• Home  / 
  • DELIBERATION 2011-88

DELIBERATION 2011-88

By Thiébaut Devergranne / 5 years ago

(demande d’autorisation n°1293349/2)
La Commission nationale de l’informatique et des libertés ;
Vu la Convention n°108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée par la loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, notamment son article 25-I-3° et 25-I-5° ;
Vu le décret n°2005-1309 du 20 octobre 2005 pris pour l’application de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifié par le décret n° 2007-451 du 25 mars 2007 ;
Vu la demande d’autorisation formulée par l’URSSAF de Paris– région parisienne concernant la mise en œuvre d'un traitement automatisé de données à caractère personnel ayant pour finalité la prévention et la détection des fraudes en matière de recouvrement des cotisations et des contributions sociales.
Après avoir entendu M. Philippe Gosselin, Commissaire, en son rapport, et Mme Elisabeth ROLIN, commissaire du gouvernement, en ses observations ;
Formule les observations suivantes :
Le 6 novembre 2008, la Commission nationale de l’informatique et des libertés avait autorisé l’URSSAF de Paris –région parisienne à mettre un traitement expérimental pour une durée de 24 mois, destiné à la prévention et à la détection des fraudes.
Ce traitement expérimental a permis de détecter le plus en amont possible certaines situations objectives, et strictement limitées, susceptibles de présenter un risque sérieux pour le recouvrement des cotisations et contributions sociales, et de contribuer en collaboration avec les pouvoirs publics à la lutte contre la fraude et le travail illégal.
De 2008 à 2010, le dispositif envisagé par l’URSSAF a permis de collecter des données à caractère personnel relatives à 4 200 personnes physiques dirigeant 9 200 entreprises portant sur des infractions ou des condamnations pénales telles que le travail illégal, l’établissement de fausses déclarations de paiement des cotisations, ainsi que des condamnations civiles comme l’interdiction de gérer et la faillite personnelle.
Ces données ont été rapprochées avec le fichier des entreprises nouvellement immatriculées sur la base du nom et du prénom des dirigeants, de leur date et lieu de naissance, et le cas échéant, de leur adresse professionnelle et personnelle.
A l’issue du rapprochement, et après analyse au cas par cas des données par une cellule spécialisée dédiée à la lutte contre la fraude, l’URSSAF de Paris a répertorié les dirigeants ayant fait l’objet de l’une des six situations suivantes : liquidation judiciaire, interdiction de gérer, faillite personnelle, travail dissimulé, production de fausses attestations de paiement des cotisations, déclarations de salaires minorées ou atypiques, déclarations uniques d’embauche non suivies d’effet.
L’analyse des données collectées a permis de constater que 80% des individus incriminés étaient à la tête d’une ou deux entreprises, mais que 20% d’entre eux possédaient 6 entreprises en moyenne, augmentant ainsi considérablement les risques de fraude multiple.
L’inscription dans le fichier des cotisants à risque a conduit l’URSSAF de Paris à prendre des décisions sur les suites à donner à certains dossiers après examen détaillé de chaque situation. Ainsi, les actions menées par l’Urssaf ont consisté en l’apposition d’un code spécifique sur les comptes cotisants, la saisine du Parquet et des tribunaux, et le contrôle des cotisations des entreprises (à jour ou non).
En début d’année 2011, conformément aux termes de la délibération n°2008-382 du 6 novembre 2008, l’Urssaf de Paris a transmis à la CNIL un bilan de l’expérimentation menée au cours des deux années écoulées.
La présente saisine de la Commission vise, d’une part, à prolonger l’expérimentation autorisée pour 24 mois pour une nouvelle période de 24 mois, et, d’autre part, à apporter certaines modifications au traitement, concernant notamment les conditions d’inscription dans le dossier et les destinataires des données.
La Commission prend acte qu’aucune décision automatique ne sera prise et que les mesures envisagées ne sont nullement dérogatoires aux règles de droit commun.
Il y a lieu, en l’espèce, de faire application de l’article 25-I-3° et 25-I-5° de la loi du 6 janvier 1978 modifiée en août 2004 qui soumet à autorisation préalable de la CNIL les traitements automatisés portant des données relatives aux infractions, condamnations ou mesures de sûreté.
Le traitement soumis à la Commission est un traitement expérimental qui serait prolongé pour une durée de 24 mois. A l’issue de cette période, l’URSSAF de Paris s’engage à saisir la Commission et lui à adresser un nouveau bilan de l’expérimentation pour qu’elle autorise la reconduction ou l’extension du traitement.
Les données à caractère personnel enregistrées et traitées seront les suivantes:

  • Données relatives aux entreprises et dirigeants présentant l’une des situations suivantes : liquidation judiciaire, interdiction de gérer, faillite personnelle, travail dissimulé, production de fausses attestations de paiement des cotisations, déclarations de salaires minorées ou atypiques, déclarations uniques d’embauche non suivies d’effet ;
  • Coordonnées des entreprises concernées, à savoir : raison sociale, adresse, n° Siren, n° Siret, n° de compte Urssaf ;
  • Coordonnées des dirigeants, à savoir : nom patronymique, nom d’usage, prénom, civilité, date et lieu de naissance, adresse personnelle ;
  • Montant, période et la nature des créances de l’Urssaf à l’égard des entreprises concernées ;
  • Procédures engagées et jugements rendus à l’encontre des entreprises concernées et le cas échéant, de leurs dirigeants.

Les données collectées seront croisées avec une base de données comportant la raison sociale des entreprises, leur adresse de domiciliation et leur numéro d’identification. Ce croisement permettra de tracer les dirigeants coupables de faits délictueux et ayant pour siège une adresse de domiciliation commerciale.
L’inscription d’un dirigeant sur le fichier des cotisants à risque ne peut résulter que de motifs objectifs opposables à la personne concernée, faisant abstraction de tout jugement de valeur ou d’une appréciation sur son comportement et représentant un certain niveau de gravité.
La Commission a pris acte que, par principe, un seuil minimum de 100 euros de cotisations et contributions non recouvrées conditionne l’inscription au fichier (ce seuil est apprécié au moment où l’Urssaf a eu connaissance de l’une des 6 situations répertoriées).
Toutefois, un jugement d’interdiction de gérer ou de faillite personnelle rendu à l’encontre du dirigeant ou l’admission d’une créance Urssaf en « non valeur » (c'est-à-dire lorsque les chances de recouvrement sont irrémédiablement compromises) constitueront des exceptions au principe de non inscription .
Elle prend également bonne note du fait que les personnes physiques ayant formellement contesté les créances dues à l’Urssaf ou en cours de procédure amiable ou judiciaire ne seront pas inscrites dans le fichier des cotisants à risque. Leur inscription ne pourra intervenir qu’une fois le différend tranché et les voies de recours épuisées.
Cependant, le dirigeant visé pourra être inscrit au fichier en cas de créance contestée dans deux cas de figure : en cas d’interdiction de gérer ou de faillite personnelle prononcées par jugement ou bien en cas de procès verbal de travail dissimulé.
Elle constate que des mesures ont été prises pour pallier tout risque d’homonymie (collecte de la date et du lieu de naissance des personnes physiques).
Enfin, une interconnexion avec le fichier des entreprises ayant pour siège une société commerciale dont l’objet est la domiciliation commerciale fera apparaître un risque de non recouvrement de cotisations plus élevé (notamment du fait des pratiques de sociétés domiciliées se dispensant d'établir leurs déclarations, ou en minorant leur montant).
Les données seront conservées cinq années à compter de la date de commission des faits.
La Commission relève que l’Urssaf de Paris s’est engagée à mettre en œuvre des procédures de mise à jour et de suppression des informations des données pour effacer du fichier les enregistrements correspondant à des faits commis depuis plus de cinq ans.
Seule une cellule spécialisée dédiée à la lutte contre la fraude et composée de sept personnes sera rendue destinataire des données.
Les membres de cette cellule sont physiquement installés au siège de l’Urssaf de Paris et leurs postes de travail sont protégés par des mots de passe individuels. L’accès au fichier des cotisants à risque n’est possible qu’après identification de l’utilisateur. Les connexions ou tentatives de connexion sur le compte d’un des membres de la cellule font l’objet d’un enregistrement.
Seront également habilités à accéder au fichier en consultation seule : les cadres supérieurs chargés du recouvrement (30 agents), les cadres supérieurs chargés du contrôle (30 agents), les inspecteurs assermentés chargés de la lutte contre le travail illégal (25 agents) et les responsables de centres d’accueil (8 agents).
Un représentant du Directeur général de l’Urssaf disposera d’un profil « administration », lui permettant de consulter et de mettre à jour la base, ainsi que de gérer les habilitations.
Les connexions et tentatives de connexion feront l’objet d’un traçage.
L’URSSAF expérimentera la mise en place d’un système de signalement trimestriel, sur support papier ou en pièce jointe cryptée d’un courrier électronique, des dirigeants ayant fait l’objet d’une interdiction de gérer, ou déclarés en faillite personnelle, pour permettre une action rapide du Parquet face à de nouveaux agissements frauduleux commis par ces derniers.
En outre, une mention (dite « mention PARA ») sera reportée sur les comptes des cotisants gérés par les agents URSSAF habilités à (mentionnant notamment l'existence d'un redressement pour cause de travail illégal) pour alerter ces derniers (qu'ils soient gestionnaires de comptes, rédacteurs juridiques, conseillers, contrôleurs ou autres) de l’enregistrement du cotisant sur le traitement de recouvrement des cotisations et contributions sociales. Ces agents sont tous tenus au secret professionnel.
Enfin, la transmission d’informations aux Procureurs de la République et aux Présidents des tribunaux de commerce sera réalisée sur support papier, ou sous un format électronique sécurisé.
Les cotisants seront informés, au moment de la collecte des informations les concernant, par une mention apposée sur les formulaires, précisant : « Toute fraude ou fausse déclaration pourra faire l’objet d’un traitement informatique spécifique ».
La Commission prend acte qu’une information relative au traitement a également été diffusée par la publication d’un acte réglementaire dans le Bulletin Officiel Santé-Protection Sociale-Solidarités, par l’affichage de cet acte réglementaire dans tous les centres d’accueil de l’Urssaf de Paris et par son insertion dans le registre des traitements tenu par le Correspondant Informatique et Libertés, librement consultable par les cotisants dans tous les centres d’accueil de l’Urssaf.
Dès lors, les personnes seront informées de la prolongation de cette expérimentation par la publication d’un nouvel acte réglementaire dans le bulletin officiel, et par un affichage de ce même acte dans les locaux de l’Urssaf où sont reçus les cotisants.
Le droit d’accès et de rectification défini au chapitre VII de la loi s’exercera auprès de l’Urssaf de Paris et de la région parisienne - Correspondant Informatique et Libertés, 22-24, rue de Lagny, 93100 – Montreuil-sous-Bois
Dans ces conditions, la Commission autorise l’Urssaf de Paris – région parisienne à mettre en œuvre, pour une durée de 24 mois supplémentaires, le traitement de données à caractère personnel ayant pour finalité la prévention et la détection des fraudes en matière de recouvrement des cotisations et contributions sociales.

Le Président
Alex TURK

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: