L'article 35 de la loi n° 2012-387 du 23 mars 2012 relative à la simplification du droit et à l'allégement des démarches administratives, crée la déclaration sociale nominative (DSN).
A compter du 1er janvier 2013, les employeurs qui opteront pour une déclaration des données sociales de leurs salariés via la DSN auront la possibilité de saisir en ligne, chaque mois, sur le site www.net-entreprises.fr ou, pour le régime agricole, www.msa.fr, le montant des rémunérations payées à leurs salariés pour le mois concerné, les périodes de travail enregistrées ainsi que l'ensemble des données sociales correspondantes.
La mise en œuvre de la DSN sera réalisée en deux phases.
Durant une première phase, de 2013 à 2016, la DSN restera facultative pour l'employeur. Elle se substituera ainsi progressivement à une part substantielle des déclarations sociales des employeurs.
Durant une seconde phase, à compter de 2016, la DSN se substituera définitivement, et pour tous les employeurs, à l'ensemble des déclarations et formalités sociales effectuées à partir des données de la paie.
Le projet de décret définit, pour cette période transitoire, le régime de la DSN. Il précise notamment le contenu, la date d'exigibilité, le processus de dépôt et de transmission de la déclaration ainsi que les conditions dans lesquelles seront effectuées les attestations de salaires pour l'assurance maladie, maternité et paternité, les attestations employeurs pour Pôle emploi et la déclaration mensuelle des mouvements de main-d'œuvre et l'enquête statistique sur les mouvements de main-d'œuvre.
Ce projet de texte renvoie expressément (art. 3-IV-C) à deux projets d'arrêtés qui conditionnent la mise en œuvre effective du décret en ce qu'ils identifient la nomenclature des données transmises aux organismes et administrations compétents.
La commission étant saisie, conjointement au projet de décret, de ces deux projets d'arrêtés, les observations de la commission porteront également sur ces textes.
Le chapitre Il du projet de décret, composé d'un article unique (art. 3), porte création des traitements automatisés de données à caractère personnel relatifs à la DSN.
La Commission souligne le manque de lisibilité des dispositions denses et éparses de l'article 3, qui porte sur la création des traitements automatisés sur lesquels repose la mise en œuvre du dispositif DSN. Elle relève particulièrement que ces dispositions ne permettent pas d'identifier, de manière claire et immédiate, toutes les dispositions portant sur les données traitées ou sur les sécurités.
Toutefois, l'article 3-1 identifie clairement l'objectif essentiel du dispositif DSN, à savoir la simplification des procédures de déclaration et de gestion des données sociales.
D'une part, ces traitements simplifieront, pour les employeurs, les procédures de déclaration des données sociales actuellement en vigueur, compte tenu que la déclaration de ces données auprès des différents organismes participant au dispositif DSN est mutualisée et mensuelle.
Pour les employeurs dont le personnel relève du régime général de sécurité sociale, ce traitement correspond à l'ensemble des transmissions effectuées :
― à partir de la déclaration dématérialisée adressée par les employeurs via le portail internet du Groupement d'intérêt public « Modernisation des données sociales » (GIP-MDS) à l'Union de recouvrement de la sécurité sociale et des allocations familiales (URSSAF) ou aux caisses générales de sécurité sociale (CGSS) pour stockage temporaire ;
― par l'URSSAF et la CGSS à la Caisse nationale de l'assurance vieillesse (CNAV) pour conservation des données ;
― par la CNAV aux administrations et organismes partenaires dont les déclarations sont substituées par la DSN, après filtrage des données pertinentes selon la compétence de chaque partenaire.
Pour les employeurs dont le personnel relève de la protection sociale agricole, ce traitement correspond à l'ensemble des transmissions effectuées :
― à partir de la déclaration dématérialisée adressée par les employeurs via le portail du GIP-MDS ou celui de la Caisse centrale de mutualité sociale agricole (CCMSA) aux caisses de MSA pour conservation des données dans le cadre de l'accomplissement de leurs propres missions ;
― par la CCMSA à la CNAV pour les besoins des administrations et des organismes de prestations sociales dont les déclarations sont remplacées par la DSN.
D'autre part, la DSN offrira aux salariés une mise à jour régulière des données et l'alimentation de tous les organismes sociaux par une source unique garantissant ainsi l'exactitude des droits acquis. Elle devra également permettre, dans un grand nombre de cas, une accélération du délai de traitement des prestations sociales (indemnités journalières en cas de maladie, prestations d'assurance-chômage, prestations de retraite, prestations prévoyance et santé complémentaires).
Pour les administrations et organismes de prestations sociales partenaires du GIP-MDS, la DSN supprimera les risques de désynchronisation entre les informations relatives à la paie et à la déclaration de celles-ci. Tous les partenaires étant informés sur la base d'une déclaration unique de l'employeur, ils recevront des informations strictement identiques.
Compte tenu du volume de données transmises, il revient à la commission d'apprécier si la mise en œuvre d'un tel dispositif est proportionnée au regard des finalités envisagées, mais également de vérifier si ces finalités sont déterminées, explicites et légitimes et si la confidentialité et la sécurité des données sont garanties.
Sur le régime juridique applicable :
Ce projet de décret porte uniquement sur la mise en œuvre de la phase 1 du dispositif DSN (du 1er janvier 2013 au 31 décembre 2015) durant laquelle le recours à la DSN reste facultatif. En 2015, la CNIL sera à nouveau saisie pour avis sur la base d'une seconde version du projet de décret.
Maître d'ouvrage du dispositif DSN, la direction de la sécurité sociale (DSS) élabore l'ensemble des textes d'application de l'article 35 de la loi n° 2012-387 du 23 mars 2012. Elle est responsable de traitement au sens de l'article 3-1 de la loi du 6 janvier 1978 modifiée.
Maître d'œuvre de ce dispositif, le Groupement d'intérêt public-Modernisation des déclarations sociales (GIP-MDS) assure la coordination opérationnelle et interministérielle du projet.
Les traitements mis en œuvre pour la DSN comportant le numéro de sécurité sociale (NIR), la commission est saisie par la direction de la sécurité sociale (DSS) d'un dossier de demande d'avis concernant le projet de décret relatif à la déclaration sociale nominative, conformément à l'article 27-1 (1°) de la loi du 6 janvier 1978 modifiée.
Le recours facultatif à la DSN du 1er janvier 2013 au 31 décembre 2015 constituant de facto une phase d'expérimentation du dispositif, la Commission demande à ce que la saisine relative à la généralisation de la DSN comporte un bilan détaillé relatif à la mise en œuvre du dispositif.
Sur la finalité du traitement (art. 3-1 du projet de décret) :
La mise en œuvre des traitements relatifs à la DSN a pour finalité de :
1° Simplifier les démarches pour les entreprises dans le domaine social ;
2° Faciliter les démarches des salariés relatives à leur protection sociale ;
3° Assurer la concordance des informations entre les montants déclarés pour l'ouverture des droits, le calcul des prestations et les montants soumis à cotisations sociales ;
4° Prévenir les fraudes aux prestations et aux cotisations sociales ;
5° Produire des statistiques anonymes à des fins de suivi de l'évolution de l'emploi.
S'agissant des deux premières finalités, le traitement DSN permettra de simplifier les démarches des employeurs et des salariés.
En premier lieu, le traitement DSN poursuit un objectif de simplification des démarches déclaratives des employeurs qui opteront pour ce dispositif de déclaration. Ainsi, les employeurs ne devront plus remplir la déclaration annuelle des données sociales (DADS) ni la déclaration unifiée des cotisations sociales (DUCS) mensuelle ou trimestrielle à l'attention de l'URSSAF, de Pôle Emploi (pour les intermittents du spectacle), des institutions de retraite complémentaire (IRC), des institutions de prévoyance (IP) et des caisses de congés-intempéries du BTP. Cette première finalité apparaît légitime.
En second lieu, le traitement permettra une simplification des démarches des salariés. La commission estime que cette finalité est légitime mais elle souligne que cette simplification sera partiellement effective de 2013 à 2016, compte tenu du caractère facultatif de la DSN pour les employeurs.
En outre, la commission propose que cette simplification vise également les demandeurs d'emploi qui, comme les salariés, devront être informés de leurs droits.
S'agissant de la troisième finalité, la déclaration unique par l'employeur, tous les mois, et « une bonne fois pour toutes », des données sociales relatives à ses salariés réduira les risques d'erreur concernant la gestion des droits sociaux des salariés et des demandeurs d'emploi.
La commission recommande que cette finalité précise expressément le rétablissement des droits des personnes.
Cette troisième finalité, étroitement liée à la quatrième, contribuera à une meilleure gestion des données et permettra ainsi, d'une part, de garantir la bonne gestion des droits des individus en matière de prestations sociales (art. 3, al. 5 et 6, du projet de décret) et, d'autre part, de prévenir les éventuelles fraudes aux prestations et aux cotisations sociales.
Les données échangées entre les organismes de prestations sociales et Pôle emploi dans le cadre du dispositif DSN seront identiques à celles qui sont déjà transmises au moyen de l'attestation employeur.
Toutefois, cette transmission sera effectuée via les systèmes d'information de la CNAV et selon une fréquence mensuelle. Cette transmission mensuelle permettra une prévention plus efficace de la fraude aux prestations d'allocation chômage, compte tenu que les salariés et les demandeurs d'emploi concernés ne seront plus susceptibles de déclarer une activité erronée ou une absence d'activité donnant lieu à des prestations sociales indues.
A ce titre, la commission reconnaît la légitimité de ce dispositif de lutte contre la fraude. Néanmoins, elle relève que, de 2013 à 2016, cette finalité de prévention de la fraude sera partiellement satisfaite, la DSN n'étant pas utilisée par l'ensemble des employeurs.
S'agissant de la cinquième finalité, statistique permettant le suivi de l'évolution de l'emploi (art. 3, alinéa 7, du projet de décret) ne fera pas l'objet d'études durant la phase 1, celle-ci permettant uniquement le suivi des différentes étapes de la mise en production de la DSN. Cela n'appelle pas d'observation.
Sur les données traitées (art. 3-II et 3-IV-C du projet de décret) :
L'article 3-II du projet de décret décline les six catégories de données qui seront traitées dans le cadre du dispositif DSN :
1° Les données relatives à l'identification du salarié ;
2° Les données relatives à l'identification de l'émetteur ;
3° Les données relatives à l'identification de l'employeur ;
4° Les données relatives à la situation professionnelle du salarié, qui comportent les informations contenues dans son contrat de travail ;
5° Les données relatives au détail de la rémunération mensuelle du salarié ;
6° Les informations relatives aux événements qui surviennent pendant la période déclarée, notamment les dates de début et de fin d'arrêt de travail pour cause d'accident ou de maladie non professionnelle, de congé de maternité, paternité ou d'adoption.
La commission relève que les données collectées via la DSN correspondent aux informations figurant sur les documents qui sont déjà communiqués aux organismes et aux administrations compétents par les employeurs ou par les demandeurs d'emploi, lors de leur inscription comme demandeur d'emploi.
Elle relève en outre qu'aucune donnée sensible au sens de l'article 8 de la loi du 6 janvier 1978 modifiée ne sera collectée ou traitée.
Elle considère que les données transmises par l'employeur sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées.
Toutefois, elle souhaite porter les observations suivantes à l'attention du ministère.
S'agissant des catégories de données saisies par les employeurs, qui sont susceptibles d'être transmises aux organismes et administrations compétents présentés dans les deux projets d'arrêtés joints à ce projet de décret, la commission a opéré une comparaison sur « la nature des informations » identifiée dans les annexes de ces deux arrêtés et dans l'annexe de l'arrêté du 28 avril 2011 portant sur la déclaration annuelle des données sociales (DADS).
Elle se félicite que, concernant l'identité du salarié, le « pays de nationalité » soit remplacé par la « qualité de ressortissant UE dont France ou hors UE ».
Elle relève que certaines catégories de données sont largement précisées. C'est notamment le cas de la « situation professionnelle », qui comportera à présent de nombreuses informations sur le contrat de travail (intitulé du contrat, numéro, date de début et de fin). Elle considère que ces données sont pertinentes au regard de la quatrième finalité identifié par le projet de décret.
Par ailleurs, elle estime qu'il serait utile d'identifier clairement dans l'article 3-Il du projet de décret les catégories de données relatives à l'assurance maladie (motif, dernier jour travaillé, date de fin prévisionnelle d'arrêt de travail, subrogation, date réelle et motif de reprise de l'activité) et à l'assurance chômage (qui portent notamment sur la rupture du contrat de travail, la procédure de licenciement, la rupture conventionnelle du contrat de travail et les éléments pris en compte pour le service des allocations chômage).
De plus, conformément à l'article 6 (3°) de la loi du 6 janvier 1978 modifiée, elle recommande que les projets d'arrêtés soumis à la CNIL soient modifiés afin de substituer à la catégorie « lien de parenté du salarié avec le chef d'entreprise » la seule information réellement pertinente et utile aux organismes partenaires, à savoir la mention « conjoint salarié du chef d'entreprise (oui/non) ».
De même, la « date de notification de la rupture conventionnelle », saisie en plus de la « date de notification de la rupture » désigne en réalité la date de signature de la rupture conventionnelle dudit contrat. En ce sens, la commission recommande que les projets d'arrêtés soient modifiés pour faire apparaître la nature de la donnée réellement saisie, à savoir la « date de signature de la convention de rupture conventionnelle ».
A titre purement formel, elle recommande également que l'article 3-IV-C du projet de décret soit porté à la suite directe des dispositions relatives aux données traitées (art. 34-B du projet de décret).
En dernier lieu, la Commission observe l'absence de mentions relatives aux données de gestion permettant la traçabilité et le traitement des messages communiqués par le déclarant au point de dépôt des données (URSSAF, CGSS) via le portail www.netentreprises.fr notamment, alors que cette catégorie de données constitue une part substantielle des données effectivement traitées dans le cadre du dispositif DSN.
Elle demande donc l'ajout, dans l'article 3-II du projet de décret, de cette catégorie de données.
Sur les destinataires (art. 3-III et 3-IV-A du projet de décret) :
En phase 1, seuls seront destinataires, pour les besoins exclusifs des missions qui leur sont confiées, les agents individuellement désignés et spécialement habilités de la Caisse nationale de l'assurance maladie des travailleurs salariés (CPAM et CGSS), de Pôle emploi, des caisses de MSA, de la DARES et des organismes de prévoyance collective obligatoire concernant leurs assurés.
La commission insiste sur le fait que les données à caractère personnel traitées dans la DSN ne seront transmises qu'aux partenaires ayant signé une convention de partenariat avec le GIP-MDS.
La commission recommande également que les destinataires des données indiquent clairement, le cas échéant, lors des nouvelles formalités préalables qu'ils effectueront auprès de la CNIL, s'ils sont susceptibles de réutiliser les données sociales issues de la DSN dans les traitements automatisés de données ayant notamment pour finalité la gestion de la lutte contre la fraude.
Sur les durées de conservation (art. 3-V du projet de décret) :
Les données transmises par l'employeur à l'URSSAF et à la CGSS (ACOSS) seront conservées pendant une durée de trois mois (art. 3-III du projet de décret), ce qui correspond au délai technique de rétention des données en cas d'incident.
La CNAV stockera les données des DSN mensuelles transmises par l'URSSAF et la CGSS dans le Système national de gestion des carrières (SNGC), afin de restituer les données attendues par les administrations et organismes destinataires (en substitution de l'attestation de salaires, de l'attestation employeur, de la DMMO et de l'EMMO) durant cinq ans suivant l'accomplissement de la DSN (art. 3-V du projet de décret).
La commission prend acte qu'il s'agit de la période pendant laquelle le salarié peut demander les prestations maladie, maternité, paternité ou chômage ainsi que de la période de référence nécessaire pour apprécier les droits et calculer les prestations concernés. Cela n'appelle pas d'observation.
Sur les droits des personnes (art. 3-VII du projet de décret) :
S'agissant du droit à l'information des personnes concernées, la commission insiste sur la nécessité de définir les modalités d'information des salariés dont l'employeur aura librement choisi de recourir à la DSN.
Ceux-ci seront clairement informés, de manière systématique et individuelle, notamment via l'envoi d'une information écrite individuelle, par courriel ou par courrier joint à leur fiche de paie par exemple.
S'agissant des droits d'accès et de rectification prévus par les articles 39 et 40 de la loi du 6 janvier 1978 modifiée, le portail www.net-entreprise.fr précisera auprès de quel organisme gérant les données à caractère personnel issues de la DSN le droit d'accès pourra s'exercer.
Le ministère a indiqué que les salariés concernés pourraient exercer leur droit d'accès auprès de la CNAV, de la CCMSA, des CPAM, des CGSS et des organismes proposant des prestations complémentaires.
La commission rappelle que les procédures permettant aux salariés et aux demandeurs d'emploi d'exercer leurs droits d'accès et de rectification auprès des organismes concernés doivent être claires et faciles à mettre en œuvre.
C'est pourquoi, concernant l'exercice du droit de rectification, compte tenu qu'une erreur de saisie des données est susceptible de survenir soit au niveau de la paie de l'employeur soit au niveau du report de données au compte de l'assuré effectué par l'organisme dépositaire de la DSN (CNAV ou MSA), la commission recommande que des courriers ou courriels types puissent être adressés par la CNAV, par la MSA ou par tout autre organisme partenaire aux employeurs qui auraient commis une erreur au niveau de la paie, afin que ceux-ci procèdent à ladite rectification.
La commission prend acte qu'un service d'assistance téléphonique dédié sera créé afin d'orienter la personne concernée vers le service approprié pour exercer ses droits.
S'agissant de l'exercice du droit d'opposition par les salariés concernés, le ministère a indiqué faire application du troisième alinéa de l'article 38 de la loi du 6 janvier 1978 modifiée qui exclut l'exercice de ce droit lorsque le traitement répond à une obligation légale (les employeurs ayant l'obligation légale de procéder à de telles déclarations).
Sur les sécurités (art. 3-IV-B et 3-VI du projet de décret) :
Les employeurs souhaitant transmettre les données par l'intermédiaire du système DSN doivent disposer d'un compte d'accès et s'authentifier par l'utilisation d'un mot de passe ou d'un certificat électronique.
S'agissant des transferts de données vers les organismes destinataires (Pôle emploi, AGIRC-ARRCO ou la FNMF par exemple), une convention pour les échanges devra être signée. La commission a pris acte que le modèle de convention finalement retenu lui sera transmis officiellement pour information, avant signature.
Les organismes auront le choix entre deux conventions : la convention INTEROPS, protocole garantissant l'authenticité de l'émetteur ainsi que la confidentialité des échanges en chiffrant les communications (chiffrement SSL 128 bits) ou bien la convention pour les échanges de type « CFT » (Cross File Transfert) protocole assurant également, par l'utilisation de réseaux virtuels privés (VPN) bâtis sur des liaisons privées, l'authenticité de l'émetteur ainsi que le chiffrement des communications et la confidentialité des échanges.
Ces conventions disposent des habilitations nécessaires pour l'accès aux données traitées dans la DSN au sein de l'organisme partenaire.
Par ailleurs, le personnel de la CNAV ou de I'ACOSS devra également disposer d'habilitations spécifiques pour accéder aux données.
La commission prend acte que le ministère mettra en œuvre ses recommandations concernant les mots de passe utilisés par les administrateurs, à savoir des mots de passe dont la longueur minimale est de 10 caractères, comportant au moins une majuscule, une minuscule, un caractère spécial et un chiffre et qui soient modifiés régulièrement.
Les connexions et déconnexions des comptes seront tracées.
Les données stockées sur les serveurs de la CNAV ainsi que sur ceux de l'ACOSS seront protégées en confidentialité par leur chiffrement.
L'ensemble des opérations effectuées lors des échanges sera tracé.
Enfin, les données seront sauvegardées quotidiennement et seront conservées sur des supports utilisant la technologie RAID, afin d'assurer la pérennité des données en cas de panne d'un disque dur.
Les mesures de sécurité mises en œuvre n'appellent pas d'observation particulière.
Sur le bilan de la première phase :
La commission demande à la DSS de lui soumettre un bilan détaillé de la mise en œuvre du dispositif DSN dans le cadre de la saisine qui sera effectuée en 2015 concernant le projet de décret permettant la généralisation de la DSN à compter du ler janvier 2016.
Ce bilan devra notamment faire apparaître :
― l'information effectuée auprès des salariés et des demandeurs d'emploi par les partenaires du GIP-MDS dans le cadre du déploiement de la DSN ;
― un tableau récapitulatif des statistiques relatives à la mise en œuvre du dispositif DSN (nombre d'employeurs ayant opté pour la DSN, nombre de salariés concernés, nombre de demandes de droits d'accès ou de rectification, nombre de données corrigées via la DSN, nombre de versements indus évités, nombre de versements dus et récupérés, présentation synthétique des mises à jour et des purges de données effectuées) ;
― un bilan relatif aux transmissions de données de l'ACOSS, de la CCMSA et de la CNAV aux organismes partenaires (nombre de transmissions effectuées, éventuels problèmes techniques rencontrés) ;
― un descriptif des habilitations spécifiques effectivement attribuées, notamment au sein de la CNAV et de la CCMSA ;
― les améliorations réalisées, ou prévues, en termes de prévention et de lutte contre la fraude ;
― les observations à partir desquelles la DSS se fonde pour faire évoluer les finalités, les données, les durées de conservation, les destinataires, les droits des personnes ou les sécurités dans le cadre de la généralisation du dispositif DSN en 2016.