|
Date de l'avis : 16 novembre 2023 |
N° de la délibération : 2023-120 |
|
N° de demande d'avis : 23011786 Organisme(s) à l'origine de la saisine : ministère des affaires sociales et de la santé |
Texte concerné : projet de décret modifiant le décret n° 2019-969 du 18 septembre 2019 relatif à des traitements de données à caractère personnel portant sur les ressources des assurés sociaux |
|
Thématiques : dites-le-nous une fois, DLNUF, RSA, prime d'activité, lutte contre la fraude sociale, CNAF, CNAV, CCMSA |
Fondement de la saisine : article 8.I.4°a) de la loi n° 78-17 du 6 janvier 1978 modifiée |
|
L'essentiel : Le dispositif ressources mensuelles (DRM) vise principalement à mettre en œuvre le principe « dites-le nous une fois » dans le domaine de la protection sociale, tout en simplifiant les démarches des administrés. La saisine de la CNIL vise à prévoir de nouveaux cas d'usage du DRM à des fins d'appréciation des conditions d'ouverture et de maintien des droits des usagers à des aides et prestations sociales ainsi que son utilisation à des fins de détection et de lutte contre la fraude. La CNIL considère que la pérennisation du nouvel usage du DRM par la CNAV en vue d'effectuer des profilages automatisés et d'orienter les actions des contrôles à des fins de lutte contre la fraude sociale devrait être précédée d'une phase d'expérimentation, dans des conditions similaires à celles des traitements qui seront mis en place par la CNAF et par la CCMSA. Par ailleurs, elle estime qu'une attention particulière doit être accordée à la transparence autour de tels dispositifs, notamment en ce qui concerne la logique sous-jacente de leur fonctionnement et l'information individuelle des personnes concernées par les décisions prises. Elle recommande que, lors de prochaines modifications du DRM, une nouvelle mesure de transparence et de sécurité soit rajoutée au dispositif, permettant aux personnes concernées d'être informées de la consultation des données les concernant, via le portail national des droits sociaux (PNDS). |
|
La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son articles 8.I.4°a ;
Vu la délibération n° 2020-120 du 3 décembre 2020 portant avis sur un projet de décret modifiant le décret n° 2019-969 du 18 septembre 2019 relatif à des traitements de données à caractère personnel portant sur les ressources des assurés sociaux ;
Après avoir entendu le rapport de M. Philippe LATOMBE, commissaire, et les observations de M. Damien MILIC, commissaire du Gouvernement,
Adopte la délibération suivante :
I. - La saisine
A. - Le contexte
Le dispositif « DRM » (« dispositif ressources mensuelles ») a été créé par le décret n° 2019-969 du 18 septembre 2019 et modifié à plusieurs reprises. La CNIL a déjà eu l'occasion de se prononcer sur ses évolutions.
Administré par la Caisse nationale d'assurance vieillesse (CNAV), le DRM est constitué de trois traitements de données : une base de données alimentée mensuellement par les données issues de la « déclaration sociale nominative » (DSN), une base de données alimentée mensuellement par des données issues du flux du « prélèvement à la source mis en œuvre par les collecteurs n'entrant pas dans le champ de la déclaration sociale nominative ou versant des revenus de remplacement » (PASRAU) et un service de restitution. Ce dispositif centralise la quasi-totalité des données relatives aux revenus de la population connus de l'administration fiscale.
Sa finalité principale est de mettre en œuvre le principe « dites-le nous une fois » dans le domaine de la protection sociale, en simplifiant les démarches des administrés qui n'ont plus à fournir, dans le cadre d'une démarche liée à une prestation ou une aide sociale, des informations déjà détenues par l'administration. À cette fin, le DRM met à la disposition des différents organismes gestionnaires un outil permettant d'apprécier les ressources des demandeurs et des bénéficiaires des prestations et aides sociales conditionnées par le niveau de revenus directement, sans nécessiter la production de pièces justificatives.
La réalisation pratique de cet objectif s'effectue de manière progressive. Ainsi, dans un premier temps, son utilisation a été réservée aux caisses d'allocations familiales (CAF) et aux caisses de mutualité sociale agricole (CMSA), à des fins de gestion des aides au logement.
Par la suite, son utilisation a été étendue à des prestations telles que l'allocation journalière de proche aidant, l'allocation journalière de présence parentale, la complémentaire santé solidaire, les pensions de réversion, les allocations chômage, les pensions d'invalidité, le cumul emploi-retraite et la garantie jeunes.
B. - L'objet de la saisine
Le projet de décret prévoit principalement :
- un élargissement de la liste des aides et allocations gérées par le DRM ;
- l'utilisation du DRM à des fins de contrôle et de lutte contre la fraude.
II. - L'avis de la CNIL
A. - L'ajout de nouvelles finalités
Le projet prévoit que le DRM pourra dorénavant être utilisé à des fins de gestion d'aides et allocations nouvelles, à savoir :
- le revenu de solidarité active (RSA) ;
- la prime d'activité (PA) ;
- la pension d'invalidité (PI) de la sécurité sociale ;
- l'allocation supplémentaire d'invalidité (ASI) ;
- les pensions de réversion, la pension du régime général, les possibilités de cumul emploi-retraite et la gestion des droits associés ;
- l'allocation de solidarité aux personnes âgées (ASPA), dans certains cas ;
- l'appréciation de la situation des parents débiteurs de pension alimentaire ;
- la réalisation d'évaluations, d'études, de statistiques et de recherches nécessaires au pilotage et à l'accomplissement des missions définies à l'article L. 222-1 du code de la sécurité sociale ;
- l'allocation du contrat d'engagement jeune (ACEJ).
S'agissant spécifiquement du RSA et de la prime d'activité, la CNIL a déjà eu à se prononcer sur l'utilisation des données figurant dans le DRM à des fins d'appréciation des conditions d'attribution et de maintien de ces aides (CNIL, délibération n° 2020-120 du 3 décembre 2020).
A cet égard, la CNIL estime que l'utilisation du DRM à des fins d'appréciation des conditions d'attribution et du maintien de différentes allocations et prestations sociales constitue une finalité légitime. Il en va de même pour les finalités en lien avec la gestion des prestations de retraite et des pensions alimentaires.
B. - La finalité spécifique de lutte contre la fraude
Le traitement mis en œuvre à des fins de contrôle et de lutte contre la fraude consiste à utiliser l'ensemble des données disponibles pour calculer, au moyen d'un algorithme fondé notamment sur l'historique des fraudes, un taux de risque de fraude ou d'erreur pour chaque dossier.
La lutte contre la fraude ou la détection des erreurs involontaires constitue une finalité légitime pour le responsable de traitement, a fortiori lorsqu'il s'agit de contrôler la juste distribution des allocations et prestations sociales qui constitue une politique publique importante, et qui implique des sommes d'argent considérables.
Cependant, la CNIL alerte le gouvernement sur la très grande prudence avec laquelle ces algorithmes doivent être conçus et utilisés, eu égard aux risques qu'ils présentent et aux biais dont ils peuvent faire l'objet. Les exemples internationaux récents (notamment l'exemple de l'algorithme déployé aux Pays-Bas pour détecter des situations de fraude à certaines prestations sociales, ayant abouti à des milliers de décisions individuelles biaisées aux conséquences dramatiques et ayant conduit le gouvernement néerlandais à démissionner en janvier 2021) ont montré que la trop grande confiance accordée par une administration dans un algorithme de détection de la fraude, sans précautions et contrôles humains suffisants, pouvait conduire à des décisions injustes et avoir des conséquences graves pour les personnes. Ces risques, notamment de discrimination, sont régulièrement rappelés par le Défenseur des droits (v. notamment le rapport « Algorithmes : prévenir l'automatisation des discriminations » du 2020).
La CNIL estime donc, en l'état de ces technologies, que de tels algorithmes doivent être conçus avec soin, accompagnés de garanties fortes, ne pas conduire à des décisions automatiques et être assortis d'un système de recours efficace en cas d'erreur.
S'agissant de la conception, la CNIL recommande notamment que de tels algorithmes fassent l'objet d'une phase d'expérimentation.
S'agissant des garanties à apporter et du caractère non automatique des décisions, dans le respect du RGPD et de la loi du 6 janvier 1978, le ministère a prévu qu'après que l'algorithme aura identifié des dossiers à risque, seule une liste pseudonymisée de dossiers dépassant un certain seuil, avec leurs caractéristiques sera transmise aux services locaux. Cette liste n'engendrera donc pas automatiquement des contrôles sur les dossiers visés ni à plus forte raison l'arrêt ou la suspension des prestations, mais permettra uniquement d'orienter le programme des contrôles à mener, après examen des dossiers.
La CNIL estime également qu'une attention particulière doit être accordée à la transparence autour de tels dispositifs, notamment en ce qui concerne la logique sous-jacente de leur fonctionnement et l'information individuelle des personnes concernées par les décisions prises.
Enfin, elle souligne le caractère essentiel de la mise en œuvre de voies de recours efficaces et faciles d'accès permettant aux usagers de contester les décisions prises à leur égard.
L'ensemble de cette réflexion doit être menée dès le stade de conception de ces outils, et implique la réalisation d'analyses d'impact relatives à la protection des données (AIPD) au sens de l'article 35 du RGPD dont l'objectif essentiel est d'identifier et de limiter les risques que la mise en place de tels traitements peut créer pour les droits et libertés des personnes concernées.
- Outil de lutte contre la fraude de la CNAF et de la CCMSA :
Le projet de décret prévoit que le DRM pourra dorénavant être utilisé par la Caisse nationale des allocations familiales (CNAF) et par la Caisse centrale de la mutualité sociale agricole (CCMSA) « pour améliorer la méthode de profilage des allocataires visant à identifier les situations justifiant la mise en œuvre prioritaire d'un contrôle ».
Le ministère a indiqué qu'il s'agit d'une adaptation d'un algorithme de profilage existant autorisé par la CNIL (CNIL, délibération n° 2010-086 du 25 mars 2010), et qui fonctionne actuellement sur des ensembles de données moins complets que ceux présents dans le DRM.
Selon les éléments fournis par le ministère, l'application de ce traitement aux données contenues dans le DRM sera effectuée par un nombre très limité (moins d'une dizaine) de personnes astreintes au secret professionnel. Le traitement aura pour résultat de calculer des taux de risque de fraude ou d'erreur par dossier, et de créer une liste des dossiers dépassant un certain seuil de probabilité et de gravité. Ces listes seront pseudonymisées et transmises aux différentes CAF et CMSA compétentes afin qu'elles puissent orienter le programme des contrôles à mener.
Cette nouvelle utilisation du DRM fera l'objet d'une expérimentation limitée dans le temps, jusqu'à la fin de l'année 2024. En effet, il s'agit d'une phase de test qui vise à évaluer le gain de productivité du dispositif. Ainsi, dans l'hypothèse où ce gain serait avéré et documenté dans un rapport circonstancié et chiffré, une pérennisation du dispositif pourra être envisagée, moyennant une nouvelle modification du décret DRM après avis de la CNIL.
Ces dispositions n'appellent pas d'autres observations de la part de la CNIL.
- Outil de lutte contre la fraude de la CNAV :
Le projet de décret prévoit par ailleurs que les données figurant dans le DRM pourront être utilisées par la CNAV « pour des missions de contrôle et de lutte contre la fraude, prévues à l'article L. 114-9 du code de la sécurité sociale ».
Contrairement aux nouveaux usages du DRM par la CNAF et la CCMSA, le projet ne prévoit aucune phase d'expérimentation par la CNAV dans le déploiement de du traitement de profilage. Le ministère a indiqué que cette différence s'explique par la spécificité des typologies des fraudes et des situations à risque, qui présentent des différences importantes entre les deux secteurs (prestations sociales et prestations de retraite).
La CNIL observe que contrairement à l'outil de détection des situations à risque utilisé par la CNAF et par la CCMSA, le dispositif correspondant mis en place par la CNAV n'a pas fait l'objet de formalités préalables auprès d'elle, même anciennes.
Elle estime que la réalisation d'une phase d'expérimentation, limitée dans le temps, constituerait une garantie importante pour la mise en place du dispositif : elle permettrait ainsi de quantifier et documenter les gains de productivité et les limites éventuels de cette nouvelle méthode, ainsi que les potentiels risques qu'elle pourrait engendrer.
