Articles

Article AUTONOME (Délibération n° 2016-048 du 25 février 2016 portant avis sur le projet de décision de la Caisse des dépôts et consignations portant création d'un traitement automatisé de données à caractère personnel relatif à la mise en œuvre d'un téléservice dénommé « système d'information permettant la restitution des sommes provenant des comptes bancaires inactifs, des contrats d'assurance-vie et des bons de capitalisation en déshérence », objet du dépôt obligatoire à la Caisse des dépôts et consignations)

Article AUTONOME (Délibération n° 2016-048 du 25 février 2016 portant avis sur le projet de décision de la Caisse des dépôts et consignations portant création d'un traitement automatisé de données à caractère personnel relatif à la mise en œuvre d'un téléservice dénommé « système d'information permettant la restitution des sommes provenant des comptes bancaires inactifs, des contrats d'assurance-vie et des bons de capitalisation en déshérence », objet du dépôt obligatoire à la Caisse des dépôts et consignations)


(Demande d'avis n° 1903316)


La Commission nationale de l'informatique et des libertés,
Saisie par la Caisse des dépôts et consignations d'une demande d'avis sur le projet de décision de la Caisse des dépôts et consignations portant création d'un traitement automatisé de données à caractère personnel relatif à la mise en œuvre d'un téléservice dénommé « système d'information permettant la restitution des sommes provenant des comptes bancaires inactifs, des contrats d'assurance-vie et des bons de capitalisation en déshérence », objet du dépôt obligatoire à la Caisse des dépôts et consignations ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code monétaire et financier, notamment le V de son article L. 312-20, et les articles L. 518-2 et suivants ;
Vu le code des assurances, notamment le II de son article L. 132-27-2 ;
Vu le code de la mutualité, notamment le II de son article L. 223-25-4 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-II (4°) ;
Vu la loi n° 2014-617 du 13 juin 2014 relative aux comptes bancaires inactifs et aux contrats d'assurance-vie en déshérence ;
Vu le décret n° 2015-1092 du 28 août 2015 relatif aux comptes bancaires inactifs et aux contrats d'assurance-vie en déshérence ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le dossier et ses compléments ;
Après avoir entendu M. Jean-Luc VIVET, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
Visant à améliorer la protection des épargnants et des bénéficiaires de contrats d'assurance sur la vie et des titulaires de comptes bancaires inactifs, la loi du 13 juin 2014 apporte des précisions sur les dispositifs existants et ajoute des obligations aux établissements financiers et aux organismes d'assurance et de prévoyance.
L'article L.312-20 du code monétaire et financier prévoit que les établissements assujettis procèdent au dépôt à la Caisse des dépôts et consignations des avoirs présents sur les comptes, instruments financiers, biens présents dans les coffres après que ceux-ci auront, dans les conditions de la loi, été liquidés ou vendus judiciairement.
La plateforme envisagée par la Caisse des dépôts et consignations présente bien le caractère d'un téléservice au sens de la loi du 6 janvier 1978 modifiée dans la mesure où la loi du 13 juin 2014 et son décret d'application font obligation :


- aux établissements financiers et entreprises d'assurance de déposer à la Caisse des dépôts et consignations les avoirs visés par la loi ;
- à la Caisse des dépôts et consignations d'assurer via la plateforme dédiée, la publicité nécessaire à la restitution, le cas échéant, aux titulaires de comptes et coffres, aux ayants droit et bénéficiaires de contrats d'assurance-vie, des sommes déposées.


En outre, le traitement envisagé prévoit la possibilité de collecter le NIR du titulaire du compte ou du souscripteur du contrat, uniquement lorsque cette information s'avère nécessaire pour la gestion des requêtes de l'usager et dans le cadre d'un plan d'épargne entreprise.
Dès lors, le traitement envisagé relève des dispositions de l'article 27-II (4°) de la loi du 6 janvier 1978 modifiée.
Sur la finalité du traitement :
La commission a été saisie pour avis par la Caisse des dépôts et consignations d'un projet de décision portant création d'un traitement automatisé de données à caractère personnel relatif à la mise en œuvre d'un téléservice dénommé « système d'information permettant la restitution des sommes provenant des comptes bancaires inactifs, des contrats d'assurance-vie et des bons de capitalisation en déshérence », objet du dépôt obligatoire à la Caisse des dépôts et consignations.
Dans le cadre de la loi du 13 juin 2014 les déposants, établissements financiers et organismes d'assurance, doivent mettre en œuvre trois obligations :


- une obligation d'information des titulaires des comptes bancaires des conséquences liées à l'inactivité du compte bancaire et des souscripteurs des contrats d'assurance-vie des dispositions de la loi relatives au transfert des sommes à la CDC ;
- une obligation de consultation annuelle des données du RNIPP relatives aux décès des personnes titulaires de contrats d'assurance vie ou dont les comptes sont inactifs ;
- une obligation de transfert des fonds à la Caisse des dépôts et consignations des comptes bancaires clôturés inactifs et des sommes non réclamées dues au titre des contrats d'assurance sur la vie.


Pour répondre à ces obligations de dépositaire et conservateur des comptes bancaires inactifs et contrats d'assurance-vie en déshérence, la Caisse des dépôts et consignations souhaite mettre en place, à compter du 1er juillet 2016, un dispositif composé de trois éléments :


- un site internet sécurisé à destination des déposants pour leur permettre de déposer de manière sécurisée des fichiers d'informations sur les avoirs déposés (le site de dépôt) ;
- une évolution de son outil de gestion interne afin de traiter les spécificités des dépôts conservés au titre de la loi du 13 juin 2014 ;
- un site internet à destination du grand public pour permettre à toute personne le désirant d'effectuer une recherche sur les avoirs conservés et d'initier, sous certaines conditions, une demande en vue de son reversement (le site internet grand public ouvrira au 1er janvier 2017).


La commission observe que le dépôt des avoirs implique une double remise par le déposant. D'une part, un fichier d'informations sur les avoirs déposés est transmis à la Caisse des dépôts et consignations pour lui permettre de satisfaire à ses obligations de publicité et de reversement aux personnes concernées via un site internet dédié. D'autre part, un virement correspondant au montant des sommes devant être déposées, est effectué.
Le traitement est alimenté par les traitements automatisés relatifs aux données collectées par les établissements financiers et les organismes d'assurance concernés. La Caisse des dépôts et consignations aura reçu, d'une part, les données en provenance des établissements déposants relatives à la tenue des comptes clients et d'autre part, les informations apportées par les utilisateurs du site grand public.
Le téléservice a pour finalité de permettre aux titulaires de comptes bancaires inactifs ou à leurs ayants droit ainsi qu'aux souscripteurs, adhérents, membres participants ou bénéficiaires de contrats d'assurance-vie, bons ou contrats de capitalisation non réclamés, de percevoir les sommes qui leur sont dues au titre de ces comptes, contrats ou bons, dont les sommes ont fait l'objet d'un dépôt à la Caisse des dépôts et consignations.
Les recherches seront effectuées par le grand public depuis le site internet constitué d'une partie « publique » en libre accès et composée :


- d'une page d'accueil mettant à disposition de l'internaute de l'information pratique et lui donnant accès à un formulaire de recherche ;
- d'un formulaire de recherche permettant au grand public d'effectuer des recherches parmi les avoirs déposés à la Caisse des dépôts et consignations par les déposants via le module déposant ;
- d'un service permettant de créer un compte utilisateur.


Une partie dite « privée », accessible via un compte utilisateur personnel, sera constituée :


- d'un accès permettant aux utilisateurs ayant créé un compte de faire des demandes complémentaires auprès de la CDC ;
- de suivre l'avancement du traitement de ces demandes complémentaires.


Le processus d'interrogation est le suivant.
Les recherches relatives à un avoir déposé sont effectuées via le site grand public de la Caisse des dépôts et consignations, qui permet d'effectuer des recherches simples puis, dans certains cas, de faire une demande complémentaire susceptible d'aboutir à un reversement. Dans tous les cas, aucune réponse affirmative n'est faite via le site grand public.
Lors de la première étape d'utilisation du site grand public dénommée « recherche simple », l'utilisateur doit renseigner les informations relatives d'une part, à la typologie du produit recherché et, d'autre part, aux comptes bancaires ou aux contrats d'assurance-vie ou au plan d'épargne entreprise.
Si la recherche simple ne donne pas de résultat, le demandeur est invité renouveler sa demande à une date ultérieure ou à partir d'autres éléments.
Lors de la seconde étape d'utilisation du site grand public, appelée « demande complémentaire », si des concordances ont été détectées à l'issue de la recherche simple, le demandeur est invité à transmettre une demande complémentaire à la Caisse des dépôts et consignations pour déterminer si l'avoir déposé peut lui être reversé. A cet égard, des informations complémentaires relatives au type de produit peuvent être demandées à l'utilisateur.
La demande complémentaire est analysée par un gestionnaire de la Caisse des dépôts et consignations qui peut décider, soit de confirmer la légitimité de la demande, soit d'adresser un courrier de réponse négative, soit de demander d'autres informations et précisions nécessaires auprès du demandeur ou du déposant. Dans ce dernier cas, un courrier d'attente est adressé au demandeur.
Si une recherche détecte des possibilités de concordance avec un avoir conservé à la Caisse des dépôts et consignations, le demandeur est invité à poursuivre le processus par l'envoi de pièces dématérialisées. Ces éléments sont analysés par le gestionnaire pour en évaluer la recevabilité et aboutir, le cas échéant, à un reversement des fonds conservés par la Caisse des dépôts et consignations.
La commission relève que des contrôles liés aux risques de fraudes et d'usurpation d'identité seront mis en œuvre en s'appuyant sur les contrôles déjà en place dans les services de la Caisse des dépôts et consignations pour les activités bancaires et les consignations.
La commission considère que cette finalité est déterminée, explicite et légitime.
Sur la nature des données traitées :
L'article 4 du projet de décision énumère les catégories de données en distinguant entre les données relatives aux titulaires des comptes inactifs et le cas échéant au(x) représentant(s) légal(aux) de ces personnes.
Les données relatives aux titulaires des comptes inactifs et leurs ayants droit, aux souscripteurs, adhérents, membres participants, assurés et bénéficiaires des contrats d'assurance-vie, bons ou contrats de capitalisation non réclamés ainsi qu'aux usagers du téléservice correspondent aux catégories suivantes :


- état civil ;
- dernières coordonnées connues ;
- références ou numéros et les caractéristiques du (ou des) compte(s), contrat(s), bon(s), police(s) ou adhésion visé(s) ;
- le dernier relevé d'identité bancaire connu sera nécessaire pour permettre le versement des fonds par virement bancaire au bénéficiaire ;
- les références, la nature, le solde, la devise d'origine et l'identité de la personne morale ;
- en cas de compensation légale ou conventionnelle entre divers comptes détenus par un même titulaire : références du compte et solde ;
- pour les personnes concernées par les comptes inactifs et leurs ayants droit : date de départ de la déchéance trentenaire, fait générateur d'inactivité, existence d'un cas de compensation légale ou conventionnelle entre divers comptes détenus par un même titulaire, références, solde, devise d'origine de chacun des comptes inactifs compensés, solde du compte inactif et date ;
- le montant des sommes déposées à la Caisse des dépôts et consignations ;
- pour les personnes concernées par des produits d'épargne : la dénomination ou raison sociale de l'employeur concerné, l'adresse de son dernier siège social, le NIR lorsqu'il figure sur les relevés de comptes individuels sur lesquels sont inscrits des dépôts et avoirs au titre des produits d'épargne prévus par les dispositions du troisième alinéa de l'article L.3341-7 du code du travail ;
- pour les personnes concernées par les contrats d'assurance-vie, bons ou contrats de capitalisation non réclamés : le dernier libellé connu de la clause bénéficiaire, le fait générateur de l'inactivité, la date d'échéance, les informations complémentaires sur l'historique du dossier ;
- les informations et documents relatifs au régime d'imposition applicable à l'ensemble des sommes transférées à la Caisse des dépôts et consignations.


La commission observe que le NIR du titulaire du compte ou du souscripteur du contrat, ne peut être collecté qu'au titre d'une information complémentaire permettant le rapprochement de la demande lorsqu'il existe un plan d'épargne salarial.
Par exemple, dans le cas où le teneur de compte n'a pas communiqué les informations utilisées pour les autres produits à savoir le nom, prénom, date de naissance et éventuellement date de décès, alors le NIR du titulaire ou souscripteur sera nécessaire pour la gestion des requêtes. La collecte du NIR est autorisée en application des dispositions du troisième alinéa de l'article L. 3341-7 du code du travail et obtenu par la Caisse des dépôts et consignations au titre de l'article R. 312-20 (2°a) du CMF.
Les données relatives, le cas échéant au(x) représentant(s) légal(aux) de ces personnes :


- état civil ;
- dernières coordonnées connues.


