La Commission nationale de l'informatique et des libertés a été saisie pour avis, le 20 juillet 2011, par le ministère des solidarités et de la cohésion sociale, d'un projet de décret en Conseil d'Etat portant modification et création de traitements automatisés de données à caractère personnel relatifs au revenu de solidarité active (RSA) et aux autres minima sociaux .
Ce projet de décret en Conseil d'Etat vise à :
― adapter et enrichir les traitements de données à caractère personnel dénommés "@RSA" et "Listes transmises aux présidents de conseils généraux" précédemment créés par le décret en Conseil d'Etat n° 2009-716 du 18 juin 2009 pris après avis de la CNIL du 4 juin 2009 ;
― créer un traitement sous la responsabilité de Pôle emploi relatif aux mesures d'orientation et d'accompagnement des bénéficiaires du RSA, afin de permettre aux présidents de conseils généraux et à Pôle emploi de mieux coordonner leurs actions respectives en disposant chacun des données relatives aux parcours d'insertion mis en place par l'autre ;
― créer un traitement relatif aux bénéficiaires de minima sociaux entre, d'une part, la Caisse nationale des allocations familiales (CNAF) et la Caisse centrale de mutualité sociale agricole (CCMSA) et, d'autre part, le Pôle emploi, afin que ce dernier puisse identifier parmi les demandeurs d'emploi ceux d'entre eux qui bénéficient du RSA, du revenu minimum d'insertion (RMI), de l'allocation de parent isolé (API) ou de l'allocation aux adultes handicapés (AAH).
Ce projet de décret est pris sur le fondement de l'article 27-I (1°) de la loi du 6 janvier 1978, modifiée le 6 août 2004, dans la mesure où le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques (NIR) est collecté dans les traitements concernés.
Sur la modification du traitement dénommé "@RSA" :
Le traitement de données à caractère personnel "@RSA" est une téléprocédure mise en œuvre par la CNAF, conformément à l'article R. 262-102 du code de l'action sociale et des familles (CASF), pour instruire les demandes de RSA et faciliter l'orientation des demandeurs vers un accompagnement social et professionnel adapté.
Les objectifs de ce traitement consistent à :
― renforcer la qualité du service, réduire le nombre de contacts, limiter les pièces justificatives demandées et fluidifier le processus de traitement des demandes (recueil des informations relatives aux conditions d'ouverture du droit au RSA dans le module "Instruction") ;
― faciliter la mise en œuvre du volet de la loi "orientation des bénéficiaires soumis au devoir d'insertion" (recueil d'informations complémentaires et proposition de décision d'orientation dans le module d'aide à l'orientation).
La commission relève que, de la même façon que pour l'ensemble des prestations de sécurité sociale, des contrôles visant à lutter contre la fraude sociale sont bien effectués sur les demandes de RSA. Ces contrôles étant mis en œuvre indépendamment du traitement "@RSA", ceci explique pourquoi les finalités de ce dernier ne les mentionnent pas. La commission observe que les bénéficiaires de RSA sont néanmoins informés de l'existence de ces contrôles et des sanctions pouvant en résulter, notamment, grâce aux récépissés qu'ils reçoivent à l'issue de l'instruction de leurs demandes.
La commission constate que chaque département peut décider de recourir au traitement "@RSA" sur son territoire ou s'en passer.
Sur la nouvelle finalité :
L'article 1er-I du projet de décret prévoit de modifier les dispositions de l'article R. 262-102 du CASF afin d'ajouter une nouvelle finalité au traitement "@RSA".
Il est envisagé de créer un guichet unique pour les demandes de RSA et de protection complémentaire en matière de santé (ci-après appelée couverture maladie universelle complémentaire ou CMU-C), dans le but de réduire le nombre de contacts et d'accélérer la procédure d'instruction des dossiers.
A l'issue de l'instruction d'une demande de RSA, l'outil "@RSA" offrira ainsi la possibilité aux instructeurs du RSA de saisir les informations relatives à une demande de CMU-C, dans le module "Instruction" et pour les seules personnes dont les ressources sont présumées inférieures ou égales au montant forfaitaire du RSA, puis de les transmettre sans délai aux caisses d'assurance maladie compétentes qui, à leur tour, orienteront les dossiers vers les organismes d'assurance maladie complémentaires choisis par les demandeurs.
La commission considère que cette nouvelle finalité qui implique la création de nouvelles interconnexions de fichiers est déterminée, explicite et légitime.
Sur les nouvelles données traitées :
L'article 1er-II du projet de décret en Conseil d'Etat prévoit de modifier les dispositions de l'article R. 262-103 du CASF relatif aux catégories de données pouvant être enregistrées dans le module "Instruction" du traitement "@RSA".
La commission considère que le recueil et le traitement de ces nouvelles données sont légitimes, pertinents et non excessifs au regard de la nouvelle finalité poursuivie.
Sur les nouveaux destinataires :
L'article R. 262-107 du CASF, tel que modifié par le projet de décret en Conseil d'Etat, prévoit que les agents individuellement habilités par le directeur de la caisse d'assurance maladie territorialement compétente pourront accéder aux données du traitement "@RSA" relatives à l'identification des personnes et aux demandes de CMU-C.
La commission considère que les nouveaux destinataires listés à l'article R. 262-107 du CASF ont un intérêt légitime à accéder aux données listées par le projet de décret en Conseil d'Etat.
Sur la durée de conservation des données :
L'article 1er-IV du projet de décret en Conseil d'Etat modifie l'article R. 262-106 du CASF relatif, notamment, à la durée de conservation des données du traitement "@RSA".
La nouvelle rédaction de cet article reprend les durées de conservation prévues lors de la création du traitement "@RSA" en intégrant les nouveaux acteurs chargés de l'instruction des demandes de CMU-C.
La commission considère que les durées de conservation des données n'excèdent pas celles qui sont nécessaires à l'accomplissement de la nouvelle finalité poursuivie.
Sur l'information des personnes et les droits d'accès et de rectification :
L'article 1er-III du projet de décret prévoit l'ajout d'un article R. 262-104-1 au CASF, relatif à l'information des personnes physiques concernées par le traitement "@RSA", qui concerne les modules "Instruction" et "Aide à l'orientation" de ce dernier et vise spécifiquement les demandes de CMU-C.
Par ailleurs, l'article R. 262-106-II du CASF également créé par le projet de décret en Conseil d'Etat prévoit, d'une part, que la transmission des données relatives à une demande de CMU-C doit être expressément autorisée par le demandeur et, d'autre part, que cette autorisation doit figurer sur le récépissé remis au demandeur.
Il convient également de relever que les formulaires à remplir pour obtenir le bénéfice de la CMU-C ainsi que les récépissés des demandes de RSA, de CMU-C et d'informations complémentaires comportent tous une mention informative suffisamment détaillée au regard de l'article 32 de la loi du 6 janvier 1978 modifiée.
Enfin, l'article 1er-VI du projet de décret en Conseil d'Etat précise que :
― l'organisme chargé du service du RSA doit satisfaire aux demandes de droit d'accès et de rectification des données recueillies dans le module "Instruction" du traitement "@RSA" relatives aux demandes de RSA ;
― la caisse d'assurance maladie compétente doit satisfaire aux demandes de droit d'accès et de rectification des données recueillies dans le module "Instruction" du traitement "@RSA" relatives aux demandes de CMU-C ;
― le département doit satisfaire aux demandes de droit d'accès et de rectification des données recueillies dans le module "Aide à l'orientation" du traitement "@RSA".
La commission considère ainsi que les mesures prévues au titre de l'information des personnes concernées par le traitement en cause sont satisfaisantes.
Sur les interconnexions :
La création d'un guichet unique pour instruire les demandes de RSA et de CMU-C implique la création de nouvelles interconnexions qui permettent l'orientation des dossiers de demande de CMU-C, par la branche famille des caisses d'assurance maladie, puis la branche maladie de ces dernières, vers les organismes d'assurance maladie complémentaire choisis par les demandeurs.
La commission considère que ces interconnexions sont légitimes.
Sur les mesures de sécurité :
Les organismes concernés par le traitement en cause ont tous mis en œuvre une politique d'habilitation, des accès aux systèmes protégés par des identifiants et des mots de passe, des contrôles d'accès logique et physique ainsi qu'une traçabilité des accès aux données.
La sécurité du dispositif n'appelle pas d'observation particulière.
