Organisations
Le compte personnel de formation : un portail pour quoi faire ? (1ère partie)
Après un suspense de 9 mois (le temps d’une gestation) et comme ils s’y étaient engagés, les pouvoirs publics nous proposent leur « expérience CPF » via un site ouvert depuis le 21 novembre à l’adresse suivante : http://www.moncompteformation.gouv.fr/.
Ce fameux portail internet doit donc permettre dans 5 semaines de comptabiliser les droits à la formation de 20 millions de salariés, de sécuriser les travailleurs (j’ai mon matelas d’heures disponibles) et peut former les millions de personnes en difficulté sociale et professionnelle du fait de la crise. Si la promesse était éclatante (simple pour le salarié, simple pour l'entreprise) qu'en est-il aujourd'hui ? Les promesses d'il y a deux ans (janvier 2013) seront-elles tenues le 5 janvier 2015 ?
Au-delà de l’interface, de la navigation sur ce site ou du petit logo censé symboliser le CPF, il faut bien s’interroger sur la qualité de la maîtrise d'œuvre de l’État : a-t-il réellement mesuré le niveau de technicité et de complexité du dispositif ou s’est-il lancé sans plan ni études précises dans ce méga-système d’information ?
Visite guidée du site
Commençons par le commencement de l’expérience CPF et les explications sur l’inscription au site moncompteformation.gouv.fr.
1. Qui peut s’inscrire ?
« Toutes les personnes de 16 ans et plus sont titulaires d’un compte personnel de formation ».
Première remarque : dès 16 ans (ou 15 ans pour les apprentis) toute personne résidant en France peut donc s’inscrire sur le site. En fait, ne sont exclues du site que les enfants et les seniors au-delà de leur vie active (même si on apprend au détour du site que « les personnes à la retraite qui reprennent une activité professionnelle en « cumul emploi-retraite » peuvent de nouveau utiliser leur compte personnel de formation »).
Remarquons à cette étape de notre analyse que sur les 40 millions de titulaires du compte que moins de 20 millions de personnes pourront en fait l’utiliser (ni les travailleurs indépendants, ni les non salariés, ni les auto-entrepreneurs, ni les fonctionnaires n’auront d’heures, ni même de possibilité de les utiliser).
Le premier mensonge du CPF apparaît comme une évidence : le CPF devait être universel dans la version du MEDEF en janvier 2013, cette universalité s’est perdue en route ou plutôt elle s’est transformée et hormis le statut de salarié (ou de chômeur indemnisé), le CPF ne servira à rien pour la moitié de ses titulaires au moins.
2. Comment s’inscrire ?
a. En fait, il s’agit d’une double inscription. La première étant automatique (le compte personnel de formation est créé automatiquement à partir du numéro de Sécurité sociale. Si ce numéro n’est pas reconnu, le titulaire devra se renseigner auprès de sa CPAM).
b. La seconde inscription est plus problématique et risque de bloquer pour nombre de salariés. Quelle est la procédure à suivre ?
Lors du premier accès et pour activer votre compte personnel de formation, votre identité sera vérifiée au moyen de :
- votre numéro de Sécurité sociale,
- votre civilité (madame ou monsieur),
- votre prénom,
- votre nom de naissance.
Vous devrez également renseigner :
- votre adresse électronique.
Vous définirez ensuite votre mot de passe.
Un courriel vous sera automatiquement envoyé vous demandant d’activer votre compte personnel de formation en cliquant sur un lien. Vous devrez cliquer sur ce lien d’activation de votre compte dans les 15 jours qui suivent votre inscription.
Après avoir cliqué sur ce lien, vous serez dirigé sur la page de connexion à votre compte et invité à vous y connecter à l’aide de votre numéro de Sécurité sociale et du mot de passe que vous aurez choisi.
Pour les connexions suivantes, seuls seront demandés votre numéro de Sécurité sociale et votre mot de passe.
3. Quelques remarques concernant la seconde inscription
a. Les salariés illettrés ou sans accès à internet devront passer par un tiers : employeur, collègue, famille, conseil divers. Quid donc de la confidentialité pour ces travailleurs ? Quelle garantie qu’un autre n’accèdera pas aux informations (supposées être confidentielles) portées sur le CPF ?
b. L’accès se fera toujours (lors de la préinscription ou lors d’un accès classique) sur utilisation du numéro NIR (ou numéro de Sécurité sociale) comme identifiant. La sécurité de l’accès est donc mise à mal dès le départ puisque la moitié des codes d’accès est extrêmement facile à déterminer. Le code NIR étant loin d’être secret et confidentiel.
Rappelons au passage qu'en 2007, la CNIL avait refusé l’utilisation du NIR pour la mise en œuvre du dossier médical personnalisé : « Tout Français possède un numéro d'inscription au répertoire de l'INSEE, ou NIR. C'est le fameux numéro de Sécurité sociale de treize chiffres, attribué à la naissance et résumant les données d'état-civil de son détenteur (sexe, année et mois de naissance, département, numéro de commune et, numéro d'acte de naissance). Le numéro d'INSEE est, en effet, déjà tellement utilisé que les patients peuvent craindre un « accès non contrôlé à leur dossier médical par l'intermédiaire de cet identifiant largement connu ». Il est vrai, et la CNIL le reconnaît elle-même, que ce numéro peut être partiellement reconstitué quand on connaît la date et le lieu de naissance de son titulaire, et si celui-ci est un homme ou une femme ».
Plus loin dans les formalités de préinscription
Après avoir entré ses diverses informations, le salarié doit communiquer une adresse électronique personnelle pour valider son inscription.
Il faudra donc que le salarié possède non seulement un accès à internet mais aussi une adresse électronique personnelle.
Que se passera-t-il si son adresse électronique est perdue, piratée ou que son fournisseur d’accès disparaît ?
En fait, on se demande bien pourquoi il faut passer par cette validation de l’inscription via une adresse internet si ce n’est pour limiter les frais en cas de perte du code d’accès. En effet, pour éviter de voir des dizaines (centaines) de milliers de personnes perdre leur code secret et appeler leur employeur, l’OPCA ou la Caisse des Dépôts, il est plus commode de faire retomber sur le salarié et son fournisseur de boîte électronique la responsabilité de gérer le code secret ou sa récupération automatique sur une adresse électronique.
La seconde faille du système repose donc sur la communication par courriel qui peut être :- lu à tout moment sur l’ordinateur qui emmagazine les courriels,
- lu par un employeur peu scrupuleux du fournisseur d’accès,
- intercepté par l'un des serveurs relayant le message.
Sur la confidentialité des courriels, la conclusion du site spécialisé arobase.org est sans appel : « par la conception même du courriel et ses protocoles, ce message circule à découvert (non chiffré ou crypté) sur internet. Un petit nombre de personnes peut, sans grand effort, y avoir accès » http://www.arobase.org/securite/failles.htm
Résumons donc cette première étape de l’inscription au CPF.
- Tous les actifs de France (et même au-delà) auront un compte personnel de formation mais la moitié d’entre eux seulement pourra l’utiliser.
- Les détenteurs d’un compte devront le valider via internet et avoir donc un accès personnel ou un tiers de confiance qui effectuera les manœuvres pour eux.
- Le code de Sécurité sociale servira d’identifiant aussi bien pour la préinscription que lors d’un accès ordinaire, au risque de compromettre la confidentialité du compte (pourtant garanti par la loi du 5 mars).
- Le recours à un courriel personnel limitera donc les personnes capables de s’inscrire seules sur le site.
Dans une seconde partie de cet article, nous examinerons le fonctionnement supposé une fois l'inscription faite de cette nouvelle usine à gaz pour la formation.