Délibération n° 2025-072 du 4 septembre 2025 portant avis sur un projet de mesure législative relative à l’obligation d’inscription et de présentation à l’examen de la certification ou du bloc de compétences en cas de mobilisation des fonds du compte personnel de formation (CPF)
| Numéro | 2025-072 |
| Date | jeudi 4 septembre 2025 |
| Nature | Délibération |
| État | En vigueur |
| Référence | CNILTEXT000052400616 |
|
N° de demande d’avis : 25012272 |
Thématiques : SI-CPF, formation, lutte contre la fraude, présence aux épreuves |
|
Organisme(s) à l’origine de la saisine : Ministère du Travail, de la Santé, des Solidarités et des Familles |
Fondement de la saisine : Article 8.I.4°.a de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés |
L’essentiel :
1. La mesure législative projetée vise à lutter contre la fraude au financement des formations éligibles à une prise en charge au titre du CPF, par le traitement des informations relatives à l’inscription aux épreuves ou certifications d’une part, et relatives à la présentation à l’épreuve ou à la certification, d’autre part.
2. Le projet n’appelle pas d’observations particulières au regard de la règlementation en matière de protection des données à caractère personnel.
___________________
La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ("loi informatique et libertés"), notamment son article 8.I.4°.a ;
Après avoir entendu le rapport de M. Philippe Latombe, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :
I. La saisine
Le projet de disposition législative soumis à la CNIL pour avis est destiné à figurer dans le projet de loi relatif à la lutte contre la fraude sociale, fiscale et douanière.
Il concerne le compte personnel de formation ("CPF"), encadré par les articles L6323-1 et suivants du Code du travail, et consiste à modifier les conditions de prise en charge des frais de formation par les organismes financeurs.
L’objectif est à la fois de limiter certains schémas de fraude aux financements des formations, et de faciliter la réalisation des contrôles correspondants.
A ce titre, le projet met à la charge des ministères et des organismes de certification professionnelle l’obligation de communiquer au système d’information "compte professionnel de formation" (ci-après "SI-CPF"), mis en œuvre par la Caisse des dépôts et consignations (CDC), de nouvelles informations, ce qui se traduit par une modification de la liste des catégories de données susceptibles de faire l’objet de ce traitement.
La mesure projetée vise ainsi à modifier deux dispositions législatives existantes :
La mesure projetée ajoutera de nouvelles catégories de données, à savoir les informations sur l’inscription et sur la présentation aux épreuves de certification ou de validation des blocs de compétences, pour chaque personne qui a bénéficié d’une formation prise en charge dans le cadre du CPF, qu’elle ait, ou non, obtenu la certification ou la validation en question.
La mesure projetée vise à ajouter la précision selon laquelle la non-présentation, sans motif légitime, aux épreuves de certification ou de validation des blocs des compétences conduit au rejet de la prise en charge des actions de formation correspondantes.
II. L’avis de la CNIL
A. Sur la finalité poursuivie par la mesure
Le projet soumis à l’avis de la commission implique la collecte de nouvelles catégories de données dans le cadre du traitement "SI-CPF". Conformément à l’article 5 du RGPD, les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes.
En l’espèce, le ministère indique que la collecte projetée vise à lutter contre certains scénarios de fraude à la prise en charge des coûts de formation et de certification via le dispositif CPF dont notamment :
Selon le ministère, "il est attendu [des mesures projetées] que les titulaires, responsabilisés grâce à cette obligation, ne voudront pas risquer un remboursement à la CDC des sommes indûment mobilisées et donc souscriront à des formations qui mènent réellement à la certification visée. Les titulaires de CPF seront sensibilisés, grâce à cette mesure, au fait que la mobilisation de leur CPF engage des fonds publics et, qu’à ce titre, ils ont également des devoirs à respecter."
Outre cet effet dissuasif, la mesure devrait également permettre aux agents de la CDC de mieux cibler les contrôles de la réalité et de l’éligibilité des formations suivies, en leur fournissant des indices susceptibles de faciliter la détection des incohérences dans le parcours de formation.
La CNIL relève que la lutte contre la fraude en matière de protection sociale constitue un objectif de valeur constitutionnelle. Une telle finalité est déterminée et légitime au regard de la réglementation en matière de protection des données à caractère personnel.
B. Sur les données traitées
En l’état, les modifications projetées prévoient deux nouvelles catégories de données dans le SI-CPF, à savoir les données relatives à l’inscription des personnes aux épreuves d’une part, et de la présentation aux épreuves, d’autre part.
Le traitement de ces données supplémentaires ne présente pas de sensibilité particulière.
La CNIL relève que les titulaires du CPF pourront, le cas échéant, invoquer certains motifs considérés comme légitimes en vue de justifier de l’absence de présentation aux épreuves pour l’obtention de la certification.
Les précisions fournies par le ministère indiquent qu’à ce stade, la liste des motifs considérés comme légitimes n’est pas finalisée et sera précisée "dans les conditions générales d’utilisation du service MonCompteFormation".