Sur la modification du traitement dénommé "Listes transmises aux présidents des conseils généraux" :
Ce traitement, créé par le décret en Conseil d'Etat n° 2009-716 du 19 juin 2009 pris après avis motivé et publié de la CNIL, relève de la responsabilité de Pôle emploi et vise à permettre aux présidents de conseils généraux :
― de suivre les inscriptions, cessations d'inscription et radiations des bénéficiaires de RSA sur la liste des demandeurs d'emploi gérée par Pôle emploi ;
― de contrôler le respect de l'obligation faite à un bénéficiaire de RSA consistant à rechercher un emploi ou à entreprendre les démarches nécessaires à une meilleure insertion sociale ou professionnelle ;
― le cas échéant, de mettre en œuvre les sanctions prévues par l'article L. 262-37 du CASF (suspension partielle ou totale du versement du RSA).
Pour effectuer ce suivi, les présidents de conseils généraux reçoivent ainsi tous les mois de la part de Pôle emploi des listes recensant les mouvements des bénéficiaires du RSA résidant dans leur département et figurant sur la liste des demandeurs d'emploi.
Sur la modification du traitement :
L'article 1er-VII et VIII du projet de décret en Conseil d'Etat modifie les articles R. 262-112 et R. 262-114 du CASF, respectivement relatifs aux données collectées et à leurs destinataires.
La commission constate la mise à jour de données à caractère personnel relatives à l'identification des personnes et à la vie personnelle.
Elle considère que le recueil et le traitement de ces nouvelles données sont légitimes, pertinents et non excessifs au regard des finalités poursuivies.
La commission relève également que les agents de Pôle emploi dûment habilités figurent désormais au titre des destinataires du traitement "Listes transmises aux présidents des conseils généraux".
Elle estime que ces agents ont un intérêt légitime à accéder aux listes transmises aux présidents de conseils généraux, dès lors qu'il est question d'apporter à ces derniers et aux agents des départements les explications nécessaires quant aux listes transmises.
Sur les mesures de sécurité :
La plate-forme d'échange des données est mise en œuvre par Pôle emploi. Les conseils généraux accèdent à l'un des serveurs de Pôle emploi :
― soit par une application web ( https://www.portail-emploi.fr) ;
― soit par un transfert de fichier SFTP (transfert de fichier sécurisé sur internet) ;
― soit par un transfert de fichier sur VPN IPSEC (transfert de fichier sécurisé sur un réseau privé).
En 2009, lors de l'examen du projet de décret en Conseil d'Etat portant création du traitement "Listes transmises aux présidents des conseils généraux", la commission a constaté qu'il n'existait pas de dispositif permettant de s'assurer que les connexions au portail d'échange provenaient bien des systèmes d'information des départements.
Elle avait alors préconisé que les mesures de sécurité soient renforcées par la restriction du téléchargement des listes, soit aux seules adresses IP correspondant aux ordinateurs des conseils généraux, soit aux seuls ordinateurs bénéficiant d'un certificat SSL adéquat.
La commission réitère avec insistance sa recommandation visant à renforcer la sécurité des échanges entre les systèmes d'information de Pôle emploi et ceux des conseils généraux en prévoyant, à titre illustratif, la restriction du téléchargement des listes transmises à des adresses IP prédéfinies ou la mise en œuvre de certificats "client" et "serveur".
La commission précise que cette recommandation est également valable pour les transferts de fichiers dits "SFTP".
Sur la création d'un traitement dénommé "Echange de données entre Pôle emploi et les départements pour l'orientation et l'accompagnement des bénéficiaires du RSA" :
L'article 1er-IX du projet de décret soumis à la commission prévoit l'insertion d'une sous-section 4 bis après l'article R. 262-116 du CASF, visant à la création d'un traitement de données à caractère personnel dénommé "Echange de données entre Pôle emploi et les départements pour l'orientation et l'accompagnement des bénéficiaires du RSA".
Ce traitement, dont le responsable sera Pôle emploi, doit permettre d'assurer le suivi des démarches d'insertion engagées par les bénéficiaires du RSA en créant de nouveaux échanges entre Pôle emploi et les départements.
Dans un souci de coordination, les présidents de conseils généraux et Pôle emploi souhaitent en effet disposer des données relatives aux parcours d'insertion mis en place par chacun d'eux.
Sur les finalités :
Les finalités du traitement mentionnées par le projet de décret en Conseil d'Etat visent à :
― simplifier, par un échange d'informations avec les conseils généraux, les démarches des bénéficiaires du RSA soumis à l'obligation de recherche d'emploi ;
― faciliter et améliorer l'orientation et l'accompagnement des bénéficiaires du RSA en coordonnant les actions d'insertion offertes aux intéressés ;
― permettre aux présidents de conseils généraux de suivre l'accompagnement des bénéficiaires orientés vers Pôle emploi.
La commission considère que ces finalités sont déterminées, explicites et légitimes.
Sur les données traitées :
Le traitement en cause implique la collecte de données :
― permettant le rapprochement des systèmes d'information de Pôle emploi et des départements ;
― issues des fichiers de Pôle emploi et importées dans les systèmes d'information des départements à des fins d'orientation et d'accompagnement ;
― issues des fichiers des départements et importées dans les systèmes d'information de Pôle emploi à des fins de coordination des parcours d'accompagnement.
Il convient de relever que l'ANPE a été autorisée à utiliser le NIR des demandeurs d'emploi par un décret du 17 décembre 1987, lequel a été modifié en 2008 pour y intégrer Pôle emploi.
Par ailleurs, la commission a admis l'utilisation du NIR pour la gestion du RMI et, dans son avis n° 2009-327 relatif au remplacement du RMI par le RSA, elle n'a pas remis en cause cette utilisation.
En tout état de cause, l'article R. 262-110 du CASF, issu du décret n° 2009-719 du 18 juin 2009 pris après avis motivé et publié de la CNIL, autorise les traitements de données à caractère personnel mis en œuvre par les organismes chargés du service du RSA, les départements, Pôle emploi ou les organismes qui versent les rémunérations ou les aides à l'emploi ou à la formation, à comporter le NIR des personnes concernées pour l'instruction du RSA, sa liquidation, son contrôle et la conduite des actions d'insertion.
Par conséquent, la commission considère que le recueil et le traitement de ces données sont légitimes, pertinents et non excessifs au regard des finalités poursuivies.
Sur les destinataires :
Aux termes de l'article R. 262-116-5 créé par le projet de décret en Conseil d'Etat, sont destinataires, d'une part, des données des fichiers de Pôle emploi pouvant être importées dans les systèmes d'information des départements à des fins d'orientation et d'accompagnement et, d'autre part, des données des fichiers des départements pouvant être importées dans les systèmes d'information de Pôle emploi à des fins de coordination des parcours d'accompagnement :
― les agents des départements spécialement désignés et habilités par leur autorité responsable pour accéder au traitement relatif à l'orientation et au suivi des bénéficiaires du RSA ;
― les agents de Pôle emploi spécialement désignés et habilités par leur autorité responsable pour accéder au traitement relatif à la gestion des demandes d'emploi.
La commission considère que ces destinataires ont un intérêt légitime à accéder aux données visées.
Néanmoins, elle estime que l'article R. 262-116-5 du CASF devrait préciser que les membres d'un conseil général ne doivent accéder qu'aux seules données concernant les allocataires domiciliés dans le département correspondant.
Sur les durées de conservation :
Aux termes de l'article R. 262-116-4 du CASF créé par le projet de décret en Conseil d'Etat, les données ne sont pas conservées, dans le traitement dénommé "Echange de données entre Pôle emploi et les départements pour l'orientation et l'accompagnement des bénéficiaires du RSA", au-delà du temps nécessaire à leur transmission aux départements et à Pôle emploi et, en tout état de cause, au maximum pendant deux mois.
Les départements et Pôle emploi peuvent toutefois conserver les données dont ils ne disposent pas dans le cadre d'autres traitements pendant trois ans à compter de leur transmission.
La commission considère que ces durées n'excèdent pas celles qui sont nécessaires à l'accomplissement des finalités pour lesquelles les données sont collectées.
Sur l'information des personnes et les droits d'accès et de rectification :
Des mesures sont prévues par Pôle emploi pour délivrer une information aux personnes concernées par le traitement en cause. Cette information sera assurée par :
― une mention sur le formulaire d'inscription comme demandeur d'emploi ;
― une information délivrée lors des entretiens individuels d'inscription sur la liste des demandeurs d'emploi.
Par ailleurs, le projet de décret en Conseil d'Etat prévoit, d'une part, que le droit d'accès s'exerce directement auprès de l'agence de Pôle emploi dont relève l'intéressé et, d'autre part, que le droit de rectification s'exerce :
― auprès de l'agence de Pôle emploi dont relève la personne pour les données transmises par Pôle emploi ;
― auprès du département pour les données transmises par celui-ci.
