s par la rĂ©glementation. Elle peut, le cas Ă©chĂ©ant, solliciter les sous-traitants de la dĂ©lĂ©gation gĂ©nĂ©rale Ă  l’emploi et Ă  la formation professionnelle chargĂ© de la gestion du traitement.
Chaque mission locale met en place les procĂ©dures et les outils lui permettant de rĂ©pondre Ă  cette obligation. Elle tient un registre des demandes d’exercice de droits.

Chapitre VI : Information mutuelle et notification des violations de données à caractÚre personnel

I. – La dĂ©lĂ©gation gĂ©nĂ©rale Ă  l’emploi et Ă  la formation professionnelle et la mission locale concernĂ©e s’informent mutuellement de toute violation de donnĂ©es Ă  caractĂšre personnel dĂšs que possible et sans que ce dĂ©lai ne puisse excĂ©der vingt-quatre heures ouvrables aprĂšs en avoir pris connaissance.
Cette information est transmise par voie Ă©lectronique. Elle contient :
1° Une description de la nature de la violation de donnĂ©es Ă  caractĂšre personnel y compris, si possible, les catĂ©gories et le nombre approximatif de personnes concernĂ©es par la violation et les catĂ©gories et le nombre approximatif d’enregistrements de donnĂ©es Ă  caractĂšre personnel concernĂ©s ;
2° Une description des conséquences probables de la violation de données à caractÚre personnel ;
3° Une description des mesures prises pour remĂ©dier Ă  la violation de donnĂ©es Ă  caractĂšre personnel, y compris, le cas Ă©chĂ©ant, les mesures permettant d’en attĂ©nuer les Ă©ventuelles consĂ©quences nĂ©gatives.
II. – La dĂ©lĂ©gation gĂ©nĂ©rale Ă  l’emploi et Ă  la formation professionnelle et chaque mission locale concernĂ©e dĂ©terminent conjointement :
1° Les mesures complĂ©mentaires Ă  prendre pour remĂ©dier Ă  la violation de donnĂ©es Ă  caractĂšre personnel, y compris, le cas Ă©chĂ©ant, les mesures permettant d’en attĂ©nuer les Ă©ventuelles consĂ©quences nĂ©gatives ;
2° Si une notification Ă  la commission nationale de l’informatique et des libertĂ©s est requise, en vertu de l’article 33 du rĂšglement (UE) du 27 avril 2016 susvisĂ©. Le cas Ă©chĂ©ant, la dĂ©lĂ©gation gĂ©nĂ©rale Ă  l’emploi et Ă  la formation professionnelle complĂšte la notification en ligne en utilisant le tĂ©lĂ©service de la commission nationale de l’informatique et des libertĂ©s et transmet une copie Ă  chaque mission locale concernĂ©e ;
3° Si une notification Ă  la personne concernĂ©e est requise, en vertu de l’article 34 du mĂȘme rĂšglement.
Dans le cas oĂč les responsables conjoints dĂ©terminent qu’une information des personnes concernĂ©es est requise ou si une telle information est exigĂ©e par la commission nationale de l’informatique et des libertĂ©s, la mission locale concernĂ©e dĂ©finit, aprĂšs accord de la dĂ©lĂ©gation gĂ©nĂ©rale Ă  l’emploi et Ă  la formation professionnelle, les modalitĂ©s de communication Ă  la personne concernĂ©e de la violation de donnĂ©es.

Chapitre VII : Mesures de sécurité organisationnelles et techniques

I. – Afin de garantir la sĂ©curitĂ© et la confidentialitĂ© des donnĂ©es traitĂ©es, les missions locales mettent en place et maintiennent :
1° Les mesures organisationnelles appropriées, notamment la sensibilisation des utilisateurs habilités par les missions locales et la revue réguliÚre des habilitations ;
2° Les mesures physiques et techniques appropriées afin de garantir la sécurité des matériels utilisés par les missions locales.
II. – Afin de garantir la sĂ©curitĂ© et la confidentialitĂ© des donnĂ©es traitĂ©es, la dĂ©lĂ©gation gĂ©nĂ©rale Ă  l’emploi et Ă  la formation professionnelle met en place et maintient :
1° Les mesures physiques et techniques permettant de garantir la sĂ©curitĂ© des matĂ©riels utilisĂ©s par la dĂ©lĂ©gation gĂ©nĂ©rale Ă  l’emploi et Ă  la formation professionnelle, ses utilisateurs et ses sous-traitants ;
2° Les mesures physiques et techniques permettant de garantir la sécurité et la confidentialité des données stockées ;
3° Les mesures physiques et techniques permettant de garantir la sĂ©curitĂ© de l’application I-MILO ;
4° Les mesures organisationnelles appropriĂ©es, notamment les relations avec ses sous-traitants et la revue des habilitations qu’elle accorde.

Chapitre VIII : Gestion des sous-traitants

La dĂ©lĂ©gation gĂ©nĂ©rale Ă  l’emploi et Ă  la formation professionnelle choisit les sous-traitants et les sous-traitants ultĂ©rieurs nĂ©cessaires pour veiller Ă  la sĂ©curitĂ© du traitement de donnĂ©es personnelles.
Elle est responsable de la gestion et des relations avec les sous-traitants en matiÚre de traitement de données personnelles.

Chapitre IX : ContrĂŽle du traitement et audit

La dĂ©lĂ©gation gĂ©nĂ©rale Ă  l’emploi et Ă  la formation professionnelle contrĂŽle le respect par les sous-traitants de la rĂ©glementation applicable en matiĂšre de protection des donnĂ©es Ă  caractĂšre personnel.
Elle peut auditer et contrĂŽler les sous-traitants, dans le cadre des stipulations contractuelles conclues avec ces derniers. Elle peut solliciter la mise en Ɠuvre, par les sous-traitants, de mesures correctives permettant d’assurer le respect de la rĂ©glementation applicable en matiĂšre de protection des donnĂ©es Ă  caractĂšre personnel.
La dĂ©lĂ©gation gĂ©nĂ©rale Ă  l’emploi et Ă  la formation professionnelle met Ă  disposition des missions locales les rĂ©sultats de ces audits.

Chapitre X : Transferts de données à caractÚre personnel vers des pays tiers ou à des organisations internationales

Sans prĂ©judice des obligations des sous-traitants, la dĂ©lĂ©gation gĂ©nĂ©rale Ă  l’emploi et Ă  la formation professionnelle est chargĂ©e de veiller au respect des dispositions du chapitre V du rĂšglement (UE) du 27 avril 2016 susvisĂ©.

Date et signature(s)

Fait le 15 décembre 2022.

Pour le ministre et par délégation :
Le dĂ©lĂ©guĂ© gĂ©nĂ©ral Ă  l’emploi et Ă  la formation professionnelle,
B. Lucas