Proposition d’un protocole

Nous nous proposons de montrer qu’il est possible de collecter dans les entreprises, de façon anonyme, ces informations utiles et cependant interdites aux directions du personnel et de les faire apparier anonymement à des extraits de leurs données de gestion pour un traitement sécurisé et donc extérieur à l’entreprise, sans création d’un référentiel « ethno-racial », ni création d’un fichier directement ou indirectement nominatif.

À l’occasion de son enquête traitant de la violence familiale (Cavalin 2008), le ministère de la Santé a expérimenté un dispositif de collecte pleinement confidentiel éprouvé à l’étranger (Rogers et al. 1999).

Nous proposons de nous en inspirer.

Nous proposons un cadre institutionnel sécurisé et souple pour de tels traitements.

La pertinence de cette proposition suppose un pré-requis : la capacité des services des ressources humaines à tester l’existence de discriminations sur les variables non sensibles (telles que le sexe, le nombre d’enfants ou l’âge).

Nous faisons bien sûr la distinction entre mesure de la discrimination et celle de la perception de la discrimination subie ou observée. Nous faisons aussi la différence entre la mesure des inégalités et celle des discriminations : la discrimination est l’inégalité résiduelle, une fois éliminée les inégalités structurelles ou légitimes liées aux caractéristiques individuelles (telles que le niveau de qualification ou le type de spécialisation).

Nous entendons ainsi le terme de discrimination indirecte dans un sens plus large que l’acception habituelle des juristes qui y voient toujours l’effet d’une disposition juridique⁶. Pour un statisticien, la discrimination indirecte est globale. Pour une part, la discrimination indirecte se manifeste sans qu’il y ait de discriminateur ni d’individu discriminé. Ceci est particulièrement clair en cours de processus d’embauche, tant les critères objectifs d’évaluation y semblent difficiles à quantifier.

Notre proposition consiste à scruter statistiquement les processus d’embauche et de promotion pour y détecter l’éventuelle influence des caractères susceptibles de prêter à discrimination. Cette méthode n’use d’aucune statistique de référence sur les sous-populations potentiellement discriminées. Elle s’applique aux entreprises ou groupes de taille statistiquement suffisante, mais aussi à une structure comme le Pôle Emploi, ce qui permettrait aussi de suivre les processus d’embauche dans les petites entreprises.

Ces procédures seraient tout à fait bénéfiques à la statistique publique pour en repousser certaines limites. Ainsi, pour des raisons de confidentialité, les épisodes successifs de chômage d’un même salarié sont enregistrés dans le fichier historique de l’ANPE avec des identifiants distincts ne permettant pas de reconstituer l’histoire de la personne. Le recours à un identifiant haché (deux fois pour une procédure de sécurité) permettrait en toute sécurité de constituer un vrai fichier historique, par le fait qu’il ne tronçonnerait plus les histoires individuelles.

Le dispositif que nous proposons est en théorie adapté à la mesure de la diversité aussi bien qu’à celle des discriminations que cette dernière peut occasionner. Nous ne nous penchons pas sur la question centrale pour le COMMED de déterminer s’il y a lieu de mesurer la diversité ou seulement les discriminations qui y sont liées. Par contre, nous insistons sur le fait que les biais de non-réponse ou de réponse inexacte ne sont pas identiques pour ces deux objectifs, et les imaginons beaucoup plus forts pour les mesures de la diversité, en raison de l’absence de consensus social sur l’observation de celle-ci.

La procédure que nous proposons a seulement pour finalité l’autodiagnostic par les entreprises dans l’esprit de la charte de la diversité, et donc dans une perspective microsociologique. Il ne s’agit nullement d’une fonction d’observatoire national reposant sur un dispositif associé à la statistique officielle. La

6 En droit du travail, la discrimination est le traitement inégal et défavorable fondé sur un critère prohibé par la loi et appliqué à certaines personnes en raison notamment de leur origine, de leur nom…

première perspective se situe dans une optique de volontariat des entreprises et la seconde ferait appel à une obligation légale. La finalité de la collecte doit être très clairement définie. Dans la première perspective, le diagnostic est uniquement destiné à l’entreprise et à ses instances. La pertinence et le niveau de précision du diagnostic doivent être pensés en fonction de la taille de l’entreprise et des risques de fléchage induits pour les personnes concernées en fonction de cette taille.