La commission considère que les mesures prévues par Pôle emploi au titre de l'information des personnes concernées sont satisfaisantes.
Néanmoins, elle estime nécessaire de préciser que l'attention des départements doit être attirée sur le fait qu'ils doivent également informer les personnes concernées par les échanges de données avec Pôle emploi.
Sur les interconnexions :
Les données échangées entre Pôle emploi et les départements sont extraites des traitements relatifs, d'une part, à la gestion de la demande d'emploi mis en œuvre par Pôle emploi et, d'autre part, à l'orientation des bénéficiaires du revenu de solidarité active mis en œuvre par les départements.
Lorsqu'un département recourt au traitement mis en œuvre par Pôle emploi, une convention conclue entre le président du conseil général et Pôle emploi détermine les modalités techniques selon lesquelles les données à caractère personnel sont mises à disposition.
La commission considère que ces interconnexions sont légitimes.
Sur les mesures de sécurité :
Le traitement en cause comporte une politique d'habilitation, des accès aux systèmes protégés par des identifiants et des mots de passe, des contrôles d'accès logique et physique ainsi qu'une traçabilité des accès aux données.
Toutefois, la commission constate que les mesures de sécurité prévues pour le traitement en cause sont insuffisantes pour s'assurer de la confidentialité des informations transmises.
Elle estime qu'il conviendrait de limiter la diffusion des informations aux seules adresses IP qui correspondent aux ordinateurs utilisés par les conseils généraux et Pôle emploi, ou aux seuls ordinateurs qui bénéficient d'un certificat SSL adéquat.
Sur la création de traitements dénommés "Transmissions à Pôle emploi de données relatives aux bénéficiaires du RSA, du revenu minimum d'insertion, de l'allocation de parent isolé et de l'allocation aux adultes handicapés" :
L'article 3 du projet de décret en Conseil d'Etat prévoit la création de traitements, d'une part, par la Caisse nationale des allocations familiales (CNAF) et, d'autre part, par la Caisse centrale de mutualité agricole (CCMSA).
Ces deux traitements ont pour objectif de communiquer à Pôle emploi les informations nécessaires à l'identification, parmi les demandeurs d'emploi, des bénéficiaires du RSA, du revenu minimum d'insertion (RMI), de l'allocation de parent isolé (API) et de l'allocation aux adultes handicapés (AAH).
Sur les finalités :
Les finalités des traitements consistent à permettre à Pôle emploi :
― d'accomplir ses missions prévues à l'article L. 5312-1 du code du travail ;
― de satisfaire aux obligations posées à l'article L. 262-42 du CASF ;
― de permettre la mise en œuvre des dispositions particulières prévues aux articles L. 5132-5, L. 5134-23-1 et L. 5134-25-1 du code du travail.
Le RSA a vocation à remplacer le RMI et l'API. Toutefois, dès lors que les personnes pour lesquelles l'ancien régime est plus favorable continuent à bénéficier de ces allocations, le souhait de Pôle emploi consistant à les identifier pour mieux les accompagner dans leur recherche d'un emploi apparaît légitime.
Par conséquent, la commission considère que les finalités du traitement en cause sont déterminées, explicites et légitimes.
Sur les données traitées :
Les données à caractère personnel qui sont transmises à Pôle emploi proviennent des traitements de la CCMSA et de la CNAF.
Ces données sont relatives aux bénéficiaires des allocations en cause et, le cas échéant, à leurs conjoints, concubins ou partenaires liés par un pacte civil de solidarité.
Il convient de rappeler que l'ANPE a été autorisée à utiliser le NIR des demandeurs d'emploi par un décret du 17 décembre 1987, lequel a été modifié en 2008 pour y intégrer Pôle emploi.
En outre, la commission a admis l'utilisation du NIR pour la gestion du RMI et, dans son avis n° 2009-327 relatif au remplacement du RMI par le RSA, elle n'a pas remis en cause cette utilisation.
Enfin, les articles R. 115-1 et R. 115-2 du code de la sécurité sociale et le décret n° 85-420 du 3 avril 1985 (modifié le 29 novembre 1997) autorisent notamment la CNAF ainsi que les organismes de mutualité sociale agricole à utiliser le NIR dans l'exercice de leurs missions de sécurité sociale.
La commission considère dès lors que le recueil et le traitement de ces données sont légitimes, pertinents et non excessifs au regard des finalités poursuivies.
Sur les destinataires :
En application du projet de décret en Conseil d'Etat, les agents habilités de Pôle emploi désignés par leur autorité responsable pourront accéder :
― au numéro de caisse de rattachement, au numéro allocataire, à l'allocation perçue ;
― à la date d'ouverture des droits au RSA, la date de la demande, la nature de l'allocation perçue (RSA socle ou RSA activité) et la date de sortie de l'allocation.
Les données d'identification collectées et le NIR sont uniquement utilisés pour le rapprochement technique des fichiers des CAF et des CMSA avec ceux de Pôle emploi. Ces données ne sont pas intégrées dans les systèmes d'information réciproques.
La commission considère que ces destinataires ont un intérêt légitime à accéder aux données visées.
Sur les durées de conservation :
Aux termes de l'article R. 5312-34 du code du travail créé par le projet de décret en Conseil d'Etat, les données ne sont pas conservées, dans les traitements dénommés "Transmissions à Pôle emploi de données relatives aux bénéficiaires du RSA, du revenu minimum d'insertion, de l'allocation de parent isolé et de l'allocation aux adultes handicapés", au-delà du temps nécessaire à leur transmission à Pôle emploi et, en tout état de cause, au maximum pendant trois mois.
Pôle emploi, quant à lui, ne peut conserver les données plus d'un mois à compter de leur transmission.
La commission considère que ces durées n'excèdent pas celles qui sont nécessaires à l'accomplissement des finalités pour lesquelles les données sont collectées.
Sur l'information des personnes et les droits d'accès et de rectification :
Des mesures ont été prévues par la CNAF et la CCMSA pour informer les allocataires concernés quant à la transmission de données les concernant à Pôle emploi.
Une mention informative sera ainsi insérée sur la notification d'ouverture de droit à une allocation servie par une CAF.
La commission estime qu'il conviendrait de compléter cette mention pour y indiquer l'ensemble des dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée et, notamment, de préciser les finalités de la transmission, y compris les éventuels contrôles pouvant être effectués ainsi que l'existence d'un droit d'accès et de rectification au bénéfice des allocataires.
La CCMSA, quant à elle, a choisi d'informer les personnes concernées notamment par un affichage dans les locaux de chaque CMSA et une publication sur son site internet.
Compte tenu de l'ampleur des traitements en question, la commission considère qu'une mention informative reprenant l'intégralité des dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée devrait également être insérée sur les formulaires de collecte des organismes de mutualité sociale agricole.
Le projet de décret en Conseil d'Etat prévoit, par ailleurs, que les droits d'accès et de rectification s'exercent auprès de l'organisme chargé du service de l'allocation dont bénéficie l'intéressé, c'est-à-dire auprès de la CAF ou de la caisse de MSA territorialement compétente.
Sur les interconnexions :
Dans un premier temps, une centralisation des données sera assurée, d'une part, par le centre serveur national de la CNAF pour les données provenant de l'ensemble des CAF et, d'autre part, par le centre informatique national de la CCMSA pour les données issues des fichiers de toutes les CMSA.
Dans un second temps, les données centralisées seront transmises à Pôle emploi par le centre informatique national de la CCMSA et le centre serveur national de la CNAF.
La commission considère que ces interconnexions sont légitimes.
Sur les mesures de sécurité :
La CNAF et la CCMSA transmettent à Pôle emploi des fichiers journaliers et mensuels décrivant le statut des bénéficiaires du RSA, du RMI, de l'API et de l'AAH.
Les échanges initiés par la CNAF sont réalisés par une ligne spécialisée et sont chiffrés durant leur transport.
Les échanges initiés par la CCMSA sont réalisés par VPN IPSEC et sont également chiffrés durant leur transport.
Tous les organismes impliqués dans ces échanges mettent en œuvre des mécanismes de filtrage des connexions internet (firewall).
Toutefois, la commission relève que les sauvegardes confiées à un prestataire externe par la CCMSA et la CNAF ne sont pas chiffrées. Or, les données traitées par ces organismes sont, pour certaines, sensibles et peuvent faire référence aux difficultés sociales rencontrées par les personnes concernées.
La commission recommande ainsi que la CCMSA et la CNAF renforcent la sécurité de leur dispositif respectif en chiffrant les sauvegardes confiées à un prestataire externe.