Sur ce point, dans l’hypothèse où la collecte des motifs d’absence aux épreuves de certification (et des justificatifs associés) conduirait à la conservation, au sein du traitement SI-CPF, de nouvelles catégories de données, particulièrement des données sensibles au sens de l’article 9.1 du RGPD, la CNIL attire l’attention du ministère sur la nécessité de mettre à jour les actes règlementaires encadrant ce traitement.
En effet, dans contexte actuel de multiplication des violations des données, elle reste particulièrement vigilante dans l’évaluation des garanties prévues en ce sens dans le cadre de la saisine à venir.
C. Sur la proportionnalité
Conformément à l’article 5.1.c du RGPD, les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données).
S’agissant des traitements ayant pour finalité la lutte contre la fraude, l’appréciation de cette condition nécessite en principe une mise en balance entre le bénéfice résultant de la mise en place du traitement projeté, d’une part, et l’évaluation de la nature et du volume des données traitées, ainsi que de l’atteinte que le traitement pourrait potentiellement apporter aux droits et intérêts des personnes concernées, d’autre part.
Invité à produire une estimation chiffrée des montants des fraudes que le dispositif projeté vise à endiguer, et de l’impact attendu de la mesure projetée sur ces montants, le ministère a indiqué ne pas pouvoir fournir d’estimation fiable de ces deux éléments.
Il a toutefois communiqué à la CNIL une synthèse des contrôles réalisés par la CDC en 2024. Réalisés sur un échantillon non-représentatif au sens statistique du terme, ces contrôles ont permis de sauvegarder environ 50 M € au titre des déréférencements de formations et de blocages de paiement en lien avec différents schémas de fraude.
Au demeurant, la CNIL constate, au cas d’espèce, que les deux catégories de données dont le traitement est projeté ne présentent pas de sensibilité particulière, et que leur traitement n’est pas de nature à affecter des droits autres que celui à la prise en charge financière du coût des formations, des certifications et des validations des blocs de compétences.
Dans ces conditions, la CNIL estime que les nouvelles catégories de données collectées sont adéquates, pertinentes et ne dépassent pas ce qui est nécessaire à la réalisation de la finalité poursuivie de lutte contre la fraude.
Les autres dispositions du projet de mesure législative n’appellent pas d’observations de la part de la CNIL.
La présidente,
M.-L. Denis
Délibération n° 2026-026 du 19 mars 2026 portant avis sur un projet de traitement à des fins de recherche scientifique relatif à la mise en oeuvre d’une analyse discursive et interactionnelle en intervention précoce en psychiatrie
L'Université de Montpellier Paul-Valéry a sollicité un avis de la CNIL sur un projet de recherche en psychiatrie impliquant le traitement de données sensibles. La Commission a émis un avis favorable, assorti de recommandations pour atténuer les risques de réidentification, notamment par la pseudonymisation et la suppression des données non pertinentes après analyse. Elle rappelle également l'obligation d'informer les personnes concernées et de vérifier l'application de la dérogation prévue pour la recherche scientifique.
19/03/2026
Délibération n° HABS-2026-001 du 19 mars 2026 habilitant des agents de la Commission nationale de l’informatique et des libertés à établir un rapport en application du cinquième alinéa de l'article 22-1 de la loi n° 78-17 du 6 janvier 1978 modifiée
La CNIL, en tant qu'organisme concerné, a adopté une délibération interne portant habilitation. Cette décision vise à habiliter vingt-cinq agents spécifiques de sa direction des contrôles et des sanctions à établir des rapports dans le cadre de ses pouvoirs de contrôle. Les habilitations sont accordées pour une durée de cinq ans et remplacent une précédente délibération. Aucune sanction n'est mentionnée, cette délibération étant un acte d'organisation interne de l'autorité.
19/03/2026
Délibération n° 2026-023 du 12 mars 2026 portant avis sur un projet de loi renforçant la sécurité du quotidien
La CNIL émet un avis sur un projet de loi du ministère de l'Intérieur visant à renforcer la sécurité du quotidien. Elle relève plusieurs manquements ou risques concernant l'élargissement de l'usage des caméras individuelles à des acteurs privés, l'expérimentation prolongée de traitements algorithmiques sur vidéosurveillance et drones, et la généralisation des dispositifs LAPI avec des durées de conservation allongées. La Commission souligne la nécessité de strictes limites, d'un meilleur encadrement et du respect du principe de proportionnalité pour ces dispositifs intrusifs, afin de protéger les libertés individuelles.
12/03/2026
Délibération n° 2026-019 du 05 mars 2026 portant avis sur un projet de traitement à des fins de recherche scientifique dont l’objectif est d’étudier l’état du droit de la filiation procréative des personnes transgenres (PROTRANS)
L'Université Lumière Lyon 2 a sollicité un avis de la CNIL pour un projet de recherche scientifique sur la filiation procréative des personnes transgenres, impliquant le traitement de données sensibles. La CNIL émet un avis favorable mais formule des recommandations, notamment sur la nécessité de clarifier la répartition des responsabilités entre les universités co-responsables du traitement. Elle souligne également les risques de collecte incidente de données lors des entretiens et de réidentification des personnes, en raison du faible nombre de participants et de la collecte d'informations telles que la commune de naissance dans les décisions de justice.
05/03/2026