Nous avons conscience du fait qu’un tel dispositif suppose sécurité et confiance, mais que la sécurité technique ne suffit pas à générer la confiance, plus difficile à atteindre que la sécurité. La confiance ne peut être espérée que par l’appui manifeste et fort des institutions détentrices pour leur compte de cette confiance.

D’un point de vue juridique, il s’agit de mettre à profit de manière très spécifique et technique les prérogatives que la loi accorde aux tiers de confiance.

3.1. Une collecte respectant la confidentialité

Les informations constitutives de la diversité sont pour une part des informations personnelles et sensibles qu’on peut ne pas désirer fournir à son employeur ou potentiel futur employeur.

Les réticences à se décrire sous cet aspect ne peuvent être dépassées que pour un motif solidaire reconnu très légitime et sans risque de gêne ni de contrepartie négative. Décrire à quelqu’un ses handicaps est blessant sans même évoquer l’utilisation faite de l’information donnée. Les questionnaires enregistrés avec casques audio et auto-administrés sur ordinateur pourraient permettre d’éviter ces réticences : aucun enquêteur n’entend ni ne lit la réponse. Personne même ne pose directement la question au candidat ou salarié concerné. La question ne s’inscrit pas sur l’écran, la réponse non plus.

Reste à assurer l’anonymat du questionnaire saisi. Alors, la confidentialité est totale sous réserve que le recoupement des réponses n’identifie pas indirectement la personne.

En la circonstance, comment motiver les répondants pressentis ? Par ailleurs, l’anonymat est-il compatible avec la finalité de la collecte ?

Ce n’est pas notre propos de définir quelles questions relatives à la diversité devraient être posées dans les entreprises pour lutter contre les discriminations. Nous n’entrerons pas dans cette analyse relevant du COMMED et des sociologues chercheurs et nous nous tiendrons à un propos d’ingénieur.

La collecte de ces informations sensibles requiert motivation et confiance. L’entreprise ne saurait de sa seule autorité assurer le climat favorable, même pour qui est sensible à l’exigence de justice qui préside à la démarche et prête confiance au service des relations humaines. On n’imagine pas que la loi puisse rendre la réponse obligatoire – cette obligation serait d’ailleurs vaine – elle peut juste la rendre licite, inciter ou obliger les entreprises à la solliciter, lui apposer une reconnaissance morale.

De tels questionnaires requièrent de façon très publique le label de la HALDE et l’approbation de la CNIL pour pouvoir être présentés dans l’entreprise, éventuellement par l’entreprise et plus précisément son responsable de la diversité.

Retenons l’idée que proposer à tous de remplir le questionnaire est une prise de position active pour le respect de la diversité et une condition nécessaire pour que les personnes les plus concernées puissent sans marquage répondre au questionnaire. C’est une forme d’engagement collectif du personnel.

Néanmoins, l’assurance d’une non-réponse discrète est de nature à éviter des questionnaires fantaisistes perturbateurs et malveillants.

Nous sommes enclins à penser qu’un même taux de non-réponse acceptable ou de fausse déclaration induit un biais moindre pour le diagnostic de la discrimination que pour la mesure de la diversité car les variables du questionnaire confidentiel servent uniquement de variables indicatrices lors des analyses de

180

régression et tendent donc à affaiblir seulement les corrélations mesurées. Ce point de vue mérite débat avec les économètres.

Précisons quelques pistes.

Nous imaginons difficilement un questionnaire qui aborde la multitude des critères pouvant donner lieu à discrimination. Cette sinistre liste à la Prévert serait hautement dissuasive de répondre. Ce défi est plus facile à gérer pour le diagnostic relatif au déroulement de carrière que pour celui de l’embauche : pour ce premier objectif, l’entreprise pourrait en proposer chaque année un chapitre dans le cadre d’une campagne de sensibilisation à l’égalité de traitement dans l’entreprise. Ces chapitres seraient ensuite automatiquement et anonymement appariés dans un cadre sécurisé hors de l’entreprise comme nous le précisons ci-après. Ce qui importe est que tous les chapitres aient été proposés à tous les salariés au moment de l’audit des déroulements de carrières.

