• Home  / 
  • DELIBERATION 02-108

DELIBERATION 02-108

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés,

Saisie par le groupement d'intérêt public "modernisation des déclarations sociales" de trois demandes d'avis concernant la mise en oeuvre des télé-services net-DUCS-I (n° 829385), net-DADS-U (n° 829386) et net-DCR (n° 829387) prévus à l'article L. 133-5 du code de la sécurité sociale ;

Vu la directive n° 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement dès données à caractère personnel et à la libre circulation de ces données ;

Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu le code de la sécurité sociale et le code du travail ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;

Vu le décret n° 78-774 du 17 juillet 1978 modifié pris pour l'application de la loi du 6 janvier 1978 susvisée ;

Vu le projet de décret d'application de l'article L. 133-5 du code de la sécurité sociale soumis concomitamment par le ministère des affaires sociales, du travail et de la solidarité (saisine n° 02013599) ;

Vu l'article 21 de la convention constitutive du groupement d'intérêt public "modernisation des déclarations sociales" du 21 février 2000, approuvée par arrêté interministériel du 17 mars 2000, autorisant son directeur à représenter le groupement ;

Après avoir entendu Monsieur Hubert BOUCHET, commissaire en son rapport, et Madame Catherine POZZO DI BORGO, commissaire adjoint du Gouvernement en ses observations ;

FORMULE LES OBSERVATIONS SUIVANTES :

La loi de financement de la sécurité sociale pour 2002 a introduit dans le code de la sécurité sociale un article L. 133-5 afin de permettre aux employeurs et aux professions indépendantes de réaliser leurs déclarations sociales obligatoires par voie électronique et de bénéficier d'un service d'aide à l'élaboration des déclarations sociales et des bulletins de paie.

Le groupement d'intérêt public "modernisation des déclarations sociales" (GIP-MDS) a été choisi par les organismes gestionnaires de régimes de protection sociale pour gérer ces téléservices dans le cadre du portail www.net-entreprises.fr déjà mis en oeuvre par ce groupement.

La Commission est amenée à se prononcer sur une demande d'avis présentée par le GIP-MDS concernant la mise en oeuvre du téléservice net-DADS-U.

Sur la finalité du traitement et les destinataires des informations nominatives

La déclaration automatisée de données sociales unifiée "DADS-U" est le fruit d'une réflexion conduite depuis plusieurs années par la CNAVTS et les fédérations de retraite complémentaire AGIRC et ARRCO afin de regrouper en une déclaration unique la déclaration annuelle de données sociales (DADS) mise en oeuvre par la CNAVTS pour le compte des partenaires du dispositif "transfert de données sociales (TDS)" et la déclaration annuelle de données sociales des caisses de retraite complémentaire (DADS-CRC) à destination des institutions de retraite complémentaire et les institutions de prévoyance.

L'article L. 133-5 du code de la sécurité sociale et l'arrêté du 29 juillet 2002 pris pour son application cation permettent le traitement par voie électronique de cette déclaration unifiée.

Les traitements d'informations nominatives opérés dans le cadre de net-DADS-U seront les suivants :

1) inscription au téléservice ;

2) transfert de fichiers de données personnelles des déclarants vers net-DADS-U ;

3) contrôle de conformité des fichiers reçus à la norme DADS-U ;

4) filtrage et transmission aux organismes de protection sociale partenaires (chaque partenaire ne reçoit que les informations le concernant) ;

5) consultation par le déclarant du bilan des contrôles de conformité effectués par le site ;

6) destruction des déclarations au bout de 30 jours et stockage des bilans des contrôles de conformité sur une année.

Sur la pertinence des données traitées

Le formulaire de collecte des données DADS-U a été défini sur la base du cahier technique et du guide d'utilisation DADS-U (norme DADS-U V06 R02), dans le respect des textes réglementaires relatifs au dispositif "transfert de données sociales".

Le NIR sera utilisé dans le cadre de cette télédéclaration afin de contribuer à l'identification des salariés concernés.

L'ensemble des organismes sociaux sont autorisés par les articles R. 115-1 et R. 115-2 du code de la sécurité sociale à détenir le NIR de leurs ressortissants dans leurs fichiers.

La Commission observe également que cette utilisation du NIR ne soulève pas de difficulté dans là mesure où, d'une part, le décret n° 91-1404 du 27 décembre 1991 pris après avis de la CNIL prévoit que les employeurs publics -ou privés sont autorisés à utiliser cet identifiant pour les opérations de déclarations sociales et, d'autre part, l'article L.133-5 du code de la sécurité sociale et le projet de décret soumis concomitamment à la Commission par le ministère du travail ont précisément pour objet d'autoriser le traitement du NIR par le GIP-MDS dans le strict cadre de la réalisation des déclarations sociales par voie électronique.

Le NIR serait également utilisé au sein des bilans d'anomalies produits dans le cadre des contrôles de conformité à la norme DADS-U dans les cas où l'anomalie serait relative à une information au niveau du salarié (le bilan préciserait uniquement les nom, prénom et NIR du salarié concerné). La Commission considère que cette intégration du NIR dans les bilans ne soulève pas de difficultés compte tenu du fait que seuls les personnels habilités de l'entreprise déclarante ou de l'organisme de protection sociale concernés pourrait ainsi accéder aux bilans relatifs à cette entreprise afin de faciliter la correction des erreurs liées à la situation d'un salarié pour la bonne prise en compte de ses droits par les organismes sociaux.

