CPF : contrôle des prestataires de formation

Un décret du 30 décembre 2024 prévoit que des traitements automatisés de données peuvent être organisés entre la Caisse des dépôts, les organismes de sécurité sociale et l'administration fiscale afin de vérifier le respect des prescriptions de la législation fiscale et de sécurité sociale par l'organisme de formation. Il précise de nouvelles finalités, catégories de données et durées de conservation du système d'information du compte personnel de formation (MCF) ainsi que du SI Mon activité formation (MAF), afin de renforcer le contrôle des organismes de formation.

Collecte d'informations par la Caisse des dépôts auprès des organismes de sécurité sociale

Les prestataires de formation qui souhaitent être référencés sur la plateforme Mon Compte Formation (MCF) doivent remplir plusieurs conditions au titre desquelles figurent l'obligation de respecter les prescriptions de la législation fiscale et de sécurité sociale (Art. L6323-9-1 du Code du travail, 3°). Pour faciliter la vérification de respect de cette obligation, un décret du 30 décembre 2024 prévoit que la Caisse des dépôts recueille auprès des organismes de sécurité sociale, ainsi que de l'administration fiscale, pour chaque prestataire référencé sur la plateforme MCF, les éléments suivants :

1. Les numéros d'identification SIREN et SIRET ;
2. La confirmation du respect par le prestataire mentionné à l'article L6351-1 des prescriptions de la législation fiscale et de sécurité sociale.

La communication de ces éléments s'effectue par voie dématérialisée (Art. R6323-41 nouveau du Code du travail).

Nouvelles finalités de collecte et durées de conservation des données

Par ailleurs, toujours dans un objectif de contrôle des prestataires référencés sur MCF, le décret du 30 décembre 2024 élargit les finalités d'accès aux données personnelles du SI MCF à :

• la vérification des conditions d'éligibilité du prestataire pour être référencé sur le service dématérialisé ;
• la gestion des conditions générales d'utilisation du service dématérialisé, le contrôle de leur respect ainsi que la mise en œuvre et le suivi des mesures visant à prévenir et sanctionner les manquements à ces conditions générales d'utilisation (Art. R6323-36 et R6323-37 modifiés du Code du travail).

On notera également que le décret du 30 décembre 2024 fixe à 5 ans à compter de la fin du référencement, la durée de conservation des données à caractère personnel et des informations relatives aux prestataires référencés sur MCF pour les nécessités des contrôles (Art. R6323-39 modifié du Code du travail).

En cas de refus de référencement, les données et informations sont conservées pendant une durée d'1 an à compter de la date de notification du refus par la Caisse des dépôts (Art. R6323-39 modifié du Code du travail).

Enfin, dans le cadre des missions de lutte contre la fraude et de gestion du recouvrement, plusieurs données et informations (relatives aux titulaires, aux paiement, ...) peuvent être conservées pendant une durée de 20 ans à compter de leur enregistrement dans le traitement (Art. R6323-39 modifié du Code du travail).

De la même manière, et toujours dans le but de renforcer le contrôle des organismes intervenant sur le marché du CPF, le SI "Mon activité formation" (MAF) voit ses finalités élargit aux échanges d'informations portant sur les informations relatives aux prestataires référencés sur le SI MCF  (Art. R6351-14 modifié du Code du travail).

Accès de la Caisse des dépôts aux données de plusieurs fichiers

Le traitement SI CPF  est alimenté par le fichier national des permis de conduire (Art. R225-5 du Code de la route) ainsi que par le répertoire de gestion des carrières unique (Art. R161-69-8 et R 161-69-12 du Code de la sécurité sociale) afin de faciliter la collecte des données nécessaires à  la constitution du passeport d'orientation, de formation et de compétences.

Enfin, le décret du 30 décembre 2024 prévoit les agents de la CDC sont destinataires des informations figurant au fichier national des interdits de gérer concernant les responsables et membres du personnels des organismes de formation (Art. R128-6 du Code du commerce). Cette faculté est également étendue aux agents de contrôle de l'Etat.

Décret n° 2024-1236 du 30 décembre 2024 relatif au système d'information du compte personnel de formation, au traitement de données à caractère personnel dénommé « Mon Activité Formation » et à l'accès de la Caisse des dépôts et consignations à diverses données

Délibération n° 2024-078 du 7 novembre 2024 portant avis sur un projet de décret relatif au système d'information du compte personnel de formation, au traitement de données à caractère personnel dénommé « Mon Activité de Formation » et à l'accès de la Caisse des dépôts et consignations à diverses données