• Home  / 
  • DELIBERATION 02-109

DELIBERATION 02-109

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés,

Saisie par le groupement d'intérêt, public "modernisation des déclarations sociales" de trois demandes d'avis concernant la mise en oeuvre des téléservices net-DUCS-I (n° 829385), net-DADS-U (n° 829386) et net-DCR (n° 829387) prévus à l'article L. 133-5 du code de la sécurité sociale ;

Vu la directive n° 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu le code de la sécurité sociale et le code du travail ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;

Vu le décret n° 78-774 du 17 juillet 1978 modifié pris pour l'application de la loi du 6 janvier 1978 susvisée ;

Vu le projet de décret d'application de l'article L. 133-5 du code de la sécurité sociale soumis concomitamment par le ministère des affaires sociales, du travail et de la solidarité (saisine n° 02013599) ;

Vu l'article 21 de la convention constitutive du groupement d'intérêt public "modernisation des déclarations sociales" du 21 février 2000, approuvée par arrêté interministériel du 17 mars 2000, autorisant son directeur à représenter le groupement Après avoir entendu Monsieur Hubert BOUCHET, commissaire en son rapport, et Madame Catherine POZZO DI BORGO, commissaire adjoint du Gouvernement en ses observations ;

FORMULE LES OBSERVATIONS SUIVANTES :

La loi de financement de la sécurité sociale pour 2002 a introduit dans le code de la sécurité sociale un article L. 133-5 afin de permettre aux employeurs et aux professions indépendantes de réaliser leurs déclarations sociales obligatoires par voie électronique et de bénéficier d'un service d'aide à l'élaboration des déclarations sociales et des bulletins de paie.

Le groupement d'intérêt public "modernisation des déclarations sociales" (GIP-MDS) a été choisi par les organismes gestionnaires de régimes de protection sociale pour gérer ces téléservices dans le cadre du portail www.net-entreprises.fr déjà mis en oeuvre par ce groupement.

La Commission est amenée à se prononcer sur une demande d'avis présentée par le GIP-MDS concernant la mise en oeuvre du téléservice net-DCR.

Sur la finalité du traitement et les destinataires des informations nominatives

Le téléservice net-DCR permettra la numérisation de la déclaration commune des revenus des professions indépendantes existant sur support papier (sans entraîner de modification sur le fond) et la simplification de la procédure déclarative (grâce à un pré-remplissage des déclarations).

L'article L. 133-5 du code de la sécurité sociale et l'arrêté du 29 juillet 2002 pris pour son application permettent le traitement par voie électronique de cette déclaration.

Les traitements d'informations nominatives opérés dans le cadre de net-DCR seront les suivants :

1) inscription au téléservice ;

2) amorçage des déclarations (la CANAM envoie au site les données connues de son système d'information nécessaires au pré-remplissage des déclarations et à leur contrôle) ;

3) déclaration par EFI (saisie des données sur un formulaire préalablement personnalisé avec les données transmises par la CANAM) ;

4) contrôle de forme et production d'un accusé de réception (qui dégage le déclarant de son obligation déclarative) ;

5) transmission des données à la CANAM qui les retransmet aux organismes partenaires DCR ;

6) historisation des déclarations sur le site net-DCR sur quatre années (afin de permettre aux déclarants d'apporter aisément la preuve du contenu de leur déclaration durant les délais de prescription légaux) ;

7) traçabilité des actions opérées sur le site.

Les destinataires finaux des informations n'excéderont pas ceux déjà visés dans les dossiers relatifs à la DCR antérieurement soumis à la Commission, à savoir les gestionnaires nationaux et locaux de la CANAM, de PACOSS, de PORGANIC et de la CANCAVA.

Sur la pertinence des données traitées

Le NIR sera utilisé afin de contribuer à l'identification des cotisants par les organismes sociaux partenaires dans la mesure où certains travailleurs indépendants ont plusieurs SIRET correspondant à leurs différentes activités.

La Commission observe que les articles R. 115-1 et R. 115-2 du code de la sécurité sociale autorisent l'ensemble des organismes sociaux partenaires de net-DCR à utiliser le NIR.

S'agissant des autres catégories d'informations traitées dans le cadre de net-DCR, celles-ci apparaissent conformes aux données figurant dans, le modèle du formulaire "déclaration commune des revenus des professions indépendantes pour l'année 2002" fixé par un arrêté du 25 avril 2002.

Dans ces conditions, la Commission n'a pas d'observation à formuler sur la pertinence des données traitées.

Sur les sécurités mises, en oeuvre

Le téléservice net-DCR devrait entraîner la constitution par le GIP-MDS d'une base de données nominatives sur les professions indépendantes ayant souhaité adhérer au dispositif.

Dès lors, la Commission considère que la sécurisation des échanges, des sessions de télédéclaration ou de consultation, et du stockage des données est un objectif revêt en l'espèce une importance particulière.

La Commission observe à cet égard que l'hébergement des différents sites Internet du dispositif net-entreprises est réparti entre la CNAVTS (pour l'inscription des déclarants), la société Matra global net services (pour la gestion du site portail www.net-entreprises.fr) et la société France Telecom-Equant (pour l'hébergement des sites déclaratifs).

La Commission prend acte des mesures de sécurité physiques et logiques adoptées pour garantir la confidentialité et l'intégrité des données traitées dans le cadre du service net-DCR.

La Commission estime néanmoins que le dispositif de journalisation des connexions existant devrait être amélioré en prévoyant une exploitation régulière des données de connexion et un recueil de données sur la nature des opérations effectuées à chaque connexion de façon à permettre une détection et une correction d'éventuelles intrusions dans le système d'information.

La Commission relève par ailleurs que le GIP-MDS met en oeuvre une procédure de jeton sécurisé après authentification des déclarants par login et mot de passe afin de sécuriser les sessions d'accès au téléservice.

La Commission n'a pas, en l'état, d'observations à formuler sur le dispositif d'authentification par login et mot de passe aujourd'hui déployé par le GIP-MDS, sans préjudice des avis ou recommandations qu'elle sera amenée à émettre ultérieurement sur le recours à des dispositifs alternatifs.

A cet égard, la Commission observe qu'une étude est en cours de réalisation par le GIP-MDS visant à la mise en oeuvre, dans le cadre du programme net-entreprises, d'un procédé d'authentification des déclarants reposant sur l'émission de certificats électroniques personnels normalisés, projet dans lequel l'utilisation du NIR ne serait pas exclue.

La Commission estime qu'une utilisation du NIR à de telles fins ne peut qu'appeler de sa part une réserve de principe dans la mesure où la concrétisation d'un tel projet constituerait un précédent en faveur de l'utilisation généralisée de cet identifiant particulier dans le cadre de dispositifs de certificats électroniques délivrés aux citoyens souhaitant acheter ou vendre sur Internet, voter à distance, consulter leur e-dossier, etc., et aurait, pour conséquence la constitution, par les sociétés de certification prestataires, de bases de données contenant les références de plusieurs millions d professionnels ou de leurs délégataires identifiés par leur NIR.

Enfin, la Commission considère que la sécurité du traitement devrait être renforcée sur le plan juridique par l'intégration dans les contrats de prestation de service, au-delà des clauses de confidentialité et de réversibilité déjà introduites, d'une clause de non-détournement de finalité.

Sur les durées de conservation des données

Le GIP-MDS assurera une historisation des déclarations sur le site net-DCR sur quatre années afin de permettre aux déclarants d'apporter aisément la preuve du contenu de leur déclaration durant les délais de prescription légaux.

La Commission considère que cette durée n'est pas excessive au regard des finalités poursuivies,

Sur l'information des personnes concernées

L'information des cotisants sera réalisée sur le site www.net-entreprises.fr et notamment sur les pages où la collecte des informations, nominatives sera opérée.

La Commission prend acte de ces mesures d'information des personnes concernées.

EMET UN AVIS FAVORABLE à la demande d'avis présentée par le GIP-MDS sous réserve que :

- le dispositif de journalisation des connexions existant prévoie une exploitation régulière des données de connexion et un recueil de données sur la nature des opérations effectuées à chaque connexion ;

- une clause de non-détournement de finalité soit intégrée dans le contrat liant le GIP-IVMS à l'entrepri se assurant l'hébergement du site net-DCR ;

DEMANDE à être rendue destinataire d'un bilan de la mise en oeuvre du téléservice dans un délai d'un an.

Le Président, Michel GENTOT.

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: