Après avoir entendu Mme Laurence DUMONT, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La loi de financement de la sécurité sociale pour 2016 en date du 21 décembre 2015 a élargi le champ d'application du droit de communication dont disposent les agents des organismes de sécurité sociale en vertu de l'article L. 114-19 du code de la sécurité sociale, lequel leur permet d'obtenir, sans que le secret professionnel ne leur soit opposable, les documents et informations nécessaires à la vérification des conditions d'obtention des prestations de sécurité sociale, au recouvrement et au contrôle des prélèvements sociaux, à la lutte contre le travail dissimulé et au recouvrement des prestations versées indûment.
L'article L. 114-19 prévoit en effet, dans sa nouvelle rédaction issue de l'article 95 de la loi susvisée, que désormais ce droit de communication peut porter sur des informations relatives à des personnes non identifiées.
La loi prévoit que ce droit de communication s'exerce dans des conditions fixées par décret en Conseil d'Etat après avis de la commission nationale de l'informatique et des libertés.
Sur les conditions générales d'exercice du droit de communication :
A titre liminaire, la commission rappelle qu'elle a toujours entendu poser le principe selon lequel le droit de communication doit s'exercer de manière ponctuelle et motivée. En outre, les demandes d'information formulées dans le cadre de ce droit doivent en principe ne porter que sur des personnes identifiées.
La commission prend acte de la volonté du législateur de doter les organismes sociaux de moyens de détection adaptés et efficaces, en particulier compte tenu de l'évolution des technologies de l'information, qui rend difficiles le contrôle et la détection de la fraude par internet liée au travail dissimulé dans la mesure où les personnes réalisant un acte de commerce de manière dématérialisée ne sont pas toujours identifiables.
Il s'agit donc de permettre aux agents de contrôle de vérifier, auprès des opérateurs de plateformes en ligne, la régularité des formalités sociales des personnes qui réalisent la vente d'un bien, la fourniture d'un service, l'échange ou le partage d'un bien ou d'un service par l'intermédiaire d'entreprises, par voie électronique.
La commission observe que ce droit de communication élargi existe d'ores et déjà au profit des agents de l'administration fiscale. A cet égard, dans sa délibération n° 2015-187 du 25 juin 2015, la commission a rendu un avis sur le projet de décret fixant les conditions d'exercice de ce droit de communication mentionné à l'article L. 81 du livre des procédures fiscales.
A l'instar des observations formulées dans sa délibération du 25 juin 2015, la commission rappelle que les modalités de mise en œuvre du nouveau droit de communication doivent garantir, d'une part, le caractère ponctuel des demandes formulées par les organismes de sécurité sociale et, d'autre part, que les critères de recherche soient suffisamment précis et objectifs afin de limiter le périmètre de la demande.
Elle considère en effet que les prérogatives dont bénéficient les organismes de sécurité sociale dans le cadre de l'exercice du droit de communication ne doivent pas les conduire à obtenir, de manière généralisée et systématique, une fraction significative des informations contenues dans les traitements mis en œuvre par les organismes auprès desquels ce droit est exercé.
La commission souhaite donc apporter les observations suivantes sur le projet de décret qui lui est soumis.
Sur les garanties prévues par le projet de décret :
Le présent projet de décret prévoit que le droit de communication peut être exercé par les agents chargés du contrôle du recouvrement des cotisations du régime général et du régime des non-salariés et salariés agricoles.
Concrètement, ces agents pourront désormais obtenir auprès des opérateurs de plateformes en ligne la communication d'informations ou de documents relatifs à des personnes non identifiées.
La commission constate néanmoins que l'interrogation de ces opérateurs sera réalisée sur la base de critères prédéfinis. En effet, l'article ler du projet de décret précise les éléments devant figurer dans les demandes adressées aux opérateurs de plateformes en ligne.
La commission prend acte des précisions apportées par le ministère selon lesquelles ces éléments ont un caractère cumulatif afin d'identifier le plus précisément possible les personnes susceptibles d'exercer une activité commerciale en ligne.
En premier lieu, chaque demande devra mentionner « la nature de la relation juridique ou économique existant entre la personne soumise au droit de communication et les personnes dont l'identification est demandée ».
Interrogé sur ce point, le ministère a indiqué que ce critère ne peut correspondre qu'à deux types de relations contractuelles, l'une entre un client et un fournisseur, l'autre entre un employeur et un employé. La commission en prend acte et recommande que le projet de décret fasse expressément état de cette précision afin d'encadrer strictement le périmètre des nouvelles prérogatives des organismes de sécurité sociale et éviter notamment que l'exercice de ce droit de communication n'aboutisse à la transmission systématique de fichiers entiers.
En deuxième lieu, la demande devra préciser « la ou les informations demandées relatives aux personnes faisant l'objet de la recherche ». Le ministère a précisé que ces informations seront déterminées au regard des dispositions légales ou réglementaires encadrant les différentes activités exercées au sein des plateformes soumises au droit de communication.
La commission relève que ces informations seront précisées par l'un au moins des trois critères suivants : la situation géographique, le seuil (pouvant être exprimé en quantité, nombre, fréquence ou montant financier), ou le mode de paiement.
En troisième lieu, devra également être mentionnée « la période éventuellement fractionnée mais ne pouvant excéder dix-huit mois sur laquelle porte la recherche ».
La commission prend acte des précisions apportées par le ministère selon lesquelles cette durée constitue un délai suffisant pour que les agents des organismes de sécurité sociale puissent détecter les situations de fraude sociale réalisées sur internet.
La commission relève enfin que l'exercice d'un tel droit de communication est limité aux seuls agents agréés et assermentés relevant d'un organisme de sécurité sociale. Ces derniers feront partie d'une cellule dédiée hébergée par l'Union de recouvrement des cotisations de sécurité sociale et d'allocations familiales (URSSAF) de Paris. Elle compte actuellement une dizaine d'agents.
