Les faits sont clairs et les mots sont durs. Dans un texte publié sur son site le 14 novembre 2023, la Commission nationale de l'informatique et des libertés (CNIL) « rappelle à l’ordre » deux ministères, celui de la Transformation et de la Fonction publiques et celui de l’Économie et des Finances, pour avoir envoyé en janvier 2023 à plus de 2,3 millions de fonctionnaires actifs un courriel de propagande sur la réforme des retraites, alors en cours d’adoption. Elle leur adresse par conséquent « une sanction pour avoir utilisé un fichier administratif à des fins de communication politique ».
La CNIL reproche aux services de Stanislas Guérini d’avoir utilisé pour sa communication un fichier nommé ENSAP qui relève de Bercy et qui sert à communiquer avec les agents, via leurs adresses courriel personnelles, sur des sujets confidentiels et sécurisés : accès à leurs bulletins de paie par exemple.
Le courriel qui a transité par l’ENSAP en janvier 2023 renvoyait notamment à un message vidéo du ministre dont la CNIL relève qu’il « visait à convaincre du bien-fondé du projet de réforme des retraites, laquelle n’était pas encore votée ». L’administration a donc utilisé les données personnelles de ses agents « de manière incompatible avec l’objectif de ce fichier ».
Si les rappels à l’ordre de la CNIL sont courants, le fait qu’elle s’en prenne au gouvernement, beaucoup plus rare, entraîne plusieurs enseignements positifs. « L’idée générale que j’en retire, c’est qu’il s’agit d’une manifestation de l’État de droit, commente Jean Siro, le délégué à la protection des données (DPO) de la CFE-CGC. Cela montre que la CNIL, autorité administrative indépendante, n’a pas de crainte révérencielle vis-à-vis de l’État, du pouvoir économique ou d’un Google, et que personne n’est au-dessus des lois. »
Autre paramètre : la CNIL a été saisie dans cette affaire de 1 600 plaintes émanant principalement de fonctionnaires destinataires du courriel. « Cela confirme la grande facilité d’accès à la CNIL pour un citoyen, observe Jean Siro. Il suffit d’aller sur son site, de porter plainte, de charger des pièces justificatives, etc. La commission est équipée pour traiter l’intégralité des 15 000 demandes qu’elle reçoit par an. »
Enfin, le DPO, dans son rôle, en tire un message aux adhérents et militants CFE-CGC : « Cette sanction constitue un avertissement pour nous tous qui traitons des données sensibles. Chaque syndicaliste doit faire attention quand il s’inscrit dans une démarche de communication : est-ce que l'action envisagée est compatible avec la finalité initiale du fichier ? »
Gilles Lockhart