• Home  / 
  • DELIBERATION 2010-474

DELIBERATION 2010-474

By Thiébaut Devergranne / 5 years ago

Demande d’autorisation n°1441516
Vu la convention n°108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, et notamment son article 25 I 5 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifié en 2007 ;
Vu la demande d’autorisation déposée par la Caisse nationale des allocations familiales (CNAF) en concertation avec d’une part la Caisse centrale du mutualité sociale agricole (CCMSA) et d’autre part, le Ministère du Budget, des Comptes Publics, de la Fonction Publique et de la Réforme de l’Etat et relative à une interconnexion de fichiers de données à caractère personnel pour la lutte contre la fraude aux faux isolements.
Sur le rapport de M. Philippe GOSSELIN, commissaire, et les observations de Mme Elisabeth ROLIN, commissaire du Gouvernement.
Formule les observations suivantes :
La Commission a été saisie, le 9 juillet 2010, par la Caisse Nationale des Allocations Familiales en concertation avec la Caisse centrale du mutualité sociale agricole et du Ministère du Budget, des Comptes Publics, de la Fonction Publique et de la Réforme de l’Etat d'un dossier de formalités préalables portant sur une interconnexion entre son fichier CRISTAL de gestion des allocataires et une extraction du fichier « TH » (Taxe d’habitation) de la DGFIP.
La Commission considère que cette interconnexion relève du 5° du I de l’article 25 de la loi du 6 janvier 1978 modifiée qui prévoit que sont mis en œuvre après autorisation de la Commission Nationale de l’informatique et des libertés les traitements automatisés ayant pour objet l’interconnexion de fichiers relevant d’une ou de plusieurs personnes morales gérant un service public et dont les finalités correspondent à des intérêts publics différents.
Dans un premier temps, une expérimentation aura lieu sur 12 mois, la période de référence est l’année 2008 et l’année 2009 (de janvier à mai du fait de la transformation du dispositif RMI vers le RSA au 1er juin 2009).
L’interconnexion se déroulera de la manière suivante :
Au préalable, la DGFiP transmettra à la CNAF un fichier intitulé « Fichier de contrôle des bénéficiaires du RMI/RSA à destination de la CNAF/CCMSA » et extrait de son fichier « TH ». La CNAF à partir du Répertoire national des bénéficiaires déterminera ses allocataires, c’est-à-dire ceux relevant du régime général.
Dans un second temps, les données des allocataires non identifiés ou inconnus du régime général seront adressées à la Direction de la maîtrise des risques de la CCMSA. Celle-ci assurera l’identification et la ventilation des dossiers aux caisses de Mutualité sociale agricole (MSA).
Puis, les données ainsi communiquées seront recoupées avec les données des allocataires issus du fichier CRISTAL de la CNAF qui élaborera un ensemble de requêtes afin de détecter des fraudes potentielles.
A l’issue de cette opération, un fichier faisant figurer toutes les anomalies constatées sera généré.
Sur les finalités
L’interconnexion des fichiers a pour finalité d’identifier les allocataires (actuels bénéficiaires du RSA), durant la période de référence susvisée, qui se déclarent isolés ou qui auraient pu omettre de déclarer une colocation ou les ressources d’une autre personne présente dans le logement.
Par la suite, un fichier des anomalies constatées sera établi afin que les CAF concernées sélectionnent les dossiers allocataires et procèdent à un contrôle sur place afin de collecter des informations supplémentaires. Par la suite, elles déterminent si la fraude est avérée et prennent les mesures adéquates.
En outre, il s’agira aussi de vérifier le type et le nombre d’anomalies relevées suite aux recoupements, ainsi que la pertinence des critères utilisés qui ne sont pas encore prédéfinis, au stade de l’expérimentation.
L’article L.224-14 du Code de la sécurité sociale dispose que « les caisses nationales mentionnées aux articles L. 221-2, L. 222-4 et L. 223-2 mettent en œuvre ou coordonnent des actions de contrôle sur le service des prestations afin de détecter les fraudes et les comportements abusifs. Elles peuvent à ce titre utiliser des traitements automatisés des données relatives au service des prestations ».
Par ailleurs, la Commission observe que l’interconnexion s’appuie sur l’article L.262-33 du code de l’action sociale et des familles qui dispose que les organismes payeurs mentionnés à l’article L.262-30 du même code, en l’espèce la CNAF et la CCMSA, peuvent dans le cadre des vérifications qu’elles opèrent sur les déclarations des bénéficiaires du RMI/RSA « demander toutes les informations nécessaires aux administrations publiques, et notamment aux administrations financières (…), qui sont tenues de les leur communiquer. »
La Commission considère que la finalité décrite ci-dessus est légitime.
Sur les données traitées et la durée de conservation
Durant la phase pilote, une extraction de l’application TH de la DGFiP sera communiquée à la CNAF.
L’extraction de l’application TH de la DGFiP comportera les données suivantes :

