Après avoir entendu M. Alexandre LINDEN, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie, le 13 janvier 2015, et par saisine rectificative le 20 février 2015, par le ministère des affaires sociales, de la santé et des droits des femmes d'une demande d'avis concernant un projet de décret en Conseil d'Etat (ci-après « le projet ») autorisant les traitements de données à caractère personnel pour la gestion de la relation du régime social des indépendants (ci-après le « RSI ») et de la mutualité sociale agricole (ci-après la « MSA ») avec leurs ressortissants.
Ce projet vise à créer des traitements de données à caractère personnel permettant la gestion de la relation des organismes locaux et nationaux du RSI et de la MSA avec leurs ressortissants portant notamment sur le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR).
Le projet soumis à la commission est pris en application de l'article 27-1 (1°) et de l'article 29 de la loi du 6 janvier 1978 modifiée (ci-après « loi informatique et libertés »).
L'article 27-1 (1°) de la loi informatique et libertés prévoit que « sont autorisés par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés : les traitements de données à caractère personnel mis en œuvre pour le compte (…) d'une personne morale de droit public (…) qui portent sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques ».
L'article R.115-1 du code de la sécurité sociale prévoit que « Les organismes et administrations chargés de la gestion d'un régime obligatoire de base de sécurité sociale et, le cas échéant, les organismes habilités par la loi ou par une convention à participer à la gestion de ces régimes » sont autorisés à utiliser le NIR. Ces dispositions sont complétées par celles de l'article R. 115-2 qui précise que « l'autorisation donnée à l'article R. 115-1 vaut exclusivement pour les traitements mis en œuvre dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 » pour des finalités au nombre desquelles ne figurent pas la gestion de la relation avec les assurés sociaux.
Dès lors que ces traitements sont substantiellement différents de ceux qu'autorisent les dispositions réglementaires en vigueur, ils doivent être autorisés par décret en Conseil d'Etat pris après avis de la CNIL, en application de l'article 27-1 (1°) précité.
Sur la dénomination et les finalités des traitements :
L'article 1er du projet explicite le périmètre et les finalités des traitements mis en œuvre dans le cadre de la gestion de la relation par le RSI et la MSA avec leurs ressortissants.
Le projet est relatif à la mise en œuvre de traitements de données à caractère personnel dénommés « gestion de la relation client (GCR) » par les organismes locaux et nationaux du RSI et de la MSA, qui sont chacun responsable du traitement qu'ils mettent en œuvre.
La commission relève que le projet est accompagné d'un dossier de présentation du traitement envisagé par le RSI. Elle n'a cependant été destinataire d'aucun élément concernant le traitement envisagé par la MSA de sorte qu'elle ne peut se prononcer utilement sur le traitement mis en œuvre par cet organisme.
La commission prend acte toutefois de ce que le ministère a indiqué que le traitement envisagé par la MSA sera similaire à celui déployé par le RSI. Elle demande qu'il soit joint à l'engagement de conformité un dossier de présentation de l'outil de « gestion de la relation client » mis en œuvre par la MSA.
Ces traitements ont vocation à permettre :
« 1° D'assurer le suivi des échanges avec les ressortissants des régimes concernés, qu'ils aient lieu par téléphone, courrier postal ou électronique, ainsi que des comptes rendus des visites et des appels téléphoniques ;
2° De contribuer à la gestion des demandes et des réclamations et à leur suivi ;
3° De contribuer à la gestion des utilisateurs et à celle des tâches des agents, qu'il s'agisse de ceux des organismes des régimes concernés ou de leurs sous-traitants, et à la gestion des calendriers et alertes ;
4° De contribuer à la gestion des campagnes de prévention, de communication, et aux enquêtes de satisfaction ;
5° De constituer une base documentaire à la disposition des agents regroupant l'ensemble des informations permettant de répondre aux demandes les plus simples des assurés ;
6° De permettre des interconnexions avec d'autres traitements utilisés par les organismes ;
7° De produire des statistiques sur la gestion de la relation du régime concerné avec ses ressortissants, à partir de données préalablement anonymisées. »
Les interconnexions envisagées par le RSI ont pour objet la mise en relation, en interne, avec d'autres applications utilisées par cet organisme, en externe, avec des applications utilisées par la Caisse nationale du réseau URSSAF (l'ACOSS) dans le cadre de la gestion du recouvrement des cotisations et contributions sociales des ressortissants du RSI et du suivi de leur demande et réclamation.