Les catégories d'informations traitées seront celles déjà recueillies dans le cadre des déclarations obligatoires existantes, et en particulier des informations relatives à la situation familiale des salariés.

La collecte de cette dernière donnée ne serait opérée qu'auprès des déclarants ayant préalablement indiqué relever d'un régime de prévoyance pour lequel cette donnée est nécessaire.

Dans ces conditions, la Commission n'a pas d'observation à formuler sur la pertinence des données traitées.

Sur les sécurités mises en oeuvre

Le téléservice net-DADS-U devrait entraîner la constitution par le GIP-MDS d'une base de données nominatives sur les salariés des entreprises ayant souhaité adhérer au dispositif.

Dès lors, la Commission considère que la sécurisation des échanges, des sessions de télédéclaration ou de consultation, et du stockage des données est un objectif qui revêt en l'espèce une importance particulière.

La Commission observe à cet égard que l'hébergement des différents sites Internet du dispositif net-entreprises est réparti entre la CNAVTS (pour l'inscription des déclarants), la société Matra global net services (pour la gestion du site portail www.net-entreprises.fr) et la société France Telecom-Equant (pour l'hébergement des sites déclaratifs).

La Commission prend acte des mesures de sécurité physiques et logiques adoptées pour garantir la confidentialité et l'intégrité des données traitées dans le cadre du service DADS-U.

La Commission estime néanmoins que le dispositif de journalisation des connexions existant devrait être amélioré en prévoyant une exploitation régulière des données de connexion et un recueil de données sur la nature des opérations effectuées à chaque connexion de façon à permettre une détection et une correction d'éventuelles intrusions dans le système d'information.4 La Commission relève par ailleurs que le GIP-MDS met en oeuvre une procédure de jeton sécurisé après authentification des déclarants par login et mot de passe afin de sécuriser les sessions d'accès au téléservice.

La Commission n'a pas, en l'Etat, d'observations à formuler sur le dispositif d'authentification par login et mot de passe aujourd'hui déployé par le GIP-MDS, sans préjudice des avis ou recommandations qu'elle, sera amenée à émettre ultérieurement sur le recours à des dispositifs alternatifs.

A cet égard, la Commission observe qu'une étude est en cours de réalisation par le GIP-MDS visant à la mise en oeuvre, dans le cadre du programme net-entreprises, d'un procédé d'authentification des déclarants reposant sur l'émission de certificats électroniques personnels normalisés, projet dans lequel l'utilisation du NIR ne serait pas exclue.

La Commission estime qu'une utilisation du NIR à de telles fins ne peut qu'appeler de sa part une réserve de principe dans la mesure où la concrétisation d'un tel projet constituerait un précédent en faveur de l'utilisation généralisée de cet identifiant particulier dans le cadre de dispositifs de certificats électroniques délivrés aux citoyens souhaitant acheter ou vendre sur Internet, voter à distance, consulter leur e-dossier, etc., et aurait pour conséquence la constitution, par les sociétés de certification prestataires, de bases de données contenant les références de plusieurs millions d'employeurs ou de leurs délégataires identifiés par leur NIR.

Enfin, la Commission considère que la sécurité du traitement devrait être renforcée sur le plan juridique par l'intégration dans les contrats de prestation de service, au-delà des clauses de confidentialité et de réversibilité déjà introduites, d'une clause de non-détournement de finalité.

Sur les durées de conservation des données

Le GIP-MDS assurera la destruction des données recueillies dans le cadre du téléservice net-DADS-U, trente jours après la déclaration, et le stockage des bilans des contrôles de conformité après une année.

La Commission considère que ces durées ne sont pas excessives au regard des finalités poursuivies.

Sur l'information des personnes concernées

L'information des déclarants sera réalisée sur le site www.net-entreprises.fr et notamment sur les pages où la collecte des informations nominatives sera opérée.

Dans la mesure où cette information ne pourra être reçue que par les personnes chargées des déclarations des entreprises, alors même que les traitements concernent au premier chef les salariés de ces entreprises, la Commission considère qu'il convient de rappeler aux entreprises leur obligation d'informer leurs salariés de la transmission d'informations les concernant aux organismes sociaux net-DADS-U, conformément à l'article 27 de la loi du 6 janvier 1978.

EMET UN AVIS FAVORABLE à la demande d'avis présentée par le GIP-MDS sous réserve que :

- le dispositif de journalisation des connexions existant prévoie une exploitation régulière des données de connexion et un recueil de données sur la nature des opérations effectuées à chaque connexion ;

- une clause de non-détournement de finalité soit intégrée dans le contrat liant le GIP-MDS à l'entreprise assurant l'hébergement du site net-DADS-U ;

DEMANDE à être rendue destinataire d'un bilan de la mise en oeuvre du téléservice dans un délai d'un an.

Le Président, Michel GENTOT.

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: