Tous les comptes rendus municipaux disponibles sur Pappers Politique !

Pappers Politique vous permet d'accéder et d'explorer les comptes rendus, délibérations et procès verbaux de conseils municipaux :
  • Anticipez les besoins et projets dans les municipalités et plus particulièrement les appels d'offre à venir.
  • Identifiez les communes actives sur vos thématiques de prédilection
Réserver une démo avec un expert

Délibération n° 2017-286 du 26 octobre 2017 portant avis sur un projet de décret en Conseil d'Etat relatif à un traitement de données à caractère personnel dénommé « système national de gestion des identifiants » (demande d'avis n° 8070 V15)

Sécurité sociale
Assurance
Consommateurs
Déposé le 25 octobre 2017 à 22h00, publié le 24 mai 2018 à 22h00
Journal officiel

Texte

La Commission nationale de l'informatique et des libertés,
Saisie par le ministère des solidarités et de la santé d'une demande d'avis sur un projet de décret relatif à un traitement de données à caractère personnel dénommé « système national de gestion des identifiants » ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu le règlement n° 987/2009 du 16 septembre 2009 du Parlement européen et du Conseil fixant les modalités d'application du règlement (CE) n° 883/ 2004 du 29 avril 2004 portant sur la coordination des systèmes de sécurité sociale ;
Vu le règlement (CE) n° 883/2004 du 29 avril 2004 portant sur la coordination des systèmes de sécurité sociale ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de la sécurité sociale, notamment ses articles L. 114-19 à L. 114-21, L. 215-1, L. 215-6 et L. 222-1 ;
Vu le code civil, notamment son article 1983 ;
Vu la loi n° 2012-1404 du 17 décembre 2012 de financement de la sécurité sociale pour 2013, notamment son article 83 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27 ;
Vu le décret n° 2013-1156 du 13 décembre 2013 relatif au contrôle de l'existence des titulaires de pensions et d'avantages de vieillesse résidant hors de France ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 82-103 du 22 janvier 1982 relatif au répertoire national d'identification des personnes physiques ;
Vu l'acte réglementaire n° 2008-01 du 29 février 2008 modifiant l'acte réglementaire n° 2005-24 du 22 décembre 2005 relatif au système national de gestion des identifiants (« SNGI Vl4 ») ;
Vu la circulaire DSS/SD4C/2012/213 du 1er juin 2012 relative à l'attribution d'un NIA aux demandeurs ou aux bénéficiaires de prestations de protection sociale du ministère des affaires sociales et de la santé et du ministère de l'économie, des finances et du commerce extérieur ;
Vu la circulaire n° 2002/47 du 25 juillet 2002 de la Caisse nationale d'assurance vieillesse (CNAV) ;
Vu la délibération n° 2017-144 du 9 mai 2017 portant avis sur un projet d'arrêté portant création par la direction générale des finances publiques d'un traitement automatisé de données à caractère personnel de gestion du prélèvement à la source mis en œuvre par les collecteurs n'entrant pas dans le champ de la déclaration sociale nominative ou versant des revenus de remplacement ;
Vu la délibération n° 2017-059 du 16 mars 2017 portant avis sur un projet de décision du directeur de la Caisse nationale d'assurance vieillesse (CNAV) relative à un traitement automatisé de données à caractère personnel ayant pour finalité la vérification de 1'existence des bénéficiaires de retraites ou de pensions du régime général résidant à l'étranger ;
Vu la délibération n° 2009-211 du 30 avril 2009 portant avis sur un projet de décret en Conseil d'Etat relatif au répertoire national commun de la protection sociale (RNCPS) ;

Après avoir entendu M. Jean-Luc VIVET, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
Le ministère des solidarités et de la santé souhaite modifier le traitement automatisé de données à caractère personnel dénommé « système national de gestion des identifiants » (SNGI), encadré par l'acte réglementaire n° 2008-01 du 29 février 2008 modifiant l'acte réglementaire n° 2005-24 du 22 décembre 2005 (« SNGI V14 »).
Le SNGI est un référentiel géré par la Caisse nationale d'assurance vieillesse (CNAV), utilisé par différents organismes afin d'assurer la fiabilité de leur répertoire de bénéficiaires propres, dans le cadre de campagnes de certification.
La commission précise à titre liminaire que les modifications apportées par le présent projet de décret en Conseil d'Etat portent principalement sur l'ajout de précisions quant aux finalités du traitement, sur l'intégration de nouvelles catégories de données et sur l'extension du périmètre des destinataires.
Sur les finalités :
L'article 1er du projet de décret liste les finalités du SNGI, à savoir :
1° Identifier les assurés sociaux ;
2° Certifier leur identité ;
3° Immatriculer les personnes nées à l'étranger et dans les collectivités d'outre-mer ;
4° Vérifier l'existence des assurés sociaux ;
5° Partager entre les organismes habilités à accéder au SNGI les informations utiles relatives à l'identité, à l'immatriculation et au décès des assurés qui leur sont rattachés ;
6° Contribuer à la lutte contre la fraude.
La commission observe que les finalités correspondant aux 4°, 5° et 6° de l'article 1er du projet de décret ne figuraient pas dans l'acte réglementaire du 29 février 2008 relatif au SNGI.
En premier lieu, s'agissant de la finalité 4°, elle prend note que les vérifications de l'« existence des assurés sociaux » correspondent aux vérifications réalisées par les organismes habilités à accéder au SNGI afin de fiabiliser l'information relative au décès des bénéficiaires de retraites ou de pensions servies par la CNAV et les institutions de retraite étrangères et, ce faisant, éviter les indus au moyen d'échanges dématérialisés de données avec les institutions étrangères partenaires.
Ces échanges permettront par ailleurs de limiter les contrôles actuellement réalisés, s'appuyant sur la transmission, par les bénéficiaires résidant à l'étranger, d'attestations d'existence en format « papier » signées et cachetées par les autorités compétentes de leurs pays de résidence.
La commission rappelle que les modalités de réalisation de ces vérifications ont été portées à sa connaissance dans le cadre de la demande d'avis sur un projet de décision du directeur de la CNAV relative à un traitement automatisé de données à caractère personnel ayant pour finalité la vérification de l'existence des bénéficiaires de retraites ou de pensions du régime général résidant à l'étranger, et sont inchangées (délibération n° 2017-059 du 16 mars 2017).
Ainsi qu'elle l'avait souligné à cette occasion, la commission estime que ces vérifications s'inscrivent d'ores et déjà dans le cadre des finalités 1° (identification des assurés) et 2° (certification de l'identité des assurés) du projet de décret.
En second lieu, s'agissant de la finalité 5°, le ministère précise qu'il ne s'agit pas de permettre aux organismes habilités à accéder au SNGI de se partager directement des données, mais uniquement de mettre à jour leurs propres bases de données à partir des informations actualisées dans le SNGI.
Au regard de ces éléments, la commission relève que les finalités 4° et 5° viennent préciser les finalités 1° et 2° du SNGI et considère que ces ajouts contribuent à une meilleure information des personnes concernées.
Elle considère que les finalités poursuivies par le présent traitement sont déterminées, explicites et légitimes.
Sur les données traitées :
L'article 2 du projet de décret introduit des catégories de données qui ne figuraient pas dans l'acte réglementaire du 29 février 2008 relatif au SNGI.
La commission souligne que l'ajout du numéro d'identification d'attente (NIA) parmi les données traitées fait suite à une précédente évolution du SNGI, portée à sa connaissance à l'occasion de la demande d'avis relative au répertoire national commun de la protection sociale (« RNCPS », délibération n° 2009-211 du 30 avril 2009).
Elle rappelle que le NIA est nécessaire pour permettre une gestion centralisée de l'immatriculation des personnes nées à l'étranger et dans les collectivités d'outre-mer depuis le SNGI, d'une part, et leur identification dans le RNCPS, auquel le SNGI est lié, d'autre part.
