🟦 Décret du 21 novembre 2022 fixant les modalités d’utilisation du traitement automatisé de données à caractère personnel dénommé Espace numérique sécurisé des agents publics (ENSAP)

Références

NOR : ECOE2226927D
ELI : https://www.legifrance.gouv.fr/eli/decret/2022/11/21/ECOE2226927D/jo/texte
Alias : https://www.legifrance.gouv.fr/eli/decret/2022/11/21/2022-1446/jo/texte
Source : JORF n°0270 du 22 novembre 2022, texte n° 2

Informations

Publics concernés : agents de l’Etat, des établissements publics de l’Etat, des collectivités locales, des établissements publics de santé, des établissements et services publics sociaux et médico-sociaux et des établissements publics locaux.

Objet : caractéristiques essentielles et modalités d’utilisation de la plateforme dénommée Espace numérique sécurisé des agents publics (ENSAP).

Entrée en vigueur : le décret entrer en vigueur le lendemain de sa publication.

Notice : le décret définit les caractéristiques essentielles et les modalités d’utilisation de la plateforme dénommée Espace numérique sécurisé des agents publics (ENSAP), créée et administrée par la direction générale des finances publiques (DGFiP) et offrant divers services personnalisés relatifs à la paye, aux pensions de l’Etat et aux élections professionnelles. Il définit ainsi les finalités du traitement, la nature et la durée de conservation des données enregistrées ainsi que les catégories de personnes y ayant accès ou en étant destinataires. Il précise également les modalités de traçabilité des opérations et les modalités d’exercice des droits des personnes concernées. Le décret procède à sa mise en conformité au regard du règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données, dit RGPD).

Références : le décret peut être consulté sur le site Légifrance (https://www.legifrance.gouv.fr)

En-tête

La Première ministre,
Sur le rapport du ministre de l’économie, des finances et de la souveraineté industrielle et numérique,
Vu le règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données, dit RGPD), et abrogeant la directive n° 95/46/CE ;
Vu le code des pensions civiles et militaires de retraite ;
Vu le code des pensions militaires d’invalidité et des victimes de la guerre ;
Vu le code de la sécurité sociale, notamment ses articles L. 161-17 et suivants ;
Vu le code général de la fonction publique, notamment ses articles L. 137-3 et L. 712-1 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;
Vu le décret n° 62-765 du 6 juillet 1962 portant règlement sur la comptabilité publique en ce qui concerne la liquidation des traitements des personnels de l’Etat, notamment son article 1er ;
Vu le décret n° 86-83 du 17 janvier 1986 modifié relatif aux dispositions générales applicables aux agents contractuels de l’Etat ;
Vu le décret n° 2009-1052 du 26 août 2009 modifié portant création du service des retraites de l’Etat ;
Vu le décret n° 2010-1690 du 30 décembre 2010 modifié relatif aux procédures financières et comptables spécifiques des forces armées ;
Vu le décret n° 2011-595 du 26 mai 2011 modifié relatif aux conditions et modalités de mise en Å“uvre du vote électronique par internet pour l’élection des représentants du personnel au sein des instances de représentation du personnel de la fonction publique de l’Etat ;
Vu le décret n° 2012-1246 du 7 novembre 2012 modifié relatif à la gestion budgétaire et comptable publique, notamment son article 128 ;
Vu le décret n° 2016-1073 du 3 août 2016 modifié relatif à la mise à disposition et à la conservation sur support électronique des bulletins de paye et de solde des agents publics ;
Vu le décret n° 2019-341 du 19 avril 2019 modifié relatif à la mise en Å“uvre de traitements comportant l’usage du numéro d’inscription au répertoire national d’identification des personnes physiques ou nécessitant la consultation de ce répertoire ;
Vu la délibération n° 2019-053 du 25 avril 2019 portant adoption d’une recommandation relative à la sécurité des systèmes de vote par correspondance électronique, notamment via internet ;
Vu la délibération n° 2022-109 du 10 novembre 2022 portant avis de la Commission nationale de l’informatique et des libertés,
Décrète :

Article 1

La direction générale des finances publiques met en Å“uvre le traitement automatisé de données à caractère personnel dénommé « Espace numérique sécurisé des agents publics » (ENSAP), nécessaire au respect d’une obligation légale, conformément au c du 1 de l’article 6 du règlement (UE) n° 2016/679 du 27 avril 2016 susvisé.
Ce traitement a pour finalité de mettre à disposition des agents publics un espace numérique sécurisé offrant des services personnalisés relatifs aux pensions de l’Etat, à la paye et aux élections des représentants du personnel dans la fonction publique de l’Etat.
A ce titre, il permet à l’agent public :
1° De disposer d’un outil d’échange et de communication avec l’administration ;
2° De disposer d’un espace d’archivage de documents relatifs aux pensions de l’Etat (notamment estimations de pension, titres de pension, bulletins de pensions) et à la paye (notamment bulletins de paye, bulletins de solde, bulletins de solde de réserve, attestations fiscales) ;
3° D’obtenir la simulation du montant de sa retraite servie par le régime des retraites de l’Etat ;
4° D’effectuer des démarches en ligne ;
5° De consulter et mettre à jour ses données personnelles ;
6° De transmettre à des tiers, au moyen d’un lien sécurisé, des informations relatives à la paye et aux pensions ;
7° De participer aux élections professionnelles dans la fonction publique de l’Etat, par la mise à disposition de la carte électorale.

Article 2

Les informations et catégories de données à caractère personnel enregistrées dans le traitement sont énumérées à l’annexe au présent décret.

Article 3

Les données de connexion des usagers font l’objet d’une journalisation qui se traduit par la conservation des éléments d’identification de l’usager, des date et heure de la connexion et de la nature de l’intervention.

Article 4

I. – Les données relatives à la paye sont conservées dans les conditions prévues à l’article 3 du décret du 3 août 2016 susvisé.
Le numéro de compte bancaire utilisé dans le cadre de la procédure d’identification à l’ENSAP n’est pas conservé au-delà de la première connexion à l’espace. Il est mis à jour à chaque collecte d’un bulletin de paye pour permettre à l’agent de procéder à sa demande de départ à la retraite en ligne et demander le paiement de sa pension sur ce compte ou d’en changer dans sa demande.
II. – Les données relatives aux pensions sont conservées pendant cinq ans à compter de la date de décès de l’agent.
III. – Les données relatives à la carte électorale pour les élections professionnelles par vote électronique sont conservées jusqu’à l’épuisement des délais de recours contre le résultat desdites élections.
IV. – Les données de connexion mentionnées à l’article 3 sont conservées pendant douze mois à compter de leur enregistrement.

Article 5

Seuls les usagers ont accès à l’espace numérique sécurisé des agents publics.
Peuvent être destinataires de tout ou partie des données mentionnées à l’article 2, à raison de leurs attributions respectives et dans la limite du besoin d’en connaître :

– les agents des services gestionnaires des rémunérations dont l’agent public dépend ;
– les agents des services de gestion des ressources humaines dont l’agent public dépend ;
– les agents des services liaison-rémunération ;
– les agents des services gestionnaires de retraite ;
– les agents en charge de l’assistance informatique des utilisateurs ;
– les agents des organismes membres du groupement mentionné au VI de l’article L. 161-17 du code de la sécurité sociale ;
– les destinataires désignés par l’agent pour les documents qu’il décide de communiquer.

Sont destinataires des informations mentionnées à l’article 3 les agents de la direction générale des finances publiques en charge des statistiques et de la sécurité informatique.

Article 6

Les droits d’accès et de rectification du traitement prévus aux articles 15 et 16 du règlement (UE) 2016/679 du 27 avril 2016 susvisé s’exercent :

– pour les données concernant la paye : auprès du service gestionnaire dont l’agent relève ;
– pour les données concernant la solde : auprès des services du ministère de la défense ;
– pour les données concernant les pensions : auprès du service des retraites de l’Etat, bureau en charge du support, de l’infrastructure et de la production, 10, boulevard Gaston-Doumergue, 44964 Nantes Cedex 9 ;
– pour les données concernant la carte électorale : auprès du service gestionnaire dont l’agent relève.

Les droits à l’effacement, à la limitation et d’opposition prévus aux articles 17, 18 et 21 du règlement (UE) 2016/679 du 27 avril 2016 susvisé ne s’appliquent pas au présent traitement.

Article 7

L’arrêté du 23 décembre 2016 portant création d’un traitement automatisé de données à caractère personnel dénommé Espace numérique sécurisé des agents publics (ENSAP) est abrogé.

Article 8

Le ministre de l’économie, des finances et de la souveraineté industrielle et numérique et le ministre délégué auprès du ministre de l’économie, des finances et de la souveraineté industrielle et numérique, chargé des comptes publics, sont chargés, chacun en ce qui les concerne, de l’exécution du présent décret, qui sera publié au Journal officiel de la République française.

Annexe

ANNEXE
INFORMATIONS ET CATÉGORIES DE DONNÉES À CARACTÈRE PERSONNEL ENREGISTRÉES DANS LE TRAITEMENT ENSAP

I. – Les données relatives à l’identification de l’agent public de l’Etat.
Numéro d’inscription au répertoire national d’identification des personnes physiques (NIR) avec sa date de certification.
Nom de naissance.
Nom d’usage.
Prénoms.
Sexe.
Date et lieu de naissance.
Date du décès.
Coordonnées : numéro(s) de téléphone(s), adresse de l’agent et, le cas échéant, celle de ses ayants cause, adresse(s) de messagerie(s) électronique(s).
Numéro de compte bancaire.
II. – Les données relatives à la vie personnelle et à la vie professionnelle dans le cadre des pensions de l’Etat.
A. – Situation familiale.
Nature et date de début de la situation conjugale actuelle.
Etat civil des enfants : nom et prénom, sexe, date et lieu de naissance, lien de filiation avec l’assuré et l’autre parent, date de décès éventuel, périodes d’éducation.
B. – Représentant légal : identité, adresse de messagerie électronique principale et secondaire, adresse postale, numéro de téléphone principal et secondaire.
C. – Situation militaire : service national (périodes et formes).
D. – Situation professionnelle, scolarité-formation, déroulement de carrière.
Dates de nomination.
Dates des services accomplis.
Catégories de services.
Positions statutaires.
Positions statutaires successives.
Quotité de temps de travail dans les différentes positions.
Affectation.
Périodes de congés et absences.
Périodes ouvrant droit à bonification : nature et valeur.
Majoration de durée d’assurance.
Périodes pouvant être prises en compte pour la retraite en vertu de textes particuliers.
Temps d’étude ouvrant droit au bénéfice d’études préliminaires.
III. – Les informations d’ordre économique et financier.
A. – Données économiques et financières.
Revenus : montant des payes, soldes et pensions, montant des salaires imposables sur l’année.
Coordonnées bancaires.
Informations relatives aux pensions :

– emplois, grades et échelons ;
– indices de rémunération et bonifications indiciaires ;
– périodes de services de non-titulaires validés ;
– périodes d’études rachetées ;
– périodes de services à temps partiel ayant donné lieu à surcotisation ;
– éléments calculés dans le cadre inter-régimes et permettant notamment l’édition des documents du droit à l’information retraite ;
– données relatives à l’invalidité du fonctionnaire ou militaire : taux d’invalidité, degré d’incapacité professionnelle ;
– données relatives à l’invalidité des enfants : taux d’invalidité, degré d’incapacité ;
– données relatives à l’invalidité du conjoint : taux d’invalidité, degré d’incapacité.

B. – Données sociales.
Données sociales contenues dans les bulletins de paye, de solde et titres de pension.
Montants et taux des cotisations agent et des contributions employeur.
IV. – Toute pièce comportant ces données transmises par l’usager, par l’employeur et par le service gestionnaire de retraite.
V. – Données contenues dans les cartes électorales destinées aux élections professionnelles électroniques.
Nom d’usage.
Prénom.
Identifiant de connexion au système de vote électronique.
VI. – Données d’authentification et de connexion.

Date et signature(s)

Fait le 21 novembre 2022.

Élisabeth Borne
Par la Première ministre :

Le ministre de l’économie, des finances et de la souveraineté industrielle et numérique,
Bruno Le Maire

Le ministre délégué auprès du ministre de l’économie, des finances et de la souveraineté industrielle et numérique, chargé des comptes publics,
Gabriel Attal