La commission prend acte de ce que les statistiques seront établies à partir de données préalablement anonymisées.
La commission considère que la création des traitements précités et les finalités ainsi poursuivies sont déterminées, explicites et légitimes.
Sur la nature des données traitées :
L'article 2 du projet énumère les catégories de données à caractère personnel qui feront l'objet d'un traitement de la façon suivante :
« 1° Le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) et celui ou ceux qui lui auraient été précédemment attribués ou, pour les personnes en instance d'attribution d'un numéro d'inscription au répertoire national d'identification des personnes physiques, un numéro identifiant d'attente (NIA) attribué par la Caisse nationale d'assurance vieillesse des travailleurs salariés à partir des données d'état civil, pour l'ensemble des organismes ;
2° Les données d'identification des ressortissants du régime ou de leurs ayants droit noms, prénoms, sexe, date et lieu de naissance ;
3° Les données relatives à leur affiliation à un régime de sécurité sociale, aux droits à l'assurance maladie, à la qualité d'assuré ou d'ayant droit et, le cas échéant, au bénéfice de la couverture maladie universelle :
4° Les données relatives à la retraite ;
5° Les données d'ordre économique relatives aux revenus perçus et aux cotisations versées ;
6° Les données relatives au bénéfice éventuel de l'action sanitaire et sociale ;
7° Les données relatives aux demandes et éventuelles réclamations formulées et à leur suivi ;
8° Les données relatives à l'identification des professionnels de santé et intervenants participant à la prise en charge de la personne et des mandataires agissant pour le compte de la personne ;
9° Les données permettant d'assurer la traçabilité des connexions, telles que celles relatives aux identifiants et mots de passe des utilisateurs, à leurs noms, prénoms et à ceux de leur supérieur hiérarchique direct, à leur organisme d'appartenance, aux dates, heures et durées de leurs connexions ainsi qu'aux actions effectuées dans le traitement. »
Le ministère indique que les données précitées sont nécessaires au RSI et à la MSA aux fins de permettre la gestion de la relation avec leurs ressortissants respectifs et que l'utilisation du NIR est nécessaire afin de garantir la bonne identification des assurés.
La commission rappelle qu'en application des dispositions de l'article 6-3° de la loi informatique et libertés les données traitées doivent être adéquates, pertinentes et non excessives au regard de la finalité poursuivie et souligne que l'utilisation du NIR doit être cantonnée aux finalités limitativement énumérées à l'article 1er du projet aux fins d'exercice par les organismes gestionnaires de régimes obligatoires de base de l'assurance maladie des missions de sécurité sociale qui leur sont confiées par la loi.
Elle prend acte de ce que les traitements ne contiendront pas de données comportant des appréciations sur les difficultés sociales des personnes.
Sur les destinataires des données :
L'article 3 du projet précise que les destinataires des données sont « les agents nommément désignés et dûment habilités par l'autorité responsable » :
« - des caisses locales et de la caisse nationale du régime social des indépendants, pour ce qui concerne les données relatives à la gestion de la relation entre le régime social des indépendants et ses ressortissants ;
« - des caisses locales et de la caisse centrale de la mutualité sociale agricole, pour ce qui concerne les données relatives à la gestion de la relation entre le régime de la mutualité sociale agricole et ses ressortissants ;
« - des Unions pour le recouvrement des cotisations de sécurité sociale et d' allocations familiales, pour ce qui concerne les données relatives à la gestion de la relation entre le régime social des indépendants et ses ressortissants ;
« - des prestataires agissant pour le compte des organismes précités. »
S'agissant des données transmises aux URSSAF, il ressort des échanges entre les services de la CNIL et ceux du ministère qu'il s'agit des données se rapportant aux demandes et réclamations relevant de la responsabilité des URSSAF.
La commission prend acte de ce que cette communication s'effectue dans le cadre de la double délégation par le RSI aux URSSAF du calcul et de l'encaissement de cotisations et contributions sociales, d'une part, et de la participation des URSSAF à l'accueil et à l'information des personnes exerçant les professions artisanales, industrielles et commerciales, d'autre part.
Sur la durée de conservation des données :
L'article 4 du projet prévoit des durées de conservation distinctes en fonction des données traitées :
« Les données d'ordre économique relatives aux revenus perçus et aux cotisations versées et les données relatives à l'action sanitaire et sociale sont conservées trois ans dans le traitement dont la création est autorisée par l'article 1er.
Les données relatives à la retraite, notamment celles relatives aux pensions de retraite de base, aux pensions de retraite complémentaire, à la réversion, à l'invalidité, au capital décès et à l'historique des versements, sont conservées un mois dans le traitement dont la création est autorisée par l'article 1er.
Les autres données mentionnées à l'article 2 sont conservées dans le traitement dont la création est autorisée par l'article 1er pendant la durée strictement nécessaire à la réalisation des finalités prévues par ce même article 1er et, en ce qui concerne les données mentionnées au 8° de l'article 2 précité, pendant deux ans. »
S'agissant des données d'ordre économique, des données relatives à l'action sanitaire et sociale et des données relatives à la retraite, les durées de conservation ont été déterminées et justifiées. En revanche, s'agissant des autres données mentionnées à l'article 2, le projet renvoie à « une durée de conservation strictement nécessaire à la réalisation des finalités » telles que définies à l'article 1er du projet, à l'exception des données mentionnées au 8° de l'article 2 lequel renvoie, dans sa version rectificative, aux données d'identification des professionnels de santé et intervenants participant à la prise en charge de la personne et des mandataires agissant pour le compte de la personne.
Il résulte des échanges intervenus lors de l'instruction du projet que le RSI envisage de conserver les données relatives à l'identification des ressortissants (dont le NIR), à leur vie personnelle (telles que sa situation de famille, son statut marital), à leur vie professionnelle jusqu'au décès du dernier bénéficiaire.
La commission préconise que les données relatives aux demandes et éventuelles réclamations formulées et à leur suivi (article 2, 7°) ne soient pas conservées au-delà de leur règlement. En outre, s'agissant des données permettant d'assurer la traçabilité des connexions mentionnées à l'article 9° du projet, la commission prend acte de ce que la durée de conservation de six mois préconisée sera appliquée.
La commission prend acte, qu'à sa demande, le projet sera modifié afin de préciser les durées de conservation au regard des finalités.
La commission prend acte de ce que passées les durées de conservation, les données seront supprimées des traitements et ne feront pas l'objet d'un archivage. Elle demande que le projet soit précisé et qu'une durée de conservation strictement nécessaire à la réalisation des finalités soit explicitée.
Sur l'information des personnes :
L'article 5 du projet prévoit que les personnes auxquelles se rapportent les données mentionnées à l'article 2 sont informées de :
- l'existence et de la mise en œuvre d'un traitement de données à caractère personnel les concernant ;
- des finalités de gestion de la relation client auxquelles il est destiné ;
- de l'identité du responsable de traitement, des destinataires des données et des modalités d'exercice des droits d'accès et de rectification prévus par les articles 39 et 40 de la loi informatique et libertés.
La commission observe qu'il est envisagé que la diffusion de cette information s'opère via les sites internet respectifs des régimes mettant en œuvre de tels traitements.
Outre l'information par voie de publication du décret au Journal officiel de la République française, elle estime préférable, afin de permettre un exercice effectif des droits des personnes, conformément à l'article 32 de la loi informatique et libertés, de compléter le dispositif d'information envisagé par :
- une information par voie d'affichage dans les organismes gestionnaires de régime de base de l'assurance maladie et sur leur site internet une information dans les différents courriers ou courriels adressés aux personnes concernées ;
- une mention dans les publications à destination des assurés des établissements susmentionnés, le cas échéant.
Sur les droits d'accès, de rectification et d'opposition des personnes :
L'article 5 du projet prévoit que les droits d'accès et de rectification prévus aux articles 39 et 40 de la loi du 6 janvier 1978 modifiée s'exercent auprès de l'organisme local auquel le ressortissant du régime concerné est rattaché.
La commission en prend acte.
L'article 5 du projet prévoit que le droit d'opposition prévu à l'article 38 de la loi du 6 janvier 1978 précitée ne s'applique pas aux traitements autorisés par le présent décret.
La commission a été informée que cette exclusion ne s'applique pas s'agissant des campagnes de communication et de prévention, les personnes ciblées ayant la possibilité de se désabonner des campagnes dont elles font l'objet.
La commission prend acte qu'à sa demande le projet sera complété afin de préciser que l'exclusion du droit d'opposition ne s'applique pas à la gestion des campagnes de prévention, de communication et aux enquêtes de satisfaction.
Sur la sécurité des données et la traçabilité des actions
La commission relève que le projet est silencieux sur les mesures de sécurité à mettre en œuvre dans les traitements qu'il autorise.
Elle prend acte qu'à sa demande le projet sera complété d'un article ayant pour but de rappeler que les responsables de traitements doivent prendre toutes les mesures nécessaires à la préservation de la sécurité des données tant à l'occasion de leur recueil que de leur consultation, et ce conformément à l'article 34 de la loi informatique et libertés.
Le dossier technique joint à la demande d'avis présente les mesures de sécurité qui seront mises en œuvre pour le traitement du RSI.
Des profils sont prévus pour ne fournir l'accès aux données qu'en fonction des missions de l'utilisateur.
Les accès des utilisateurs sont opérés par l'utilisation d'un identifiant et d'un mot de passe dont la complexité est conforme aux recommandations de la commission.
Les accès des administrateurs du système sont également opérés par l'utilisation d'un identifiant et d'un mot de passe. Ces personnels, disposant de privilèges élevés sur le système d'information, devraient s'authentifier par le recours à un mot de passe disposant d'une complexité plus importante que les utilisateurs. La commission recommande ainsi d'utiliser des mots de passe d'une longueur minimale de dix caractères, composés de trois types de caractères distincts.
Les connexions, ainsi que les opérations effectuées, lorsqu'elles ont pour objet d'écrire des données sont tracées et horodatées.
S'agissant des transferts de données, la commission demande que des mesures supplémentaires soient prévues afin d'en assurer la confidentialité en ayant recours, par exemple, au chiffrement des flux à l'aide du protocole https.
Les bases de données sont répliquées permettant d'en assurer la disponibilité en cas d'incident mineur.
La commission prend acte qu'à sa demande le chiffrement des sauvegardes de données sera effectué afin d'en assurer la confidentialité.
Enfin, la commission rappelle que les mesures de sécurité doivent être régulièrement mises à jour afin de prendre en compte les évolutions des technologies, et recommande qu'une analyse de risques soit menée pour chacun des projets et revues régulièrement afin, le cas échéant, de mettre à jour les mesures de sécurité initialement prévues.
Sur les formalités à accomplir :
L'article 6 du projet prévoit qu'en application des dispositions du IV de l'article 26 de la loi informatique et libertés, le responsable de chacun des traitements de données autorisés sur le fondement du présent décret adresse à la commission nationale de l'informatique et des libertés, préalablement à sa mise en œuvre, un engagement de conformité aux dispositions du présent décret dans les conditions fixées à l'article 8 du décret du 20 octobre 2005.
La commission rappelle qu'en l'absence d'éléments lui permettant de se prononcer utilement sur le traitement mis en œuvre par la MSA il conviendra que celle-ci lui adresse, préalablement à la mise en œuvre du traitement, l'engagement de conformité visé à l'article 6 du projet accompagné du dossier de présentation du traitement précisant notamment les fonctionnalités exactes de chaque logiciel, son architecture technique ainsi que les mesures de sécurité encadrant le traitement projeté.
Les autres points du projet n'appellent pas, en l'état et au regard de la loi du 6 janvier 1978 modifiée, d'autres observations.