L'article 5 concerne les données relatives aux usagers du téléservice. Il s'agit des données renseignées et mises à jour par les usagers via le site internet. Les données personnelles sont relatives à la date de la requête, au relevé d'identité bancaire, à la photocopie d'un justificatif d'identité. Elles sont nécessaires dans le cadre de la gestion de leurs requêtes et de la traçabilité des accès.
Par ailleurs, les informations complémentaires pouvant être demandées dans l'espace personnel sécurisé de l'usager sont les pièces dématérialisées suivantes :


- pièce d'identité du demandeur ;
- acte de décès du titulaire ;
- certificat d'hérédité ;
- acte de notoriété ;
- porte fort en cas de pluralité d'héritiers ;
- extrait k bis des personnes morales ;
- pouvoir, mandat ;
- copie du contrat ;
- autre justificatif (relevé de compte ou de situation, courrier de la banque ou société d'assurances…) ;
- demande faite par un notaire ou mandataire (généalogiste) ;
- réponse à la demande faite par un notaire ou mandataire (généalogiste).


La commission considère que compte tenu de la finalité poursuivie, les données sont pertinentes, adéquates et non excessives, conformément à l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
Sur les durées de conservation :
Les données doivent être distinguées selon leur origine : soit elles proviennent des établissements déposants à l'occasion du dépôt du fichier à la Caisse des dépôts et consignations, soit il s'agit des données communiquées par l'utilisateur du téléservice. Ces données sont conservées pendant une durée maximale de 67 ans conformément à la réglementation du code monétaire et financier.
Dans le premier cas, le point de départ de la durée de conservation correspond au dépôt des fichiers, sous réserve d'un acte interruptif de procédure.
Dans le second cas, le point de départ est la date de la communication des informations par l'usager et la durée de conservation est de 67 ans à compter de chacune des communications faites par le demandeur.
Enfin, les données de connexion permettant de savoir si un utilisateur a réalisé à une date déterminée une recherche sur un type de produit sont conservées une année.
La commission considère que la durée de conservation des données n'excède pas la durée nécessaire aux finalités pour lesquelles elles ont été collectées et traitées, conformément aux dispositions de l'alinéa 5 de l'article 6 de la loi du 6 janvier 1978 modifiée.
Sur l'information des personnes :
Les dispositions des articles 39 et 40 de la loi du 13 juin 2014 relative aux comptes bancaires inactifs et aux contrats d'assurance vie en déshérence, prévoient que le droit d'accès et de rectification s'exerce auprès du Correspondant informatique et libertés de la Caisse des dépôts et consignations.
La commission relève que le droit d'opposition n'est pas applicable dans la mesure où le traitement mis en place par la Caisse des dépôts et consignations répond à une obligation légale.
Sur la sécurité des données et la traçabilité des actions :
La commission rappelle que des mesures doivent être prises par le responsable de traitement afin de garantir la sécurité et la confidentialité des données, et, notamment, empêcher que des tiers non autorisés y aient accès.
A ce titre, la commission prend note du fait qu'une authentification forte des seules personnes dument habilitées à en connaitre sera mise en œuvre au sein de la Caisse des dépôts et consignation.
Elle prend note du fait qu'un chiffrement du flux sera déployé sur la plateforme d'accès externe et que les solutions mises en œuvre permettront d'assurer la sécurisation des informations transmises.
La commission rappelle que le traitement doit comporter un niveau de cloisonnement idoine des modules applicatifs du portail existant et adapter les processus d'habilitation dans le cadre du déploiement de ce téléservice.
La commission souligne également la mise en œuvre d'une fonctionnalité de journalisation des opérations de consultation, de modification ou de création permettant d'identifier l'utilisateur à l'origine d'une opération.
La gestion des mots de passe doit respecter les recommandations de la commission : mots de passe individuels composés d'au moins huit caractères des catégories alphabétique, numérique et spéciaux, lesquels sont régulièrement renouvelés.
La commission rappelle que, le dispositif étant un téléservice, il doit être conforme au référentiel général de sécurité (RGS) prévu par le décret n° 2010-112 du 2 février 2010 susvisé.
La commission relève que les personnels de la Caisse des dépôts et consignations concernés au titre de leurs fonctions accèdent directement à tout ou partie des données à caractère personnel strictement nécessaires à l'exercice de leurs missions pour la mise en œuvre du téléservice.
Ces mesures de sécurité apparaissent satisfaisantes au regard des dispositions de l'article 34 de la loi du 6 janvier 1978 modifiée. La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.
Emet un avis favorable au projet de décision de la Caisse des dépôts et consignations susvisé.