Par ailleurs, la commission relève que le projet de décret ajoute les noms, prénoms, date et lieu de naissance des parents des assurés nés à l'étranger et la copie de la pièce d'identité et de la pièce d'état civil fournies à l'appui de leur demande d'immatriculation ou du document attestant de l'impossibilité de produire une de ces pièces.
Elle prend acte que les date et lieu de naissance des parents des personnes nées à l'étranger ne seront toutefois pas traités dans le cadre de la présente évolution du SNGI et seront par conséquent supprimés du projet de décret.
Interrogé sur le besoin de traiter les noms et prénoms des parents des personnes nées à l'étranger, le ministère indique que ces données figurent sur les pièces d'état civil actuellement fournies par les personnes nées à l'étranger à leur organisme de rattachement et transmises par ces derniers à la CNAV afin d'initier leur demande d'immatriculation, conformément aux dispositions du décret n° 82-103 du 22 janvier 1982 relatif au répertoire national d'identification des personnes physiques (RNIPP) et de la circulaire DSS/SD4C/2012/213 du 1er juin 2012 relative à l'attribution d'un NIA aux demandeurs ou aux bénéficiaires de prestations de protection sociale.
La commission relève que ces informations sont indispensables afin de limiter les risques d'homonymie et sont traitées selon des modalités identiques à celles portées à sa connaissance à l'occasion de précédentes évolutions du SNGI.
L'article 2 du projet de décret est par ailleurs complété du statut de l'information relative au décès des bénéficiaires résidant à l'étranger. Cet ajout, sur lequel la commission a déjà eu l'occasion de se prononcer (délibération n° 2017-059 du 16 mars 2017 portant avis sur un projet de décision du directeur de la CNAV relative à un traitement automatisé de données à caractère personnel ayant pour finalité la vérification de l'existence des bénéficiaires de retraites ou de pensions du régime général résidant à l'étranger, n'appelle pas d'observation particulière.
Les modalités de réalisation de ces vérifications, via des échanges de fichiers d'appel, ont également été portées à sa connaissance dans le cadre de la délibération susvisée, et sont inchangées.
Le ministère confirme enfin que les « informations utiles » partagées entre les organismes habilités à accéder au SNGI dans le cadre de la finalité 5° n'excèdent pas les catégories de données énumérées à l'article 2 du projet de décret, à savoir les NIR ou NIA, les données d'état civil et les données de gestion.
La commission considère que les données sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées.
Sur les catégories de destinataires et les personnes habilitées à accéder aux données :
L'article 4 du projet de décret habilite de nouvelles catégories d'organismes à accéder au SNGI.
D'une part, les agents des « organismes de protection sociale » et des « organismes habilités par la loi ou un règlement à utiliser le NIR dans le cadre de leurs missions, notamment les organismes habilités à accéder au RNCPS » dont les missions le justifient, sont habilités à accéder aux données de l'article 2.
Le ministère indique que les « organismes de protection sociale » englobent l'ensemble des organismes d'ores et déjà habilités à accéder au SNGI dans sa configuration actuelle, visés à l'article 3 de l'acte réglementaire du 29 février 2008.
S'agissant des« organismes habilités par la loi ou un règlement à utiliser le NIR dans le cadre de leurs missions », il ajoute que le Centre des liaisons européennes et internationales de sécurité sociale (CLEISS) et l'Institut national de la statistique et des études économiques (INSEE) sont les seuls « organismes habilités par la loi ou un règlement à utiliser le NIR dans le cadre de leurs missions », n'entrant pas par ailleurs dans le périmètre des « organismes habilités à accéder au RNCPS » ou des autres « organismes de protection sociale ». La commission en prend note et souligne que ces deux organismes accèdent d'ores et déjà au SNGI.
D'autre part, et dans le cadre de leurs fonctions, sont habilités à accéder aux données enregistrées dans le SNGI les agents au sein des « mutuelles, unions ou fédérations relevant du code de la mutualité, des entreprises ou sociétés d'assurance régies par le code des assurances, [et] des institutions de prévoyance régies par le code de la sécurité sociale ».
Interrogé sur le besoin de ces organismes d'accéder au SNGI, le ministère indique que ces derniers souhaitent s'appuyer sur ce référentiel pour renforcer la fiabilité de l'identification des bénéficiaires des prestations qu'ils servent, d'une part, dans le cadre du prélèvement à la source pour pouvoir appliquer à chaque personne concernée le taux d'imposition qui lui est propre et, d'autre part, dans le cadre des « missions d'assurance complémentaire en santé » pour contribuer à la sécurité des opérations.
Les organismes complémentaires font partie des tiers collecteurs tenus de transmettre à la direction générale des finances publiques (DGFiP) les données nécessaires à la détermination du taux de prélèvement applicable à chaque bénéficiaire, afin que la DGFiP leur transmette en retour le taux personnel à appliquer.
Ces échanges s'appuient sur le dispositif « PASRAU », sur lequel la commission s'est récemment prononcée (délibération n° 2017-144 du 9 mai 2017, et s'effectuent sur la base du NIR, comme le prévoit l'article L. 288 A du livre des procédures fiscales.
La commission estime que l'accès au SNGI par les organismes complémentaires dans ce contexte contribue à améliorer l'efficacité du dispositif du prélèvement à la source en renforçant la fiabilité de l'identification des bénéficiaires.
De plus, interrogé sur la nature des « missions d'assurance complémentaires en santé » dans le cadre desquelles les organismes complémentaires accéderaient au SNGI afin de renforcer la fiabilité de l'identification de leurs bénéficiaires, le ministère précise que celles-ci sont définies à l'article R. 115-2-2° du code de la sécurité sociale, sous l'expression « activités d'assurance maladie, maternité et invalidité complémentaire conformément à la loi n° 89-1009 du 31 décembre 1989 renforçant les garanties offertes aux personnes assurées contre certains risques, ou dans leurs activités d'assurance vieillesse complémentaire ».
La commission note que l'article R. 115-2 du code de la sécurité sociale habilite, notamment, les organismes complémentaires à utiliser le NIR dans le cadre de ces activités, dans les conditions prévues par la loi « Informatique et Libertés ».
Elle souligne à cet égard que la délibération n° 2014-014 du 23 janvier 2014 portant création d'une autorisation unique (« AU-031 ») encadre précisément les traitements relatifs à la consultation du RNIPP et à l'utilisation du NIR mis en œuvre par les organismes complémentaires dans le cadre de leurs activités découlant, notamment, de l'article R. 115-2-2° du code de la sécurité sociale.
Le ministère indique qu'en tout état de cause l'accès au SNGI par les organismes complémentaires dans le cadre de leurs « missions d'assurance complémentaire en santé » se fera uniquement dans les conditions et pour les seules finalités listées dans l'autorisation unique ci-dessus visée.
La commission prend ainsi acte que l'habilitation des organismes complémentaires à accéder au SNGI prévue par le présent projet de décret ne conduira pas ces derniers à utiliser le SNGI à des fins d'identification des doublons ou des homonymies ou des bénéficiaires de contrats d'assurance vie en déshérence en l'absence d'une disposition spécifique les habilitant à cette fin.
Au regard de ces éléments, elle estime que l'article 4-2° du projet de décret devrait être complété pour préciser le périmètre des vérifications réalisées par les organismes complémentaires depuis le SNGI sur la base du NIR, à savoir, contribuer à l'efficacité du prélèvement à la source et renforcer l'identification des bénéficiaires pour les seules activités visées à l'article R. 115-2-2° du code de la sécurité sociale.
La commission prend acte de l'engagement du ministère de préciser le projet de décret en ce sens.
Enfin, l'article 4-2° du projet de décret intègre les organismes désignés par les Etats membres de l'Union européenne et situés hors de l'Union européenne dans le cadre des conventions de sécurité sociale ou d'entraide administrative parmi les destinataires des données du SNGI.
Le ministère confirme, sur ce point, que ces derniers ne sont rendus destinataires des données que dans le seul cadre des vérifications liées à l'information relative au décès de leurs bénéficiaires respectifs résidant à l'étranger, conformément aux modalités examinées par la commission dans la délibération n° 2017-059 du 16 mars 2017 précitée, lesquelles sont inchangées et n'appellent pas d'observation.
Sous ces réserves, la commission considère que les destinataires présentent un intérêt légitime à accéder aux données.
Sur les mesures de sécurité :
Le ministère indique qu'aucune évolution technique n'est requise pour répondre aux présentes modifications fonctionnelles du SNGI.
La commission rappelle la nécessité de mettre à jour les mesures de sécurité sur la base de réévaluations régulières des risques.
Elle souligne que les autres dispositions du présent projet de décret n'appellent pas d'observation au regard des dispositions de la loi du 6 janvier 1978 modifiée.

La présidente,


I. Falque-Pierrotin