  • titre, nom, prénom
  • date de naissance
  • commune et département de naissance
  • numéro séquentiel du contribuable
  • situation familiale (mariée, pacsée, célibataire, veuve, séparée ou divorcée)
  • nombre de personnes à charges à l’impôt sur le revenu en distinguant celles à 50% (enfants en résidence alternée) et celles à 100%
  • adresse du local
  • numéro séquentiel du local (pour associer les différentes personnes vivant dans un même local)
  • nature du local
  • nature d’affectation afin de préciser la qualité de l’occupant au regard de la taxe d’habitation
  • revenu fiscal de référence et année de revenus retenue
  • nombre de parts à l’impôt sur le revenu
  • codes dégrèvements de TH prévus par l’article 1414 III du CGI

Puis, la CNAF réalise un recoupement avec les informations qu’elle détient déjà sur les personnes concernées dans son application de gestion des bénéficiaires CRISTAL, à savoir :
-nom, prénom
-adresse
-date de naissance
-situation familiale
-revenus
Le recoupement s’effectue à partir du nom, prénom et de la date de naissance de la personne.
La Commission note que seules les données strictement nécessaires du fichier de la CNAF seront interconnectées avec les fichiers de la DGFiP.
Le numéro de sécurité sociale ne sera pas utilisé pour l’interconnexion des fichiers.
Un nouveau fichier sera créé et fera figurer toutes les anomalies constatées servant de base aux contrôles diligentés par les contrôleurs de la CAF auprès des allocataires.
Aucune décision produisant des effets juridiques ne sera prise directement sur le fondement du traitement automatisé.
Les données issues des fichiers transmis par la DGFiP ne seront pas intégrées au système de gestion des prestations des CAF. Elles seront détruites par les CAF à l’issue des contrôles. En tout état de cause, la durée de conservation ne pourra pas excéder un an.
Sur les destinataires
Les destinataires habilités à recevoir communication des données seront les seules personnes habilitées dans le cadre de leur mission, à savoir le personnel habilité de la mission fraude de la CNAF, ainsi que le personnel habilité des CAF qui représente en moyenne 4 personnes.
Sur les droits des personnes
Conformément à l’article 32 I de la loi du 6 janvier 1978 modifiée, les personnes seront informées par une mention sur le site internet des CAF. Une mention d’information figure déjà sur les formulaires de la DGFiP.
L’allocataire faisant l’objet d’un soupçon de fraude conduisant à un contrôle sera informé de la procédure en cours et des voies de recours.
Le droit d’accès et de rectification s’exerce auprès du directeur de la caisse d’allocations familiales qui verse les prestations.
Sur les sécurités
La Commission prend acte que le fichier généré par la DGFiP sera mis à disposition de la CNAF de façon chiffrée, via la plate-forme sécurisée Escale. Les modalités de transmission permettront de s’assurer de la confidentialité des informations, ainsi que de la traçabilité des accès.
En outre, les transmissions du fichier en interne se feront de façon chiffrée, en utilisant le protocole CFT.
Dès lors, la Commission constate que toutes les mesures de sécurités sont prises pour assurer la communication des fichiers conformément à la loi du 6 janvier 1978 modifiée.
En conclusion, la Commission autorise la CNAF à interconnecter son fichier national des bénéficiaires du RMI avec l’extraction du fichier « TH » de la DGFiP dans le cadre de la lutte contre la fraude aux faux isolements et demande que lui soit communiqué le bilan aux termes des 12 mois de l’expérimentation.

Le Président


Alex TURK

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: