• Home  / 
  • DELIBERATION 2008-382

DELIBERATION 2008-382

By Thiébaut Devergranne / 5 years ago

(demande d’autorisation n°1293349)
La Commission nationale de l’informatique et des libertés ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée par la loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, notamment son article 25-I-3° ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifié par le décret n° 2007-451 du 25 mars 2007 ;
Vu la demande d’autorisation formulée par l’Urssaf de Paris – région parisienne concernant la mise en œuvre d'un traitement automatisé de données à caractère personnel ayant pour finalité la prévention et détection des fraudes en matière de recouvrement des cotisations et contributions sociales.
Après avoir entendu M. Hubert BOUCHET, Commissaire, en son rapport, et Mme Pascale COMPAGNIE, commissaire du gouvernement, en ses observations ;
Formule les observations suivantes :
La Commission nationale de l’informatique et des libertés a été saisie par l’Urssaf de Paris –région parisienne d’un dossier de déclaration relatif à un traitement expérimental destiné à la prévention et à la détection des fraudes.
L’objectif poursuivi par le déclarant est de détecter le plus en amont possible certaines situations objectives et strictement limitées susceptibles de présenter un risque sérieux pour le recouvrement des cotisations et contributions sociales, et de contribuer en collaboration avec les pouvoirs publics à la lutte contre la fraude et le travail illégal.
Le dispositif envisagé par l’Urssaf permet de collecter des données à caractère personnel relatives aux personnes physiques dirigeants d’entreprises portant sur des infractions ou des condamnations pénales tels que le travail illégal, l’établissement de fausses déclarations de paiement des cotisations, ainsi que des condamnations civiles comme l’interdiction de gérer et la faillite personnelle.
Ces données seront rapprochées avec le fichier des entreprises nouvellement immatriculées sur la base du nom et du prénom des dirigeants, de leur date et lieu de naissance, et le cas échéant, de leur adresse professionnelle et personnelle.
A l’issue du rapprochement, et après analyse au cas par cas des données par une cellule spécialisée dédiée à la lutte contre la fraude, l’Urssaf de Paris envisage de répertorier les dirigeants ayant fait l’objet de l’une des six situations suivantes : liquidation judiciaire, interdiction de gérer, faillite personnelle, travail dissimulé, production de fausses attestations de paiement des cotisations, déclarations de salaires minorées ou atypiques, déclarations uniques d’embauche non suivies d’effet.
L’inscription dans le fichier des cotisants à risque pourra ainsi conduire l’Urssaf de Paris à prendre des décisions sur les suites à donner à certains dossiers après examen détaillé de chaque situation. La Commission prend acte qu’aucune décision automatique ne sera prise et que les mesures envisagées ne sont nullement dérogatoires aux règles de droit commun.
Il y a lieu, en l’espèce, de faire application de l’article 25-I-3° de la loi du 6 janvier 1978 modifiée en août 2004 qui soumet à autorisation préalable de la CNIL les traitements automatisés portant des données relatives aux infractions, condamnations ou mesures de sûreté.
Le traitement soumis à la Commission est un traitement expérimental d’une durée de 24 mois. A l’issue de cette expérimentation, l’Urssaf de Paris s’est engagée à saisir la Commission et lui adresser un bilan de l’expérimentation pour qu’elle autorise la reconduction ou l’extension du traitement.
Les données à caractère personnel enregistrées et traitées seront les suivantes:

  • Données relatives aux entreprises et dirigeants présentant l’une des situations suivantes : liquidation judiciaire, interdiction de gérer, faillite personnelle, travail dissimulé, production de fausses attestations de paiement des cotisations, déclarations de salaires minorées ou atypiques, déclarations uniques d’embauche non suivies d’effet ;
  • Coordonnées des entreprises concernées, à savoir : raison sociale, adresse, n° Siren, n° Siret, n° de compte Urssaf ;
  • Coordonnées des dirigeants, à savoir : nom patronymique, nom d’usage, prénom, civilité, date et lieu de naissance, adresse personnelle ;
  • Montant, période et la nature des créances de l’Urssaf à l’égard des entreprises concernées ;
  • Procédures engagées et jugements rendus à l’encontre des entreprises concernées et le cas échéant, de leurs dirigeants.

L’inscription d’un dirigeant sur le fichier des cotisants à risque ne peut résulter que de motifs objectifs opposables à la personne concernée, faisant abstraction de tout jugement de valeur ou d’une appréciation sur son comportement et représentant un certain niveau de gravité.
La Commission prend acte de l’engagement de l’Urssaf de déterminer des seuils minimums s’agissant du montant des cotisations et contributions à recouvrer.
Elle prend également bonne note du fait que les personnes physiques ayant formellement contesté les créances dues à l’Urssaf ou en cours de procédure amiable ou judiciaire ne seront pas inscrites dans le fichier des cotisants à risque. Leur inscription ne pourra intervenir qu’une fois le différend tranché et les voies de recours épuisées.
Enfin, elle constate que des mesures ont été prises pour pallier tout risque d’homonymie (collecte de la date et du lieu de naissance des personnes physiques).
Les données seront conservées cinq années à compter de la date de commission des faits.
La Commission relève que l’Urssaf de Paris s’est engagée à mettre en œuvre des procédures de mise à jour et de suppression des informations des données pour effacer du fichier les enregistrements correspondant à des faits commis depuis plus de cinq ans.
Seule une cellule spécialisée dédiée la lutte contre la fraude et composée de six personnes sera rendue destinataire des données.
Les membres de cette cellule sont physiquement installés au siège de l’Urssaf de Paris et leurs postes de travail sont protégés par des mots de passe individuels. L’accès au fichier des cotisants à risque n’est possible qu’après identification de l’utilisateur. Les connexions ou tentatives de connexion sur le compte d’un des membres de la cellule font l’objet d’un enregistrement.
Les cotisants seront informés, au moment de la collecte des informations les concernant, par une mention apposée sur les formulaires, précisant notamment que toute fraude ou fausse déclaration pourra faire l’objet d’un traitement informatique spécifique. La Commission prend acte qu’elle sera informée des mentions d’information figurant sur les documents de l’Urssaf -lors du bilan qui lui sera présenté à l’issue de l’expérimentation du traitement.
Les personnes seront également informées par la publication de l’acte réglementaire dans le bulletin officiel et par un affichage de ce même acte dans les locaux de l’Urssaf où sont reçus les cotisants.
Le droit d’accès et de rectification défini au chapitre VII de la loi s’exercera auprès de l’Urssaf de Paris et de la région parisienne - Correspondant Informatique et Libertés, 22-24, rue de Lagny, 93100 – Montreuil-sous-Bois
Dans ces conditions, la Commission autorise l’Urssaf de paris – région parisienne à mettre en œuvre, pour une durée de 24 mois, le traitement de données à caractère personnel ayant pour finalité la prévention et la détection des fraudes en matière de recouvrement des cotisations et contributions sociales.

Le Président

Alex TURK

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: