Sur la proposition de Mme Laurence DUMONT, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,
Emet l'avis suivant :
La commission est saisie conjointement par le ministre des finances et des comptes publics et la ministre des affaires sociales et de la santé d'une demande d'avis sur un projet de décret et un projet d'arrêté relatifs à la mise en place de la « phase 2 » de la déclaration sociale nominative (DSN).
La déclaration sociale nominative est créée par la loi n° 2012-387 du 22 mars 2012 relative à la simplification du droit et à l'allègement des démarches administratives, dont la maîtrise d'ouvrage opérationnelle a été confiée au groupement d'intérêt public « Modernisation des déclarations sociales » (GIP-MDS). Cette déclaration repose sur la transmission unique, mensuelle et dématérialisée des données issues de la paie et la transmission dématérialisée de signalements d'événements.
La DSN doit être déployée progressivement, en trois phases. Chaque phase permet l'intégration de nouvelles déclarations sociales dans la DSN et élargit le champ des déclarants éligibles jusqu'à parvenir à l'ensemble du champ lors de la phase de généralisation, prévue pour 2016.
Durant une première étape, de 2013 à fin 2015, la DSN restera facultative pour l'employeur. Elle se substituera ainsi progressivement (phase 1 et phase 2) à une part substantielle des déclarations sociales des employeurs.
A compter de 2016, la DSN se substituera définitivement, et pour les employeurs entrant dans son champ, à l'ensemble des déclarations et formalités sociales effectuées à partir des données de la paie.
La phase 1, qui permet la substitution des déclarations pour indemnités journalières, l'attestation employeur et la déclaration mention de mouvement de main-d'œuvre (DMMO), doit prendre fin en octobre 2014.
Elle est encadrée par le décret n° 2013-266 du 28 mars 2013 relatif à la déclaration sociale nominative, rendu après avis de la commission par délibération n°2012-403 en date de 15 novembre 2012.
Le projet de décret a pour objet de compléter le décret de 2013 précité afin de prendre en compte les évolutions mises en place par la phase 2.
Comme pour la première phase, le projet de décret est accompagné d'un arrêté dit « filtre », précisant les destinataires des données.
La phase 2 permet uniquement la substitution de nouvelles déclarations et seuls sont modifiés les données traitées et les destinataires de la DSN.
Plus précisément, la phase 2 est constituée des éléments déjà prévus de la phase 1 complétés des éléments suivants :
- les éléments nécessaires pour que le recouvrement de l'Union de recouvrement des cotisations de sécurité sociale et d'allocations familiales (URSSAF) s'effectue sur la base de la DSN, permettant le remplacement de la déclaration unifiée des cotisations sociales (DUCS), du bordereau récapitulatif de cotisations (BRC) et du tableau récapitulatif des cotisations (TR) URSSAF dès octobre 2014 ;
- les éléments nécessaires pour que les entreprises de travail temporaire utilisent la DSN, en tant que pilotes à partir de l'automne 2014 (quelques entreprises seulement) et avec un palier de montée en charge significatif en 2015, grâce à la substitution du relevé mensuel des contrats de mission (RMM).
Le champ couvert par la DSN phase 2 concerne, les catégories d'employeurs et de salariés de la phase 1, ainsi que les entreprises de travail temporaire, et les entreprises avec des salariés employés hors de France.
Le reste des modalités du traitement DSN demeure les mêmes que celles définies dans le décret du 28 mars 2013 précité.
Enfin, le projet de décret soumis à la commission intègre des modifications relatives au traitement DPAE (art. R-1221-18 du code du travail). Cette modification a pour objet d'ajouter un circuit de vérification du NIR par la Caisse nationale vieillesse des travailleurs salariés.
La déclaration préalable à l'embauche (DPAE) est une déclaration qui doit impérativement être faite par un employeur à l'URSAFF avant toute embauche de salarié.
Elle permet d'accomplir les formalités afin de régulariser l'employeur auprès de la sécurité sociale et d'ouvrir des droits sociaux au salarié (assurance chômage, assurance maladie, visite médicale, etc.).
Depuis le décret n° 2011-681 du 16 juin 2011 relatif à la fusion de la déclaration préalable à l'embauche et de la déclaration unique d'embauche, la DPAE est l'unique formalité à accomplir auprès des organismes de recouvrement à la suite d'une embauche. Auparavant, l'employeur devait effectuer séparément une DPAE et une déclaration unique d'embauche (DUE).
La phase 3, ou phase de généralisation, est prévue pour 2016. Elle concernera essentiellement l'intégration de la déclaration annuelle de données sociales (DADS). A partir de cette date, la DSN deviendra obligatoire pour les employeurs entrant dans son champ.
Sur le régime juridique applicable :
Les traitements mis en œuvre pour la DSN comportant le numéro de sécurité sociale (NIR), la commission est saisie d'une demande d'avis concernant le projet de décret relatif à la déclaration sociale nominative, conformément à l'article 27-I (1°) de la loi du 6 janvier 1978 modifiée.
La commission prend acte qu'elle sera à nouveau saisie pour avis sur la base d'une nouvelle version du projet de décret encadrant la phase 3 de généralisation.
Le recours facultatif à la DSN du 1er janvier 2013 au 31 décembre 2015 constituant de facto une phase d'expérimentation du dispositif, la commission rappelle qu'elle souhaite un bilan détaillé relatif à la mise en œuvre du dispositif avant le 31 décembre 2015, comme elle l'avait déjà demandé dans sa délibération n° 2012-403 du 15 novembre 2012.
Sur la finalité :
La mise en œuvre des traitements relatifs à la DSN a pour finalités de :
1° Simplifier les démarches pour les entreprises dans le domaine social ;
2° Faciliter les démarches des salariés relatives à leur protection sociale ;
3° Assurer la concordance des informations entre les montants déclarés pour l'ouverture des droits, le calcul des prestations et les montants soumis à cotisations sociales ;
4° Détecter les erreurs déclaratives, éviter les indus et erreurs, prévenir les fraudes aux prestations et aux cotisations sociales ;
5° Produire des statistiques anonymes à des fins de suivi de l'évolution de l'emploi ;
6° Permettre le recouvrement des cotisations et contributions sociales dont l'employeur est redevable et la prise en compte des exonérations dont il bénéficie ;
7° Calculer les effectifs de l'employeur.
La commission rappelle que les cinq premières finalités sont déjà prévues par l'article 3 du décret du 28 mars 2013 et que le projet de décret ajoute les deux dernières finalités.
En outre, la commission relève que la finalité de prévention des fraudes était prévue dans le décret précité. Cependant, l'article 2 (II) du projet de décret apporte des précisions sur cette finalité et ajoute la possibilité de « détecter les erreurs déclaratives, éviter les indus et erreurs » ce qui participe de la prévention des fraudes aux prestations et aux cotisations sociales.
La commission rappelle que les mécanismes automatisés de détection des erreurs et des indus ne doivent pas être contraires à l'article 10 de la loi Informatique et Libertés et nécessitent avant toute décision produisant des effets juridiques, une analyse humaine. La commission prend acte que le Gouvernement s'engage à mettre en place cette procédure.
S'agissant de la troisième finalité, et comme la commission l'avait relevé dans sa délibération précédente, la DSN doit permettre de réduire les risques d'erreur concernant la gestion des droits sociaux des salariés et des demandeurs d'emploi. La commission prend acte de l'engagement du Gouvernement de modifier le décret en ce sens.
Par ailleurs, afin de faciliter la mise en œuvre de la DSN, un traitement permettant à l'employeur d'identifier correctement ses salariés dès la première paye est ajouté dans le cadre de la déclaration préalable à l'embauche (DPAE).
En effet, l'article 4 du projet de décret prévoit une modification de l'article R. 1221-17 du code du travail, en insérant un article R. 1221-18.
Ces nouvelles dispositions doivent permettre, à partir des données de la déclaration préalable à l'embauche que lui transmet l'organisme mentionné à l'article R. 1221-3, que la Caisse nationale d'assurance vieillesse des travailleurs salariés puisse vérifier que le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) ou le numéro identifiant d'attente (MA) du salarié porté sur ladite déclaration correspond bien aux données d'état civil qui figurent sur cette même déclaration.
Le projet de décret précise qu'en cas d'absence de NIR ou NIA, ou en cas de NIR ou NIA erroné dans la DPAE, la Caisse nationale d'assurance vieillesse des travailleurs salariés renvoie à l'organisme mentionné à l'article R. 1221-3 un bilan d'identification comprenant, lorsqu'elle a pu retrouver celui-ci, le NIR ou le NIA à utiliser. L'organisme mentionné à l'article précité avise l'employeur de la disponibilité de ce bilan d'identification afin que, notamment, il rectifie ou complète les données transmises dans la déclaration sociale nominative.
La commission relève que cette finalité permet une fiabilisation des données NIR et NIA transmis, et qu'elle est donc légitime,
Sur les données traitées (art. 1er et 2 du projet de décret et art. 1er du projet d'arrêté filtre qui renvoient au tableau annexé) :
L'article 3-II du décret du 28 mars 2013 décline les six catégories de données qui sont traitées dans le cadre du dispositif DSN :
1° Les données relatives à l'identification du salarié ;
2° Les données relatives à l'identification de l'émetteur ;
3° Les données relatives à l'identification de l'employeur ;
4° Les données relatives à la situation professionnelle du salarié, qui comportent les informations contenues dans son contrat de travail ;
5° Les données relatives au détail de la rémunération mensuelle du salarié ;
6° Les informations relatives aux événements qui surviennent pendant la période déclarée, notamment les dates de début et de fin d'arrêt de travail pour cause d'accident ou de maladie non professionnelle, de congé de maternité, paternité ou d'adoption.
Les articles 1er (B) et 2 (B) du projet de décret ajoutent les données qui sont traitées dans le cadre de la phase 2, à savoir : l'assiette, les cotisations et les contributions sociales dues au titre de rémunérations, dont l'employeur est redevable.
Par ailleurs, le projet d'arrêté soumis à la commission (art. 1er, quatrième alinéa) précise les données relatives aux rémunérations versées transmises par les employeurs par l'intermédiaires de la CNAV, des URSSAF et des caisses générales de sécurité sociale.
Le tableau annexé au projet d'arrêté liste les données traitées et les catégories de destinataires habilités à les recevoir. La commission relève que les nouvelles données recueillies pour la mise en œuvre de la phase 2 sont notamment les suivantes :
- pour les données relatives à l'identité du salarié : adresse mél, numéro technique temporaire (pour les salariés sans NIR ni NIA) ;
- pour les données relatives au contrat ou à la relation de travail : type de contrat de travail, numéro du contrat, date de début et date de fin prévisionnelle et motif de recours à un contrat à durée déterminée ou contrat de mission, libellé de l'emploi, code profession et catégorie socio-professionnelle et code complément (PCS-ESE), salaire de référence prévu par le contrat, lieu de travail (SIREN, SIRET, adresse, APET), taux de déduction forfaitaire spécifique pour frais professionnels, affiliation à une caisse professionnelle de congés payés, motif d'exclusion du dispositif DSN identification des salariés détachés, expatriés ou frontaliers et type de rémunération pour l'assurance chômage des expatriés, durée de travail applicable (contrat, entreprise, unité de mesure), identification du régime de base d'assurance maladie (dont Alsace-Moselle) et du régime de base du risque vieillesse, données de gestion des contrats complémentaires ou supplémentaires collectifs (dont portabilité du contrat), données de gestion de l'assurance-chômage pour les employeurs publics (dont statut d'emploi du salarié et type de gestion) ;
- pour les données relatives à l'arrêt de travail : date de fin prévisionnelle, date de début et de fin de subrogation, date de l'accident ou de la première constatation médicale de la maladie ;
- pour les données relatives à la rupture, au transfert ou à la suspension du contrat de travail : date de la fin ou du transfert du contrat ou de la relation de travail, caractéristiques de la rupture : motif, date de la notification, de la signature de la rupture conventionnelles ou d'engagement de la procédure de licenciement, transaction ;
- pour les données relatives à la rémunération et au versement : rémunération nette fiscale, période de paie, montant et caractéristique de la rémunération versée, nombre d'heures supplémentaires, d'équivalences, d'habillage et de déshabillage, caractéristiques des autres éléments de rémunérations versées (type, montant, période, contrat), avantages en nature, frais professionnels, épargne salariale, sommes versées par les tiers (type, montant, période), décompte de l'activité.
Bien que cette liste soit très détaillée, la commission relève que ces données correspondent aux informations figurant sur les documents qui sont déjà communiqués aux destinataires susvisés par les employeurs.
Elle relève en outre qu'aucune donnée sensible au sens de l'article 8 de fa loi du 6 janvier 1978 modifiée ne sera collectée ou traitée.
Elle considère que les données transmises sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées.
Sur les destinataires (art. 2-III du projet de décret et art. 2 et tableau du projet d'arrêté) :
En phase 1, seuls étaient destinataires, pour les besoins exclusifs des missions qui leur sont confiées, les agents individuellement désignés et spécialement habilités de la Caisse nationale de l'assurance maladie des travailleurs salariés (CPAM CGSS), de Pôle emploi, des caisses de MSA, de la DARES et des organismes de prévoyance collective obligatoire concernant leurs assurés.
La commission relève qu'il en est de même pour la phase 2 : ainsi, la liste des destinataires est complétée des agents des URSSAF et CGSS, des organismes complémentaires et de l'INSEE.
La commission prend acte que les données à caractère personnel traitées dans la DSN ne seront transmises qu'aux partenaires ayant signé une convention de partenariat avec le GIP-MDS.
La commission recommande par ailleurs que les destinataires des données indiquent clairement, le cas échéant, lors des nouvelles formalités préalables qu'ils effectueront auprès de la CNIL, s'ils sont susceptibles de réutiliser les données sociales issues de la DSN dans les traitements automatisés de données ayant notamment pour finalité la gestion de la lutte contre la fraude.
Sur les durées de conservation :
La commission prend acte que les dispositions du décret du 28 mars 2013 s'appliquent aux nouvelles données, et selon les mêmes modalités.
Ainsi qu'elle l'avait mentionné dans sa délibération du 15 novembre 2012, ces durées n'appellent pas d'observations.
Sur les droits des personnes :
La commission prend acte qu'aucune disposition n'encadre le droit à l'information ni les droits d'accès et de rectification.
S'agissant du droit à l'information des personnes concernées, la commission insiste sur la nécessité de définir les modalités d'information des salariés dont l'employeur recourt à la DSN.
Ceux-ci seront clairement informés, de manière systématique et individuelle, notamment via l'envoi d'une information écrite individuelle, par courriel ou par courrier joint à leur fiche de paie par exemple.
S'agissant des droits d'accès et de rectification prévus par les articles 39 et 40 de la loi du 6 janvier 1978 modifiée, le portail www.net-entreprise.fr précisera auprès de quel organisme gérant les données à caractère personnel issues de la DSN le droit d'accès pourra s'exercer.
Dans la délibération n° 2012-403 du 15 novembre 2012, la commission prenait acte du fait que le ministère avait indiqué que les salariés concernés pourraient exercer leur droit d'accès auprès de la CNAV, de la CCMSA, des CPAM, des CGSS et des organismes proposant des prestations complémentaires.
Dès lors, la commission rappelle que les procédures permettant aux salariés et aux demandeurs d'emploi d'exercer leurs droits d'accès et de rectification auprès des organismes concernés doivent être claires et faciles à mettre en œuvre.
C'est pourquoi, concernant l'exercice du droit de rectification, la commission recommande que des courriers ou courriels types puissent être adressés par la CNAV, par la MSA ou par tout autre organisme partenaire aux employeurs qui auraient commis une erreur au niveau de la paie, afin que ceux-ci procèdent à ladite rectification.
De même, en 2012, la commission prenait acte qu'un service d'assistance téléphonique dédié devait être créé afin d'orienter la personne concernée vers le service approprié pour exercer ses droits et a eu confirmation de cette mise en place.
S'agissant de l'exercice du droit d'opposition par les salariés concernés, la commission prend acte que le ministère fait application du troisième alinéa de l'article 38 de la loi du 6 janvier 1978 modifiée, qui exclut l'exercice de ce droit lorsque le traitement répond à une obligation légale (les employeurs ayant l'obligation légale de procéder à de telles déclarations).
Sur la sécurité :
La commission prend acte que les mesure de sécurité sont inchangées.
Conformément aux recommandations émises dans la délibération n° 2012-403 du 12 novembre 2012, elle rappelle que le ministère s'était engagé à mettre en œuvre ses recommandations concernant les mots de passe utilisés par les administrateurs, à savoir des mots de passe dont la longueur minimale est de dix caractères, comportant au moins une majuscule, une minuscule, un caractère spécial et un chiffre et qui soient modifiés régulièrement. Elle demande à ce que tous les administrateurs ayant accès au système d'information mis en oeuvre pour la DSN s'authentifient selon ces modalités.
S'agissant du souhait d'anonymisation des données par I'ACOSS à des fins d'études statistiques, la commission précise que le mécanisme qu'il est prévu d'utiliser, à savoir le recours à un algorithme de hachage, générant un pseudonyme unique et pérenne par individu, les données ne peuvent être qualifiées d'anonymes. Elle rappelle à cet égard que l'algorithme de hachage MD5 est un algorithme qui n'est plus considéré comme sûr et prend acte de l'engagement du ministère de recourir à un algorithme recommandé par le référentiel général de sécurité.
Elle estime également nécessaire que l'algorithme de hachage qui sera utilisé pour pseudonymiser les données fasse intervenir une clé secrète régulièrement modifiée.
Les mesures de sécurité mises en œuvre n'appellent pas d'autres observations.