La Commission nationale de l'informatique et des libertés,
Saisie par le ministre des finances et des comptes publics d'une demande d'avis concernant un projet d'arrêté portant création d'un traitement mis en œuvre par l'INSEE ayant pour finalité de tester l'utilisation de la déclaration sociale nominative à des fins d'étude statistiques sur l'emploi et les salaires ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 51-711 du 7 juin 1951 modifiée sur l'obligation, la coordination et le secret en matière de statistiques ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-II-2 ;
Vu la loi n° 2012-387 du 22 mars 2012, notamment son article 35 ;
Vu le décret n° 85-1343 du 16 décembre 1985 instituant un système de transfert de données sociales ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2013-266 du 28 mars 2013 relatif à la déclaration sociale nominative ;
Vu l'arrêté du 6 mai 2014 fixant les données de la déclaration annuelle des données sociales adressées aux administrations et organismes compétents ;
Vu la délibération n° 98-005 du 27 janvier 1998 portant avis sur la mise en œuvre par l'INSEE d'un traitement automatisé des déclarations annuelles de données sociales (DADS) et sur un projet de décret en Conseil d'Etat pris en application de l'article 18 de la loi du 6 janvier 1978 autorisant l'utilisation du RNIPP pour le traitement des DADS ;
Vu la délibération n° 2012-403 du 15 novembre 2012 portant avis sur le projet de décret relatif à la déclaration sociale nominative ;
Vu le dossier et ses compléments ;
Sur la proposition de Mme Laurence DUMONT, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,
Emet l'avis suivant :
La commission est saisie par le ministre des finances et des comptes publics d'une demande d'avis sur un projet d'arrêté portant création d'un traitement mis en œuvre par l'Institut national de la statistique et des études économiques (INSEE) ayant pour finalité de tester les traitements à mettre en œuvre, à des fins d'études statistiques sur l'emploi et les salaires, suite à la mise en place de la déclaration sociale nominative (DSN).
La déclaration sociale nominative a été créée par la loi n° 2012-387 du 22 mars 2012 relative à la simplification du droit et à l'allègement des démarches administratives, et sa maîtrise d'ouvrage opérationnelle a été confiée au Groupement d'intérêt public Modernisation des déclarations sociales (GIP-MDS).
Depuis le 1er janvier 2013, les employeurs peuvent opter pour une déclaration des données sociales de leurs salariés via la DSN et peuvent saisir en ligne, chaque mois, sur le site http://www.net-entreprises.fr ou, pour le régime agricole, http://www.msa.fr, le montant des rémunérations payées à leurs salariés pour le mois concerné, les périodes de travail enregistrées ainsi que l'ensemble des données sociales correspondantes.
Dès lors, les employeurs ne devront déclarer leurs salariés qu'une seule fois, dans une déclaration nominative et mensuelle, et transmise sous forme dématérialisée.
La mise en place de la DSN a notamment pour effet de faire disparaître la déclaration annuelle des données sociales (DADS), nécessaire à l'INSEE pour élaborer ses statistiques relatives à l'emploi et aux salaires.
La DADS est une formalité déclarative que doit accomplir toute entreprise employant des salariés, en application des articles L. 133-5-4 et R. 43-14 du code de la sécurité sociale et des articles 87, 88, 240 et 241 du code général des impôts.
Dans ce document commun aux administrations fiscales et sociales, les employeurs, y compris les administrations et les établissements publics, fournissent annuellement et pour chaque établissement la masse des traitements qu'ils ont versés, les effectifs employés et une liste nominative de leurs salariés indiquant, pour chacun, le montant des rémunérations salariales perçues.
L'INSEE, dans le cadre du système de transfert des données sociales (TDS) institué par le décret du 16 décembre 1985, est destinataire de la DADS. L'INSEE la reçoit à des fins d'élaboration de statistiques sur l'emploi et les salaires, en application et dans les conditions de l'arrêté du 6 mai 2014 fixant les données de la déclaration annuelle des données sociales adressées aux administrations et organismes compétents.
Par délibération n° 98-005 du 27 janvier 1998, la commission a rendu un avis sur un projet de décret permettant à l'INSEE d'exploiter les DADS de façon exhaustive et d'en diffuser les résultats.
L'avis mentionne les données enregistrées par l'INSEE, à savoir le nom ou la raison sociale de l'établissement, l'adresse, le secteur d'activité, le numéro SIRET, les effectif inscrits au 31 décembre de l'année, la masse des salaires bruts, ainsi que le nom, le numéro d'inscription au répertoire (NIR), adresse, nature de l'emploi et qualification, le nombre d'heures rémunérées depuis 1993, date de début et de fin de période d'emploi, condition d'emploi, montant des rémunérations annuelles (brut et net), déduction des retenues pour cotisation sociale, montant des avantages en nature, montant des indemnités pour frais professionnels, périodes chômées indemnisées, indemnités journalières de maladie et de maternité du salarié.
L'INSEE a par ailleurs été autorisé à utiliser le répertoire national d'identification des personnes physiques (RNIPP) pour le traitement DADS.
La DSN doit être déployée progressivement, en trois phases. Chaque phase permet l'intégration de nouvelles déclarations sociales dans la DSN, et élargit le champ des déclarants éligibles jusqu'à parvenir à l'ensemble du champ lors de la phase de généralisation.
La phase 1 remplace les déclarations pour indemnités journalières, l'attestation employeur et la déclaration mention de mouvement de main-d'œuvre (DMMO). Elle concerne les entreprises volontaires.
La phase 2 (qui débute en 2015 et doit s'achever en 2016) intègre les bordereaux récapitulatifs de cotisations (BRC) des URSSAF dans la DSN. Cette phase repose toujours sur le volontariat et concerne l'ensemble des employeurs privés dont les salariés dépendent du régime général.
La phase 3 ou phase de généralisation est prévue pour janvier 2016. Elle concerne essentiellement l'intégration de la DADS. A partir de cette date, la DSN devient obligatoire pour l'ensemble des employeurs.
Afin de pouvoir poursuivre sa mission malgré cette substitution, et mettre au point les chaînes informatiques d'accueil et de traitements statistiques de la nouvelle déclaration, l'INSEE souhaite disposer des données extraites par le GIP-MDS issues de DSN réelles pendant la période transitoire.
Dans la mesure où le traitement projeté a pour finalité d'établir des statistiques, et qu'il comporte le NIR et le RNIPP, sa mise en œuvre doit être autorisée par arrêté, pris après avis motivé et publié de la commission, en application des dispositions de l'article 27-II (2°) de la loi relative à l'informatique, aux fichiers et aux libertés.
La commission rappelle que le présent traitement est un test et que, lors de la mise en place de la phase 3 qui engendrera la mise en production, le nouveau traitement devra faire l'objet des formalités idoines auprès de ses services.
Sur la finalité :
L'article 1er du projet d'arrêté prévoit d'autoriser l'INSEE à mettre en œuvre un traitement visant à tester l'utilisation de la DSN à des fins d'étude de l'appareil productif, de l'emploi salarié, des rémunérations et du coût du travail aux niveaux national et local.
Plus précisément, les tests qui seront mis en place par l'INSEE vont porter sur la faisabilité de reconstituer les données statistiques à partir des données administratives, l'adaptation du circuit existant aux données issues de la DSN et, possiblement, l'amélioration des traitements réalisés pour les statistiques.
Les étapes qui vont être testées sont les suivantes :
- l'accueil et le contrôle formel des données ;
- la validation des données d'identification avec les répertoires (SIREN pour les employeurs et le répertoire national d'identification des personnes physiques - RNIPP - pour les personnes physiques) ;
- la mise au format statistique (calculs de variables statistiques dont certaines nécessitent de relier plusieurs déclarations d'un même mois, ou des déclarations de plusieurs mois consécutifs) ;
- les traitements statistiques (traitement des valeurs manquantes, échecs de codage, des incohérences…).
La commission relève que cette finalité s'inscrit dans le cadre de la mission (inhérente) de production de statistiques de l'INSEE telle que prévu par le décret n° 46-1432 du 14 juin 1946.
Par ailleurs, la commission rappelle que, par délibération du 27 janvier 1998, l'INSEE a reçu un avis favorable pour la mise en œuvre du traitement automatisé destiné à exploiter l'ensemble des informations issues des DADS, dont l'une des deux finalités est l'étude de l'appareil productif, de l'emploi salarié et des salaires au niveau national et régional.
Elle souligne également que, outre l'objectif de simplification des démarches déclaratives des employeurs, le dispositif de la DSN a pour finalité la production de statistiques visant à suivre l'évolution de l'emploi, et que le décret qui l'encadre a reçu un avis favorable de la CNIL le 15 novembre 2012.
La commission considère que la finalité du traitement est déterminée, explicite et légitime au sens de l'article 6 de la loi du 6 janvier 1978 modifiée.
Sur les données traitées et l'utilisation du NIR :
L'article 2 du projet d'arrêté énumère les données faisant l'objet du traitement, à savoir :
- le numéro d'identification au répertoire d'identification des personnes physiques mentionné à l'article 4 du décret du 22 janvier 1982 ;
- les nom, prénoms, sexe, date et lieu de naissance, adresse des salariés ainsi que leur numéro de matricule dans l'entreprise ;
- les variables liées au recouvrement des cotisations sociales de l'employeur, aux caractéristiques du contrat de travail, aux rémunérations et au lieu de travail des salariés ;
- l'identification de l'entreprise, ses caractéristiques socio-économiques ainsi que les coordonnées d'un contact.
Les données en entrée du traitement sont une extraction ponctuelle des données issues de la nouvelle DSN, avant sa généralisation et substitution de la DADS.
Afin de pouvoir anticiper l'accueil de la DSN, l'INSEE souhaite disposer au plus vite des premières déclarations émises, à savoir :
- les données réelles de la DSN phase 1, sur deux mois consécutifs ;
- les données réelles de la DSN phase 2, sur trois mois consécutifs, si possible à cheval sur le changement d'année ;
- les données réelles de la DSN phase 3, sur trois mois consécutifs.
Le champ couvert par le recueil de ces données est celui de l'ensemble des entreprises incluses dans la production de la DSN lors des extractions, soit une trentaine d'entreprise volontaires (phase 1) et plusieurs milliers pour la phase 2 (ce chiffre pouvant varier selon le rythme de la montée en charge de cette phase et la date à laquelle aura lieu l'extraction).
Concernant le NIR, la commission relève que conformément à sa délibération rendue le 27 janvier 1998 et au décret n° 87-1343 du 16 décembre 1985, l'INSEE reçoit cet identifiant uniquement des salariés inscrits sur les DADS, afin d'élaborer une étude longitudinale et obtenir des statistiques fiables sur les salaires et l'emploi.
Par ailleurs, le numéro SIREN (ou SIRET) des employeurs et le NIR des salariés sont utiles en cas d'anomalies détectées sur les données statistiques produites, en comparant les DADS de 2013 et 2014.
Pour cette phase de test, le NIR recueilli via la DSN doit être vérifié avec celui du répertoire national d'identification des personnes physique (RNIPP) avant son utilisation.
Enfin, la commission prend acte que les arrêtés fixant les données de la déclaration sociale nominative transmises aux organismes et administrations compétentes seront modifiés afin d'intégrer l'INSEE en tant que destinataire des données issues de la DSN, en ce comprise la donnée NIR.
La commission considère que, compte tenu de la finalité poursuivie, le traitement des données précédemment visées est adéquat, pertinent et non excessif au regard de la finalité poursuivie.
Sur les destinataires :
Le projet d'arrêté ne prévoit pas de disposition encadrant les destinataires habilités à recevoir communication des données mentionnées à l'article 2.
La commission prend acte que les données recueillies seront utilisées par les membres de l'INSEE dans le cadre du test et ne seront communiquées à aucun organisme. Par ailleurs, les travaux ne feront pas l'objet de publication, mais permettront de formaliser les spécifications d'évolution des applications actuelles de traitement des déclarations sociales pour l'établissement des statistiques sur l'emploi et les revenus d'activités.
Pour plus de transparence, la commission considère que le projet d'arrêté doit être modifié en ce sens.
Sur les durées de conservation :
Le projet d'arrêté précise dans son article 3 que les données seront détruites à la fin du test et au plus tard six mois après la généralisation de la déclaration sociale nominative à l'ensemble des entreprises.
La commission considère que ces durées de conservation n'excèdent pas celles qui sont nécessaires à l'accomplissement de la finalité poursuivie.
Sur l'information des personnes et l'exercice des droits des personnes :
L'article 4 du projet d'arrêté mentionne que les droits d'accès et de rectification s'exercent auprès de la direction générale de l'INSEE.
La commission relève que, tel que le permet l'article 29 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, le droit d'opposition est écarté.
Sur la sécurité des données :
Le traitement prévoit la transmission des DSN entre le GIP-MDS et l'INSEE lors de la période transitoire de migration de la DADS vers la DSN. S'agissant d'un test, il convient de noter que ce ne sera qu'un échantillon des déclarations qui sera transmis, et non la totalité.
Cette transmission intervenant sur un réseau MPLS qui ne possède pas de garantie de confidentialité vis-à-vis de l'opérateur télécom, il a été prévu un chiffrement des documents. Une authentification par le biais de certificats des systèmes informatiques réalisant ces échanges est également prévue.
Les autres mesures de sécurité décrites par le responsable de traitement n'appellent aucune remarque, le traitement étant mis en œuvre au sein du système d'information de l'INSEE présentant des garanties de sécurité et de traçabilité satisfaisantes.
La commission rappelle toutefois que l'obligation de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée nécessite la mise à jour des mesures de sécurité au regard d'une réévaluation régulière des risques.