Arrêté du 15 décembre 2022 relatif à l’exercice de la responsabilité conjointe du traitement de données à caractère personnel dénommé « I-MILO »

Le ministre du travail, du plein emploi et de l’insertion,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, notamment son article 26 ;
Vu le code du travail ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;
Vu le décret n° 2015-59 du 26 janvier 2015 modifié autorisant un traitement automatisé de données à caractère personnel relatif à l’accompagnement des jeunes pour l’accès à l’emploi et dénommé « I-MILO », notamment son article 1er ;
Vu l’arrêté du 17 novembre 2021 relatif au traitement automatisé de données à caractère personnel dénommé « I-MILO »,
Arrête :

Article 1

Les modalités d’exercice de la responsabilité conjointe du ministre chargé de l’emploi et des missions locales pour l’insertion professionnelle et sociale des jeunes sur le traitement de données à caractère personnel dénommé « I-MILO » sont définies à l’annexe au présent arrêté.

Article 2

Le délégué général à l’emploi et à la formation professionnelle est chargé de l’exécution du présent arrêté, qui sera publié au Journal officiel de la République française.

ANNEXE
CONDITIONS D’EXERCICE DE LA RESPONSABILITÉ CONJOINTE DU MINISTRE CHARGÉ DE L’EMPLOI ET DES MISSIONS LOCALES POUR L’INSERTION SOCIALE ET PROFESSIONNELLE DES JEUNES SUR LE TRAITEMENT DE DONNÉES À CARACTÈRE PERSONNEL DÉNOMMÉ « I-MILO »

Préambule

Conformément aux dispositions de l’article 26 du règlement (UE) du 27 avril 2016 susvisé, la présente annexe définit les obligations respectives auquel les responsables du traitement sont soumis aux fins d’assurer le respect des exigences du règlement précité, notamment en ce qui concerne l’exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations mentionnées aux articles 13 et 14 du même règlement.
Le décret du 26 janvier 2015 et l’arrêté du 17 novembre 2021 susvisés déterminent les caractéristiques essentielles du traitement, ainsi que les données traitées.
Conformément au e du 1 de l’article 6 du règlement précité, le traitement est nécessaire à l’exécution d’une mission d’intérêt public exercée par les responsables conjoints du traitement.

Chapitre I : Définitions

Au sens de la présente annexe, on entend par :
1° « responsables conjoints » : la délégation générale à l’emploi et à la formation professionnelle, par délégation du ministre chargé de l’emploi, et les missions locales dont les missions sont définies aux articles L. 5314-1 à L. 5314-4 du code du travail ;
2° « données à caractère personnel » (ou « données personnelles ») : toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;
3° « droits des personnes » : le droit pour une personne concernée d’obtenir notamment l’accès à ses données à caractère personnel ou la rectification de celles-ci ;
4° « sous-traitants » : toute personne physique ou morale amenée à traiter des données personnelles pour le compte d’un des responsables conjoints du traitement.

Chapitre II : Évolutions du traitement

Dans le cadre du maintien de la conformité du traitement de données à caractère personnel dénommé « I-MILO » aux dispositions légales et réglementaires en vigueur et afin d’adapter le traitement aux évolutions de la politique conduite par l’Etat en faveur de l’insertion des jeunes, la délégation générale à l’emploi et à la formation professionnelle apprécie la nécessité de modifier les finalités, les données collectées, ainsi que les destinataires de données et les traitements alimentant le traitement dénommé « I-MILO ».
Dans le cadre de l’amélioration des fonctionnalités du traitement, les missions locales peuvent demander à la délégation générale à l’emploi et la formation professionnelle la modification des finalités, des données collectées, ainsi que des destinataires de données et des traitements alimentant le traitement dénommé « I-MILO ».

Chapitre III : Analyse d’impact relative à la protection des données

La délégation générale à l’emploi et à la formation professionnelle est responsable de la mise à jour et du suivi de l’analyse d’impact relative à la protection des données concernant le traitement dénommé « I-MILO » et de sa mise à disposition aux missions locales.
Les missions locales communiquent à la délégation générale à l’emploi et à la formation professionnelle les mesures techniques et organisationnelles appropriées qu’elles mettent en place afin de garantir un niveau de sécurité adapté au risque.

Chapitre IV : Information des personnes

L’information des personnes concernées est réalisée par la mission locale conformément à l’article 7 du décret du 26 janvier 2015 susvisé.

