• Home  / 
  • DELIBERATION 2011-012

DELIBERATION 2011-012

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés,

Saisie par la Caisse nationale des allocations familiales (CNAF) d'une demande d'autorisation relative au traitement de données à caractère personnel dénommé Base nationale fraude (BNF) ayant pour finalité la constitution et la gestion d'une base d'information sur les dossiers des allocataires fraudeurs ;

Vu la Convention n°108, du 28 janvier 1981, du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et notamment son article 25-I-3° ;

Vu le décret n°2005-1309 du 20 octobre 2005 pris pour l'application de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifié par le décret n°2007-451 du 25 mars 2007 ;

Vu les articles L.114-9 et suivants du code de la sécurité sociale;

Après avoir entendu M. Philippe GOSSELIN, commissaire, en son rapport et
Mme Elisabeth ROLIN, commissaire du Gouvernement, en ses observations ;

Formule les observations suivantes :

La Commission nationale de l'informatique des libertés a été saisie par la Caisse nationale des allocations familiales (CNAF) d'un traitement de données à caractère personnel ayant pour finalité la constitution et la gestion d'une base d'information sur les dossiers des allocataires fraudeurs dénommée Base nationale Fraude (BNF).

Conformément à l'article 25-I-3° de la loi du 6 janvier 1978 modifiée le 6 août 2004, le traitement BNF relève du régime de l'autorisation applicable aux traitements portant sur des données relatives aux infractions, condamnations ou mesures de sûreté .

Le traitement BNF est créé dans le cadre de la politique de lutte contre la fraude développée par la CNAF depuis la loi n°2007-1786 du 19 décembre 2007, telle que définie par les articles L.114-9 et suivants du code de la sécurité sociale.
La Base nationale fraude (BNF) participera à une meilleure connaissance des fraudes, ainsi qu'à une meilleure collaboration entre les CAF et la CNAF pour identifier les fraudes organisées (qui concernent différents allocataires) ou multiples (effectuées par un même allocataire sur plusieurs CAF).

Concrètement, dans l'application BNF, une fraude s'identifiera via :
1/ le code CAF,
2/ le matricule (10 caractères),
3/ la codification selon la nomenclature Actes d'omission et de fausse déclaration / Fraudes à l'isolement (qui sont propres aux prestations pour parents isolés) / Faux et usage de faux / Escroqueries) ,
4/ la codification Fraude individuelle (saisie par les référents Fraude des CAF) ou multiple (saisie par la mission nationale Fraude de la CNAF).

La BNF constitue donc une base de données alimentée, d'une part, automatiquement par le système d'informations CRISTAL (dédié à la gestion des allocataires) ou par le module CORALI (dédié au suivi des fraudes) et, d'autre part, manuellement par les référents Fraude désignés à l'échelle locale (CAF) et à l'échelle nationale (CNAF).

Sur les finalités poursuivies par le traitement

Le traitement BNF constitue une base de données centralisant l'accès aux informations relatives aux allocataires fraudeurs. Elle permet à la fois une meilleure prévention du risque de fraude et l'observation statistique des pratiques de fraude.

La Commission rappelle que la mise en place de ce nouveau système d'information et de pilotage sur les fraudes n'a pas pour vocation de permettre le suivi local des fraudes au sein de chaque organisme, ce suivi étant déjà assuré par un module spécifique de CORALI.

Le traitement de données à caractère personnel BNF répond à cinq finalités :
1/ Recueillir, enregistrer et stocker, dans une base unique, les informations concernant les personnes ayant commis une fraude, individuelle ou multiple ;
2/ Consulter une base d'information sur la fraude complète, précise et commune aux échelons locaux (CAF) et national (CNAF) ;
3/ Qualifier, gérer et suivre (procédures et impacts financiers) les fraudes multiples en créant un processus de signalement rapide et simplifié de la CNAF et, le cas échéant, des CAF concernées ;
4/ Offrir une meilleure connaissance de la typologie de la fraude, des techniques et des stratagèmes utilisés par les fraudeurs en vue d'une meilleure prévention de la fraude ;
5/ Elaborer des statistiques et notamment un rapport annuel sur les fraudes pour l'Etat.

Concernant la première finalité, la Commission relève que la saisie des informations doit être effectuée manuellement, et au cas par cas, mais que la saisie des données identifiantes de la personne concernée pourra résulter de l'exportation de données déjà contenues dans CRISTAL ou CORALI, pour faciliter l'opération de saisie effectuée par les agents.

Concernant la troisième finalité, seul le responsable Mission Nationale Fraude de la CNAF sera habilité à identifier une fraude groupée ou multiple.

La qualification en fraude organisée ou multiple, et l'attribution d'un numéro national de fraude, donnera lieu à notification systématique de tous les référents Fraude des CAF.
Les agents du service contentieux et du service Fraude saisiront manuellement dans l'application CRISTAL les informations relatives à une nouvelle phase judiciaire, à des sanctions administratives, à un recouvrement ou à un nouvel impact financier.

Concernant la cinquième finalité, la CNAF souhaite exploiter les informations traitées pour répondre aux exigences de suivi et de synthèse des fraudes découlant de la loi de financement de la sécurité sociale pour 2006. Concrètement, il s'agira de veiller à l'élaboration d'un tableau de bord des fraudes, et à des consolidations locales ou nationales sur certains critères : préjudice financier, typologie de fraudes, modalités de détection, montants des indus récupérés et montant des pénalités récupérées.

Finalement, la BNF vise à un partage de l'information relative aux fraudes entre les agents des CAF et de la CNAF, afin d'améliorer leur prise en charge, leur prévention et leur détection, en particulier lorsque celles-ci relèvent de fraudes organisées ou multiples.

Sur les catégories de données traitées

La consultation de la base permettra d'accéder à des données correspondant à toutes les fraudes de la base, aux fraudes du seul organisme concerné, aux éventuels bailleurs concernés, aux regroupements locaux de fraudeurs, aux signalements nationaux de fraudeurs, aux nouveaux stratagèmes utilisés et à une cartographie de la fraude qui sera réalisée en fonction de la nomenclature de la fraude constatée.

Les informations collectées et traitées dans la BNF correspondent aux données suivantes :
- la typologie de la fraude constatée (fausse déclaration ou omission de déclaration, fraude à l'isolement, faux et usage de faux, escroquerie) ;
- la date de détection de la fraude ;
- la nature de la fraude ;
- l'identifiant national attribué à la fraude en cas de fraude multiple ou organisée ;
- l'identification de l'auteur : nom / prénom, date et lieu de naissance, adresse, références bancaires), le numéro CAF, à l'exclusion du NIR ;
- l'organisme impacté ;
- le cas échéant, le bailleur : nom, adresse, références bancaires, numéro interne d'identification, statut par rapport à la fraude (non impliqué, impliqué, auteur) ;
- les prestations concernées (nature, période, montant) ;
- le cas échéant, la date de l'information communiquée par la DRJSCS et/ou par les autres organismes de protection sociale ;
- le cas échéant, la date du dépôt de plainte ;
- le montant du préjudice financier et des pénalités (le montant consolidé du préjudice en cas de fraude organisée) ;
- une courte description de la fraude ;
- les informations relatives aux suites judiciaires et/ou sanctions administratives.

Ces données ne comportent aucune appréciation sur les difficultés sociales des personnes, ni aucune donnée sensible au sens de l'article 8 de la loi du 6 janvier 1978 modifiée.

L'ensemble des données relatives aux bailleurs, éventuels fraudeurs, et notamment leurs coordonnées, sont enregistrées dans la base de données complémentaire dénommée Données de référence , inscrite dans l‘acte réglementaire relatif à CRISTAL.

S'agissant des modalités de saisie d'informations en champ libre, notamment les données permettant une description courte de la fraude , la Commission rappelle que les contributeurs doivent être informés du caractère objectif et strictement nécessaire des données à saisir pour identifier plus précisément la typologie des actes frauduleux.

C'est pourquoi la Commission recommande que la mention suivante apparaisse en filigrane ou en surimpression du champ libre accessible sur le progiciel : Seules doivent être saisies les informations pertinentes au regard du contexte. Elles ne doivent pas comporter d'appréciation subjective, ni faire apparaître, directement ou indirectement, les origines raciales, les opinions politiques, philosophiques ou religieuses, les appartenances syndicales ou les mœurs de la personne concernée .

Sur les catégories de destinataires

Les destinataires de l'ensemble de ces données sont les agents chargés du contentieux et de la fraude au sein des CAF, les experts régionaux en charge de la maîtrise des risques, les membres de la Mission Nationale Fraude de la CNAF.

Sur la sécurité

Concernant la sécurité des données, l'application BNF ne sera disponible que sur le réseau interne de la CNAF et des CAF, ce qui limite fortement les risques d'accès non autorisés. Les mesures de sécurité relatives à de la conception et de la maintenance de l'application, ainsi que les sauvegardes (réalisées sur un site spécifique de la CNAF situé à Nice), n'appellent pas de remarques particulières.

L'accès à la base sera réservé à des personnes strictement habilitées, soit le Directeur et l'Agent comptable ou leurs délégataires, les référents en matière de fraude, le personnel du service contentieux habilité à gérer la fraude, les experts régionaux en matière de maîtrise de risques.

La gestion des habilitations d'accès CAF et CNAF en consultation et en écriture concerne tous les référents fraudes des CAF, les référents régionaux et le responsable de la mission nationale fraude . Ils sont soumis à un triple régime d'habilitation ( administrateur , acteur fraude et consultant ) qui permettent de distinguer :
- les habilitations en création/modification des dossiers des personnes concernées ;
- la consultation du dossier ;
- la création et la suppression des habilitations.

Par ailleurs, l'authentification des agents se fait au moyen d'un mot de passe alphanumérique de 8 caractères, valable 90 jours. Le mot de passe est automatiquement bloqué après 3 tentatives erronées. Ces mesures de sécurité sont donc satisfaisantes.

Les accès à l'application sont journalisés, pour permettre d'identifier l'utilisateur connecté ainsi que le type d'accès. Les logs de connexion sont conservés 12 mois.

Enfin, la Commission approuve que BNF ne réalise pas d'interconnexion, mais se borne à faciliter la saisie manuelle, et au cas par cas, de certaines informations par importation de certaines données identifiantes contenues dans CORALI et dans CRISTAL.


Sur la conservation des données

La CNAF indique qu'elle conservera les données 3 ans à compter de la date d'intégration du dossier dans la BNF . Cette durée de conservation n'appelle pas d'observation.

Sur les droits des personnes

Conformément à l'article 32 de la loi du 6 janvier 1978 modifiée en 2004, l'information des personnes aura lieu par la voie d'une mention sur le site Internet de la CNAF.

Outre cette information en ligne, la Commission préconise que les personnes concernées soient informées individuellement (par voie postale ou courriel) de leur inscription dans la BNF.

Les données relatives aux bailleurs, qui figurent tous dans le traitement Données de référence (inscrit dans le dernier acte réglementaire CRISTAL voté par la CNAF), seront saisies dans BNF en précisant impérativement si le bailleur est non impliqué dans la fraude, impliqué ou co-auteur de la fraude.

Les bailleurs signalés comme fraudeurs et saisis avec la mention impliqué ou auteur seront obligatoirement informés de l'inscription de leur dossier dans la BNF.

Le droit d'accès pourra être exercé auprès du directeur de la CAF concernée.

Enfin, conformément à l'article 39 de la loi du 6 janvier 1978 modifiée, la Commission relève que tout bénéficiaire auquel serait opposée une décision, doit pouvoir accéder à l'ensemble des informations recueillies par les agents de la CNAF et des CAF pour prendre cette décision.


*


En conclusion, la Commission autorise la Caisse nationale des allocations familiales à mettre en œuvre le traitement de données à caractère personnel BNF compte tenu que :
- les informations relatives aux fraudeurs seront limitées aux informations strictement nécessaires à la reconnaissance et à la prévention de la fraude ;
- l'accès à la base donne lieu à un triple régime d'habilitations ;
- la CNAF présentera à la Commission un bilan sur la mise en œuvre de la Base nationale fraude à l'issue d'un délai de trois ans.

La Commission estime que le bilan communiqué à la Commission devrait notamment faire apparaître:

- un descriptif des habilitations au sein des CAF (nombre d'agents habilités à consulter, modifier et supprimer les données),
- les améliorations réalisées, et prévues, en termes de prévention et de lutte contre la fraude,
- un tableau récapitulant les statistiques de la BNF (nombre de consultations par les agents habilités des CAF et de la CNAF ; nombre de fraudes individuelles, groupées ou multiples recensées ; proportion des fraudes inscrites dans la BNF ayant donné lieu à des pénalités et/ou à un dépôt de plainte au Parquet, suivi des mises à jour et des purges de la BNF),
- les actions menées pour informer les personnes de leurs droits.

Le Président


Alex TÜRK

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: