Sur la proposition de M. Alexandre LINDEN, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,
Emet l'avis suivant :
La commission a été saisie par la ministre des solidarités et de la santé d'une demande d'avis concernant un projet de décret autorisant la mise en œuvre, d'une part, d'un traitement de données à caractère personnel destiné au calcul de la cotisation prévue par l'article L. 380-2 du code de la sécurité sociale (CSS) et, d'autre part, d'un traitement de données à caractère personnel destiné au contrôle de la prise en charge des frais de santé et modifiant le décret n° 2015-390 du 3 avril 2015.
Concernant le traitement de données à caractère personnel destiné au calcul de la cotisation prévue par l'article L. 180-2 du code de la sécurité sociale
Sur les finalités :
La commission n'a pas d'observations sur ce point.
Sur la nature et le mode de collecte des données traitées :
Les catégories de données à caractère personnel qui seront traitées sont listées à l'article 1er-II du projet qui distingue les données relatives à l'état civil, l'identité ou l'identification des personnes, des données d'ordre économique et financier.
En pratique, l'Agence centrale des organismes de sécurité sociale (ACOSS) recevra les données en provenance de la direction générale des finances publiques (DGFIP). En effet, les personnes étant assujetties à la cotisation subsidiaire maladie sous conditions de ressources spécifiques, seule la DGFIP est en mesure de connaître la population des résidents fiscaux et peut vérifier les conditions d'assujettissement afin d'en soustraire la population assujettie.
La commission prend acte que seules les données à caractère personnel relatives à des personnes identifiées, par la DGFIP, comme redevables de cette cotisation seront transmises à l'ACOSS.
La commission relève que le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) figurera parmi les catégories de données transmises afin de renforcer la fiabilité de l'identification des redevables de la cotisation, ce qui n'appelle pas d'observations de la part de la commission.
Il en va de même des autres catégories de données mentionnées par le projet soumis à la commission, qui apparaissent adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées, conformément à l'article 6 (3°) de la loi du 6 janvier 1978 modifiée (ci-après la loi « Informatique et Libertés »).
Sur les destinataires des données :
L'article 1er-IV du projet de décret prévoit que seront destinataires des données à caractère personnel, à raison de leurs attributions et du besoin d'en connaître :
- les agents habilités de l'ACOSS ;
- les agents habilités des organismes mentionnés aux articles L. 213-1 et L. 752-2 du CSS en charge du calcul, du recouvrement et du contrôle de la cotisation. S'agissant de ces organismes, la commission prend acte de ce qu'ils ne seront destinataires que des données concernant les cotisants pour lesquels ils sont territorialement compétents.
Un tel accès aux données apparaît justifié au regard des finalités du traitement.
Sur l'information et les droits des personnes :
Le projet demeure silencieux sur les modalités d'information des personnes concernées.
La commission observe dans le dossier joint à la saisine que le ministère renvoie au décret visant à autoriser le traitement mis en œuvre par la DGFIP relatif au transfert de données fiscales concernant les redevables de la cotisation annuelle subsidiaire.
Elle rappelle toutefois que, si la DGFIP a pour obligation d'informer les personnes en ce qui concerne le traitement automatisé de transfert de données fiscales dont elle est responsable de traitement, l'ACOSS devra également assurer l'information des personnes concernées pour le traitement qu'elle met en œuvre.
Aux termes de l'article 1er-V° du projet, les droits d'accès et de rectification prévus aux articles 39 et 40 de la loi « Informatique et Libertés » s'exerceront auprès du directeur de l'organisme mentionné aux articles L. 213-1 et L. 752-2 du CSS auquel la personne est rattachée au vu de l'adresse de domicile qu'elle a déclarée à l'administration fiscale.
En outre, le projet prévoit que le droit d'opposition prévu à l'article 38 de la loi ne s'appliquera pas au traitement, ce qui n'appelle pas d'observations de la part de la commission.
Sur les durées de conservation :
L'article 1er-V° du projet prévoit que les données à caractère personnel seront conservées :
- pendant quatre ans à dater de leur réception par l'ACOSS ;
- pendant quatre ans à compter de leur réception, ou jusqu'à expiration des délais de recours en cas de contentieux portant sur la cotisation calculée par les organismes mentionnés aux articles L. 213-1 et L. 752-2 du CSS.
La commission prend acte de ce que ces durées correspondent au délai de prescription de la dette de cotisations sociales mentionné à l'article L. 244-3 du CSS.
Sur les mesures de sécurité :
La commission observe que les échanges de données entre la DGFIP et l'ACOSS seront réalisés par l'intermédiaire de canaux de communication chiffrés, et assurant l'authentification de la source et de la destination.
Des profils d'habilitation sont prévus afin de gérer les accès aux données en tant que de besoin. Les permissions d'accès sont supprimées pour tout utilisateur n'étant plus habilité.
Chaque utilisateur disposera d'un identifiant qui lui est propre. Le responsable de traitement a prévu une politique de mot de passe conforme à la délibération n° 2017-190 du 22 juin 2017.
Une journalisation des opérations de création, modification et suppression du traitement sera réalisée. La commission recommande de journaliser également les opérations de consultation et rappelle que la durée de conservation des journaux ne peut excéder six mois, sauf contrainte légale ou règlementaire. La commission recommande de réaliser un contrôle des traces de manière automatique, afin de détecter les comportements anormaux et lever des alertes.
Des mesures sont prévues pour assurer le cloisonnement du traitement et assurer la sécurité du réseau. Celui-ci fait l'objet de mesure de filtrage ayant pour but de restreindre l'émission et la réception des flux réseau aux machines identifiées et autorisées. Les accès distants seront sécurisés via un VPN chiffré.
Un logiciel antivirus est installé et régulièrement mis à jour sur tous les postes intervenant dans le traitement.
La commission observe qu'à ce jour, il n'est pas prévu un chiffrement des données. Compte tenu de leur nature, notamment le NIR et les données d'ordre économique et financier, elle recommande que les bases de données et leurs sauvegardes soient chiffrées.
L'accès aux locaux est restreint au moyen de portes verrouillées contrôlées par un moyen d'authentification personnel.
Sous réserve des précédentes observations, la commission considère que les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi « Informatique et Libertés ». La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.
Concernant le traitement de données à caractère personnel destiné au contrôle de la prise en charge des frais de santé dénommé « Contrôle de la condition de résidence par l'assurance maladie »
Sur les finalités :
Aux termes de l'article 2 du projet, le traitement, qui doit être mis en œuvre par les organismes gestionnaires des régimes obligatoires de base de l'assurance maladie, a pour finalités :
- de faciliter le contrôle par la caisse de rattachement de l'assuré, de la condition de résidence, tel que prévu à l'article L. 114-10-1 du CSS ;
- de produire des statistiques relatives aux procédures de contrôle de la condition de résidence mises en place dans le réseau des caisses de chaque organisme. Sur ce point, le ministère a précisé que les statistiques produites seront anonymes. La commission en prend acte.
La commission observe que le courrier de saisine précise que le traitement sera mis en œuvre par la Caisse nationale de l'assurance maladie des travailleurs salariés (CNAMTS), le régime social des indépendants (RSI) et la mutualité sociale agricole (MSA).
Or, le ministère a précisé, dans le dossier joint à la saisine, que le RSI n'aura pas à mettre en œuvre ce traitement dans la mesure où ce dernier a vocation à disparaître à compter du 1er janvier 2018. La commission en prend acte.
Sur la nature et le mode de collecte des données traitées :
Dans le cadre de ce dispositif, la DGFIP transmettra annuellement à la Caisse nationale d'assurance vieillesse des travailleurs salariés (CNAVTS) les données des personnes figurant sur le fichier des personnes ayant déclaré à l'administration fiscale avoir quitté le territoire (« fichier des non-résidents »). La CNAVTS complètera le fichier de l'identification de l'assuré, au moyen du NIR, ainsi que de l'organisme de sécurité sociale de rattachement de l'assuré avant de l'adresser aux organismes gestionnaires des régimes obligatoires de base de l'assurance maladie.
La commission relève que le NIR figurera parmi les catégories de données traitées afin de renforcer la fiabilité de l'identification des assurés. Dès lors, l'utilisation du NIR n'appelle pas d'observation de la part de la commission.
Il en va de même des autres catégories de données mentionnées par le projet soumis à la commission, qui apparaissent adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées, conformément à l'article 6 (3°) de la loi « Informatique et Libertés ».
Sur les destinataires des données :
La commission n'a pas d'observations sur ce point.
Sur l'information et les droits des personnes :
Le projet demeure silencieux sur les modalités d'information des personnes concernées.
La commission observe dans le dossier joint à la saisine que le ministère renvoie au décret visant à autoriser le traitement mis en œuvre par la DGFIP relatif au transfert de données.
Elle rappelle toutefois que si la DGFIP a pour obligation d'informer les personnes en ce qui concerne le traitement automatisé de transfert de données dont elle est responsable de traitement, les organismes gestionnaires des régimes obligatoires de base de l'assurance maladie devront également assurer l'information des personnes concernées pour le traitement qu'ils mettent en œuvre.
Aux termes de l'article 2-V° du projet, les droits d'accès et de rectification prévus aux articles 39 et 40 de la loi s'exerceront auprès du directeur de la caisse d'assurance maladie de rattachement de l'assuré.
En outre, le projet prévoit que le droit d'opposition prévu à l'article 38 de la loi ne s'applique pas au traitement, ce qui n'appelle pas d'observation de la part de la commission.
Sur les durées de conservation :
La commission n'a pas d'observations sur ce point.
Sur les mesures de sécurité :
Le traitement est caractérisé par de nombreux échanges entre les organismes prenant part au traitement.
La commission recommande que les échanges de données entre la DGFIP et la CNAVTS, ainsi que ceux entre la CNAVTS et la CNAMTS et la CNAVTS et la MSA, soient réalisés via des canaux de communication chiffrés et assurant l'authentification de la source et de la destination.
Des profils d'habilitation sont prévus au sein de la DGFIP, de la CNAVTS, de la CNAMTS et de la MSA, afin de gérer les accès aux données en tant que de besoin. Les permissions d'accès sont supprimées pour tout utilisateur n'étant plus habilité.
Au sein de chaque organisme, chaque utilisateur dispose d'un identifiant qui lui est propre. Des politiques de mot de passe conformes à la délibération n° 2017-190 du 22 juin 2017 sont mises en œuvre.
Une journalisation des opérations de création, modification et suppression du traitement est réalisée. La commission recommande de journaliser également les opérations de consultation et rappelle que la durée de conservation des journaux ne peut excéder six mois, sauf contrainte légale ou règlementaire.
Elle recommande également de réaliser un contrôle des traces de manière automatique, afin de détecter les comportements anormaux et lever des alertes.
Des mesures sont prévues pour assurer le cloisonnement du traitement et assurer la sécurité des réseaux. Ainsi, les réseaux font l'objet de mesure de filtrage ayant pour but de restreindre l'émission et la réception des flux réseau aux machines identifiées et autorisées.
Des logiciels antivirus sont installés et régulièrement mis à jour sur tous les postes intervenant dans le traitement.
La commission observe, qu'à ce jour, il n'est pas prévu un chiffrement des données. Compte tenu de leur nature, notamment le NIR, elle recommande que les bases de données et leurs sauvegardes soient chiffrées.
L'accès aux locaux est restreint au moyen de portes verrouillées contrôlées par un moyen d'authentification personnel.
Sous réserve des précédentes observations, la commission considère que les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée. La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.