Chapitre V : Exercice des droits

Chaque mission locale assure l’exercice des droits des personnes concernées (jeunes, utilisateurs habilités par les missions locales, personnels des partenaires) dans le respect des délais fixés par la réglementation. Elle peut, le cas échéant, solliciter les sous-traitants de la délégation générale à l’emploi et à la formation professionnelle chargé de la gestion du traitement.
Chaque mission locale met en place les procédures et les outils lui permettant de répondre à cette obligation. Elle tient un registre des demandes d’exercice de droits.

Chapitre VI : Information mutuelle et notification des violations de données à caractère personnel

I. – La délégation générale à l’emploi et à la formation professionnelle et la mission locale concernée s’informent mutuellement de toute violation de données à caractère personnel dès que possible et sans que ce délai ne puisse excéder vingt-quatre heures ouvrables après en avoir pris connaissance.
Cette information est transmise par voie électronique. Elle contient :
1° Une description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
2° Une description des conséquences probables de la violation de données à caractère personnel ;
3° Une description des mesures prises pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures permettant d’en atténuer les éventuelles conséquences négatives.
II. – La délégation générale à l’emploi et à la formation professionnelle et chaque mission locale concernée déterminent conjointement :
1° Les mesures complémentaires à prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures permettant d’en atténuer les éventuelles conséquences négatives ;
2° Si une notification à la commission nationale de l’informatique et des libertés est requise, en vertu de l’article 33 du règlement (UE) du 27 avril 2016 susvisé. Le cas échéant, la délégation générale à l’emploi et à la formation professionnelle complète la notification en ligne en utilisant le téléservice de la commission nationale de l’informatique et des libertés et transmet une copie à chaque mission locale concernée ;
3° Si une notification à la personne concernée est requise, en vertu de l’article 34 du même règlement.
Dans le cas où les responsables conjoints déterminent qu’une information des personnes concernées est requise ou si une telle information est exigée par la commission nationale de l’informatique et des libertés, la mission locale concernée définit, après accord de la délégation générale à l’emploi et à la formation professionnelle, les modalités de communication à la personne concernée de la violation de données.

Chapitre VII : Mesures de sécurité organisationnelles et techniques

I. – Afin de garantir la sécurité et la confidentialité des données traitées, les missions locales mettent en place et maintiennent :
1° Les mesures organisationnelles appropriées, notamment la sensibilisation des utilisateurs habilités par les missions locales et la revue régulière des habilitations ;
2° Les mesures physiques et techniques appropriées afin de garantir la sécurité des matériels utilisés par les missions locales.
II. – Afin de garantir la sécurité et la confidentialité des données traitées, la délégation générale à l’emploi et à la formation professionnelle met en place et maintient :
1° Les mesures physiques et techniques permettant de garantir la sécurité des matériels utilisés par la délégation générale à l’emploi et à la formation professionnelle, ses utilisateurs et ses sous-traitants ;
2° Les mesures physiques et techniques permettant de garantir la sécurité et la confidentialité des données stockées ;
3° Les mesures physiques et techniques permettant de garantir la sécurité de l’application I-MILO ;
4° Les mesures organisationnelles appropriées, notamment les relations avec ses sous-traitants et la revue des habilitations qu’elle accorde.

Chapitre VIII : Gestion des sous-traitants

La délégation générale à l’emploi et à la formation professionnelle choisit les sous-traitants et les sous-traitants ultérieurs nécessaires pour veiller à la sécurité du traitement de données personnelles.
Elle est responsable de la gestion et des relations avec les sous-traitants en matière de traitement de données personnelles.

Chapitre IX : Contrôle du traitement et audit

La délégation générale à l’emploi et à la formation professionnelle contrôle le respect par les sous-traitants de la réglementation applicable en matière de protection des données à caractère personnel.
Elle peut auditer et contrôler les sous-traitants, dans le cadre des stipulations contractuelles conclues avec ces derniers. Elle peut solliciter la mise en œuvre, par les sous-traitants, de mesures correctives permettant d’assurer le respect de la réglementation applicable en matière de protection des données à caractère personnel.
La délégation générale à l’emploi et à la formation professionnelle met à disposition des missions locales les résultats de ces audits.

Chapitre X : Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales

Sans préjudice des obligations des sous-traitants, la délégation générale à l’emploi et à la formation professionnelle est chargée de veiller au respect des dispositions du chapitre V du règlement (UE) du 27 avril 2016 susvisé.

Fait le 15 décembre 2022.

Pour le ministre et par délégation :
Le délégué général à l’emploi et à la formation professionnelle,
B. Lucas