Pour l’analyse du processus d’une campagne d’embauche, la concision et la sobriété du questionnaire apparaissent une condition de son acceptation. Le questionnaire devrait se limiter à la stricte priorité du COMMED. Nous l’imaginons concerner les discriminations selon les origines.

La CNIL rappelle qu’un questionnaire n’est anonyme au sens de la loi Informatique et Libertés que s’il ne permet pas d’identifier directement (par le nom) ou indirectement (recoupements d’informations, désignation d’un poste de travail, numéro, groupe de moins de 10 individus) une personne. Dans l’hypothèse où les questionnaires comporteraient des données permettant l’identification indirecte de la personne (ce qui ne sera pas le cas), par exemple par un descriptif de ses fonctions, sans toutefois identifier cette personne, il appartiendrait au service compétent de souscrire aux recommandations de la CNIL.

Lorsqu’il s’agit de questionnaires qui intègrent une donnée identifiante comme par exemple un numéro, pour permettre le suivi de trajectoires individuelles, il est essentiel d’avoir recours à des identifiants autres que ceux utilisés dans la gestion des ressources humaines.

Quelles que soient les modalités de passation des questionnaires, un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée. À cette fin les employés, présents ou futurs, doivent être parfaitement informés des traitements opérés sur les données les concernant, sur les objectifs poursuivis, sur les destinataires des données ainsi que sur leurs droits d’opposition, d’accès et de rectification qui peuvent être exercés tant que les données permettent une identification. Une « collecte loyale et licite »⁷ des données ne peut se faire que dans le respect de ces conditions.

Le consentement de la personne constitue réellement une garantie pour cette dernière, en particulier lorsqu’il s’agit d’enquêtes réalisées dans les entreprises, dans la mesure où la relation de travail par principe « hiérarchisée » est de nature à « biaiser » le consentement. Il est indispensable de faire une information préalable sérieuse relayée par une consultation des instances représentatives du personnel pour garantir un taux de participation élevé.

Ne conviendrait-il pas, pour garantir le consentement de prévoir dans le domaine des statistiques un régime d’autorisation identique à celui qui existe déjà pour les fichiers de recherche médicale ?⁸ C’est le sens de notre proposition de définir un statut d’entreprise hébergeuse de données sensibles dûment agréées.

L’utilité statistique d’un fort taux de réponse global est une toute autre question que nous examinerons plus loin.

7 Article 6 de la loi Informatique et Libertés.

8 Recommandation n° 6 de la CNIL : « Dans un souci d’harmonisation, il pourrait être envisagé de s’inspirer de cette procédure pour l’élargir aux traitements de donnés sensibles ayant pour fin la recherche et les statistiques, et notamment la mesure de la diversité »

La question du biais de non-réponse est évidemment cruciale. Elle est particulièrement délicate dans la mesure des discriminations à l’embauche, tant les informations demandées peuvent apparaître comme une menace dans la recherche en cours d’un emploi. C’est peut-être moins vrai dans le cadre plus collectif de l’ANPE-Pôle Emploi que face à un employeur potentiel ou un cabinet de recrutement. Dans ce cadre du service public, on peut imaginer de fractionner le questionnaire, chaque chapitre n’étant proposé qu’à un sous-échantillon représentatif sélectionné au hasard. L’importance des effectifs permet sur une période suffisante d’analyser l’ensemble du spectre des discriminations.

Pour la mesure des trajectoires professionnelles, la question est moins difficile. Il faut d’abord noter qu’on peut se limiter aux caractéristiques ou handicaps initiaux en délaissant les caractères acquis, trop peu fréquents pour prêter à analyse statistique. De ce fait, le questionnaire peut être rempli à n’importe quel moment de la carrière, soit autour de l’embauche, soit seulement antérieurement à l’extraction du fichier des carrières pour l’analyse statistique. Mais, dans ce dernier cas, on est exposé au biais potentiel des départs liés aux discriminations subies, mais qui ne pourraient être analysés en ce sens⁹.

