Sur la proposition de M. Philippe GOSSELIN, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,
Emet l'avis suivant :
La loi du 28 décembre 2015 relative à l'adaptation de la société au vieillissement a créé dans le livre des procédures fiscales (LPF) un article L. 153 A qui dispose que « les administrations fiscales transmettent chaque année aux départements, dans des conditions prévues par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés, les informations nécessaires à l'appréciation des ressources des bénéficiaires de l'allocation personnalisée d'autonomie (APA) ».
Le présent projet de décret, sur lequel l'avis de la Commission est sollicité, est pris en application de cet article et entend encadrer d'une part, le contenu de la demande de transmission d'informations adressée aux administrations fiscales, et d'autre part, les informations que ces dernières communiquent en réponse.
Sur les données collectées :
Sur ce point, la commission relève que le numéro d'inscription au Répertoire national d'identification des personnes physiques (NIR) ne figure pas parmi les informations échangées.
Elle prend acte du fait que le projet de décret sera modifié pour également supprimer les coordonnées bancaires de la demande d'informations émise par les conseils départementaux, dans la mesure où ces derniers ne sont pas autorisés à les collecter, conformément aux dispositions de l'article R. 232-41 du code de l'action sociale et des familles (CASF).
Sous ces réserves, la Commission considère que les données sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées.
Sur la durée de conservation des données :
Le projet de décret énonce également que les données transmises aux conseils départementaux sont conservées jusqu'à deux ans après le décès du bénéficiaire. La commission prend acte du fait que le projet de décret sera modifié pour retenir la même durée de conservation que celle prévue à l'article R. 232-46 du CASF pour la gestion de l'APA par les conseils départementaux, à savoir six ans après la fin de la prestation.
Sous ces réserves, la commission considère que les données sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui apparaît proportionnée aux finalités du traitement.
Sur les mesures de sécurité et de confidentialité :
La Commission rappelle que le responsable du traitement, en application de l'article 32 du Règlement général sur la protection des données, doit prendre toutes les précautions utiles pour préserver la sécurité des données collectées et traitées, au regard de la nature des données, des risques présentés par le traitement. Il doit notamment empêcher que des tiers non autorisés y aient accès par l'intermédiaire de mesures de sécurité physiques, logiques et organisationnelles, et s'assurer que des mesures techniques adéquates garantissent la confidentialité et la sécurité des données échangées.
La Commission note que les demandes d'informations adressées aux administrations fiscales émanent d'un agent spécifiquement désigné par le conseil départemental. Cette désignation implique notamment l'habilitation de la personne au portail internet de la gestion publique. Ce portail est mis en œuvre pour faciliter et sécuriser les échanges d'informations entre les collectivités et établissements publics, et les administrations fiscales.
La Commission rappelle enfin que l'exigence de sécurité prévue par l'article 32 précité modifiée nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.
Le projet de décret n'appelle pas d'autre observation.