La commission considère que cette dernière modalité de mise en œuvre est de nature à garantir un encadrement strict du recours au droit de communication relatif à des personnes non identifiées dans la mesure où seul un nombre restreint d'agents des organismes de recouvrement de la sécurité sociale sera habilité à recourir à ce droit.
Au regard de l'ensemble de ces éléments, la commission estime que les modalités prévues par le projet de décret pour la mise en œuvre de ce droit de communication relatif à des personnes non identifiées repose sur des éléments suffisamment objectifs permettant la transmission des seules informations pertinentes.
Sur les autres mesures de mise en œuvre du droit de communication :
La commission relève que « les informations communiquées sont conservées par l'administration pendant un délai de trois ans à compter de leur réception et jusqu'à l'expiration de toutes les voies de recours ».
Elle prend acte des informations apportées par le ministère selon lesquelles la durée de recouvrement contentieuse peut être allongée au-delà de trois années notamment lorsque le cotisant conteste le redressement devant la juridiction civile ou pénale. La durée de conservation retenue dans le projet de décret doit donc permettre le traitement des contentieux pouvant intervenir dans le cadre des procédures mises en œuvre suite à l'exercice du droit de communication.
La commission relève qu'après réception des informations par les agents des organismes de sécurité sociale, ceux-ci procèdent à un rapprochement de ces données avec celles disponibles dans leurs bases afin d'identifier les éventuelles incohérences pouvant révéler des situations de fraude. Le dispositif ainsi mis en œuvre n'entraîne pas d'interconnexion.
S'agissant de l'information des personnes, la commission rappelle qu'il revient à l'organisme de sécurité sociale en charge des opérations qui sont susceptibles d'être déclenchées ultérieurement à l'exercice du droit de communication d'informer les personnes concernées et de leur donner accès aux éléments obtenus auprès d'organismes tiers.
L'article ler du projet de décret prévoit que « Sur demande des agents mentionnés au 1°, les informations sont communiquées sur un support informatique, par un dispositif sécurisé ».
Après renseignement pris auprès du ministère, la commission prend acte que la communication des documents et données demandés par les agents habilités reposera sur la transmission de supports physiques (clé USB, CD Rom, etc.) remis par voie postale contre signature.
Au regard de la possibilité pour des tiers non autorisés d'intercepter les communications entre les organismes sollicités et les agents habilités, de prendre connaissance et d'altérer les documents et données qui seraient transmis, la commission rappelle que des risques importants pèsent sur les personnes concernées. Elle recommande de ce fait que des mesures de nature à limiter ces risques soient mises en œuvre.
Il conviendra donc, a minima, de recourir à des méthodes de chiffrement des supports (par exemple chiffrement asymétrique) afin d'assurer la confidentialité des informations et de mettre en œuvre des méthodes de signature numérique et de calcul d'empreinte permettant de garantir l'authenticité et l'intégrité des documents et données échangés.
La commission relève qu'une solution pérenne et sécurisée visant à se substituer à la remise de supports physiques est à l'étude. Plus spécifiquement, il s'agira de mettre en œuvre un portail permettant aux organismes de transmettre de façon sécurisée les documents et données demandés par les agents habilités. La commission rappelle qu'un tel dispositif constituera un téléservice de l'administration électronique au sens de l'ordonnance n° 2005-1516 du 8 décembre 2005 susvisée dans la mesure où il permettra la transmission des réponses aux demandes de droit de communication. Ce dispositif sera donc notamment soumis au respect du Référentiel général de sécurité (RGS).
Afin de se conformer à l'article 34 de la loi du 6 janvier 1978 modifiée, la commission considère qu'il sera nécessaire pour ce dispositif de respecter l'ensemble des recommandations techniques relatives à la sécurité des sites internet publiées par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) dans la note technique DAT-NT-009/ANSSI/SDE « recommandations pour la sécurisation des sites web » du 13 août 2013.
En particulier, elle souligne l'importance de se conformer à l'état de l'art, notamment relativement au protocole HTTPS en ne supportant plus les versions de « Secure Sockets Layer » (SSL), et en préférant la ou les versions de « Transport Layer Security » (TLS) les plus à jour possible.
La commission rappelle en outre l'importance de mettre en œuvre des mesures techniques et organisationnelles garantissant que seules les personnes habilitées auront accès aux documents transmis. Elle observe que ces derniers sont conservés sur des espaces de stockage dont les accès sont limités aux seuls agents ayant le besoin d'en connaître.
La commission recommande que les permissions d'accès soient attribuées pour une durée déterminée, après validation hiérarchique, et qu'elles soient supprimées pour tout utilisateur n'étant plus habilité et qu'une revue globale des habilitations soit opérée régulièrement. Elle relève qu'une politique générale de gestion des mots de passe satisfaisant ses critères est mise en œuvre et permet l'authentification des personnes habilitées.
La commission rappelle que la modification non volontaire ou la disparition de documents ou de données pourrait avoir pour conséquence le déclenchement d'une procédure de vérification à l'encontre d'une personne ou d'une entreprise. Le ministère a indiqué que des mesures seront mises en œuvre pour assurer la disponibilité et l'intégrité de ces documents et données, notamment à l'appui de sauvegardes régulières.
Des mesures de traçabilité adéquates sur les accès, modifications et destructions de ces documents et données sont également mises en œuvre. La commission rappelle que ces traces devront faire l'objet d'une exploitation régulière notamment afin de pouvoir détecter d'éventuels usages anormaux.
Sous ces réserves, la commission considère que les mesures de sécurité décrites sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée. La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.