3.2. Appariement et traitement sécurisé

Si le but unique du questionnaire était de compter les personnes ressortissant de la diversité, l’analyse isolée de questionnaires anonymes satisferait à son objectif. Mais, ce n’est sans doute pas un objectif du questionnaire et, de toute façon, pas le seul. Ces données doivent être rapprochées de données individuelles de carrière ou de recrutement en sorte de détecter s’il y a des comportements discriminatoires au sein de l’entreprise. Une identification du répondant s’avère nécessaire. Une contrainte contradictoire avec l’exigence d’anonymat que nous avons posée ?

Justement pas ; c’est l’objet même et l’originalité du dispositif proposé.

Le département d’information médicale du CHU de Dijon s’est fait une spécialité de régler ce type de difficulté dans le respect du secret médical, du secret statistique et de la loi Informatique et Libertés (Quantin et al. 2005).

Le principe repose sur l’idée que l’identifiant de la personne est crypté de façon irréversible grâce à une clé de chiffrement inchangée. L’algorithme utilisé, le hachage SHA¹⁰, compresse l’information contenue dans la chaîne de caractères identifiante en sorte qu’il n’existe aucune fonction mathématique de retour vers l’identifiant.

La permanence de cet identifiant haché permet de rapprocher les données relatives à la même personne issues de plusieurs fichiers, mais dans l’anonymat total. Un second hachage avec une autre clé secrète transforme l’identifiant et empêche le rapprochement de ces données.

L’identifiant du monde du travail est le NIR (ou n° INSEE, alias n° de sécurité sociale) validé par une clé de contrôle¹¹. Les extraits de fichiers de carrières à apparier aux questionnaires diversité seraient donc identifiés par le NIR haché par une clé C1 spécifique à l’entreprise.

Examinons à l’aide du graphique 1 le principe d’observation et de traitement requis par l’audit des déroulements de carrières. Pour simplifier, supposons dans un premier temps que les caractéristiques potentiellement discriminantes soient recueillies dans un questionnaire unique posé à l’occasion de l’embauche (par exemple, juste après l’annonce de la bonne nouvelle).

9 Pour être précis, l’analyse longitudinale évite le biais des démissions si au moment de la démission, les caractéristiques discriminables du salarié ont bien été recueillies et que l’analyste observe par cohorte d’embauche et durée de carrière l’évolution de la situation des individus (leur niveau de salaire par exemple) y compris même pour ceux qui à une date de l’analyse auront déjà quitté l’entreprise.

10 SHA : Secure Hash Algorithm.

11 Cette clé de contrôle, comprise entre 1 et 97 est la différence à 97 du reste de la division du numéro de sécu par 97, le plus grand nombre premier à deux chiffres. C’est donc « la preuve par 97 » de l’exactitude du numéro de sécu. En d’autres termes, cette clé de contrôle détecte 96 erreurs sur 97… comme autrefois la preuve par 9 de nos

182

Le répondant du questionnaire diversité répond au questionnaire qui, sous forme cryptée va être immédiatement envoyée à un « hébergeur de données sensibles », une entreprise statistique extérieure.

Mais juste avant l’envoi, il s’identifie par son NIR (qui n’apparaîtrait même pas à l’écran), validé et immédiatement haché par la même clé C1, commune à tous les salariés de l’entreprise, en sorte de permettre ultérieurement et hors de l’entreprise l’appariement sécurisé avec les données de carrières. Cet identifiant est immédiatement « re-haché » sur l’ordinateur de saisie avec une clé C2 inconnue du service du personnel en sorte que ce service ne puisse pas identifier la personne par hachage des NIR du fichier du personnel (procédure frauduleuse désignée par le terme d’attaque par dictionnaire).

L’hébergeur hache une troisième fois l’identifiant avec une clé C3 en sorte d’éviter tout risque de collusion avec l’équipe informatique de l’entreprise cliente. En temps opportun, le prestataire déchiffrera le questionnaire (mais pas l’identifiant) pour entreprendre les analyses statistiques¹².

Si la procédure d’audit prévoit le recueil successif et étalé dans le temps de plusieurs chapitres de questionnaire, ces chapitres sont identifiés par le NIR haché toujours avec les mêmes clés C1, C2 puis C3, condition nécessaire au succès de l’appariement.

Au moment où la direction des ressources humaines de l’entreprise souhaite disposer d’un audit des embauches ou carrières, ses services réalisent un extrait de ses fichiers de carrière ou d’embauche doté du NIR haché avec la même clé C1 et l’adresse à l’entreprise statistique hébergeuse. C’est seulement ce fichier dont il faut examiner le caractère indirectement nominatif, même si l’identité de l’entreprise y est masquée. Il sera détruit dès l’analyse statistique menée.

À la réception du fichier de carrières, le prestataire hacherait deux fois l’identifiant (avec les clés C2 puis C3) et appariera alors sans difficulté les informations relatives à la même personne dans les deux fichiers.

Les identifiants auront, en effet, été soumis à la même chaîne de hachage, bien que dans des lieux différents en ce qui concerne le hachage intermédiaire.

12 Nous n’aborderons pas le rôle de l’hébergeur dans la sécurisation des machines. On pourrait aussi envisager une réponse via Internet à un questionnaire situé chez l’hébergeur. Solution plus simple dont le degré de confiance doit être évalué.

Graphique 1

Les précautions informatiques doivent être prises pour que la clé C2 demeure bien confidentielle vis-à-vis de l’entreprise cliente.

3.3. Précautions d’usage du numéro INSEE

Le NIR véhicule beaucoup de craintes et de fantasmes tant son utilisation incontrôlée serait potentiellement génératrice de danger. En la circonstance, le NIR n’est durablement stocké que dans l’esprit de la personne concernée. Il est immédiatement haché dès que contrôlé par son nombre-clé. Les informaticiens sauront juger des précautions évitant le piratage du NIR avant hachage comme des clés de hachage.

Le numéro d’inscription des personnes (NIR) au répertoire national d’identification des personnes physiques (RNIPP) est créé à partir de l’état civil et géré par l’INSEE. Il permet ainsi l’identification de toute personne au moyen d’un numéro de 13 chiffres. Dans une délibération du 29 novembre 1983¹³, la CNIL recommande que l’emploi du NIR comme identifiant des personnes dans les fichiers soit justifié et en aucun cas systématique et généralisé. Si l’enregistrement du NIR est autorisé dans les fichiers de paie et de gestion du personnel pour l’établissement des bulletins de paie et des différentes déclarations sociales obligatoires, il ne fait pas cependant partie des informations qui doivent figurer dans le registre unique du personnel. En dehors des cas évoqués, l’utilisation du NIR ne peut donc être autorisée que dans le cadre d’un décret en Conseil d’État après avis de la CNIL¹⁴. En fait, cette application ne nécessite pas la disposition du NIR explicite dans le fichier des carrières, mais seulement celui du NIR haché (avec la

13 Délibération n°83-058 du 29 novembre 1983 portant adoption d’une recommandation concernant la consultation du RNIPP et l’utilisation du NIR.

Sce personnel

Salarié

NIRs +

extraits des carrières du personnel NIR du salarié

+

questionnaire crypté

Date d’embauche Date de l’audit

Résultat de l’audit Hébergeur

Audit des déroulements de carrières

C1

C3

C1 + C2 C2 + C3

Clés de hachage du NIR Clés de hachage du NIR

184

même clé C1). Il est donc tout à fait légitime¹⁵ d’insérer le NIR haché dans les fichiers des carrières ou d’embauche, l’onction une fois pour toutes de la CNIL ou du Conseil d’État étant de toute façon bénéfique pour permettre ce travail en toute confiance.

même clé C1). Il est donc tout à fait légitime¹⁵ d’insérer le NIR haché dans les fichiers des carrières ou d’embauche, l’onction une fois pour toutes de la CNIL ou du Conseil d’État étant de toute façon bénéfique pour permettre ce travail en toute confiance.