Dans ces conditions, la CNIL estime que l'utilisation du DRM par la CNAV à des fins de lutte contre la fraude devrait faire l'objet des mêmes garanties que l'utilisation du DRM par la CNAF et la CCMSA à des fins d'amélioration de la méthode de profilage des allocataires « visant à identifier les situations justifiant la mise en œuvre prioritaire d'un contrôle ».
Sur ce point, la CNIL prend acte de l'engagement du ministère de modifier le projet de décret afin de supprimer les alinéas e de l'article 1er et 5° des articles 2 et 3 du projet de décret. Il s'engage dès lors à prévoir expressément une phase de test pour la CNAV comprenant une évaluation documentée.
C. - Sur le droit d'opposition
Le projet de décret prévoit que le droit d'opposition ne s'applique pas au traitement DRM, sauf dans deux situations :
- pour le traitement des données des personnes ne bénéficiant ni ne souhaitant bénéficier des droits et prestations pour le calcul desquels le DRM peut être utilisé ;
- pour la finalité d'information des assurés sociaux, au travers du portail numérique des droits sociaux (PNDS), sur les montants de leurs rémunérations déclarés par leurs employeurs et, le cas échéant, utilisés par les organismes de protection sociale pour le calcul de leurs droits.
S'agissant du droit d'opposition, ces dispositions n'appellent pas d'observations de la part de la CNIL.
D. - Sur l'information des personnes
Le décret prévoit que les personnes concernées par le traitement « sont informées de l'existence de ce traitement, de ses caractéristiques et des droits qu'elles peuvent exercer en application des dispositions prévues par les articles 13 et 14 du règlement général sur la protection des données susvisé ».
S'agissant de la finalité spécifique de la lutte contre la fraude, la CNIL admet que l'information de la personne dont les données sont traitées peut, dans certains cas, nuire à la finalité du traitement qui est de détecter et redresser des cas de fraude. Elle estime cependant nécessaire de conjuguer information des personnes et efficacité de la lutte contre la fraude. A cette fin, elle recommande que l'information soit faite a minima en deux temps distincts, à savoir :
- dans un premier temps, une information générale de l'ensemble des personnes concernées sur la possibilité d'utilisation éventuelle de leurs données à des fins de lutte contre la fraude ;
- dans un second temps, une information plus spécifique des personnes effectivement contrôlées, dès lors que cette information n'est plus susceptible de nuire à l'efficacité du contrôle, c'est-à-dire au plus tard lorsqu'il est procédé, en application des droits de la défense, à un échange contradictoire avec la personne soupçonnée de fraude.
E. - Sur la sécurité des données
Le projet de décret n'a pas pour objet de préciser les mesures de sécurité qui doivent être mises en place en vue d'assurer l'intégrité, la confidentialité et la disponibilité des données traitées dans le cadre du DRM.
Pour autant et étant donné le volume exceptionnellement important des données traitées, lesquelles concernent la quasi-totalité de la population percevant des revenus d'activité ou des allocations et prestations sociales, associée au caractère relativement sensible de certaines de ces données, la CNIL est très attentive aux conditions de sécurité mises en place dans le cadre de ce dispositif.
En particulier, la CNIL estime qu'une vigilance particulière doit être accordée au risque de détournement des finalités du dispositif, susceptible d'être matérialisé si des utilisateurs habilités accèdent aux données pour des fins autres que celles qu'autorisent leurs fonctions.
A cet égard, elle rappelle que, lors de l'examen du projet initial du décret n° 2019-969 du 18 septembre 2019, elle a reçu des assurances verbales du ministère quant à la mise en place de garanties spécifiques ayant un double objectif d'information des personnes concernées sur l'existence du traitement de leurs données, d'une part, ainsi que celui de meilleure détection des consultations effectuées en détournement des finalités du DRM, d'autre part.
En particulier, les services du ministère ont notamment indiqué que le PNDS sera utilisé de manière à permettre à toute personne dont les données sont traitées dans le cadre du DRM de connaître, grâce à un espace dédié dans son espace personnel sur ce portail, si ses données ont ou non fait l'objet d'une consultation. Si tel était le cas, l'usager pourrait également savoir à quel moment et de quelle manière (via un fichier d'appel ou par une consultation de son profil seul) s'est produite cette consultation.
La CNIL estime qu'une telle garantie, complémentaire du droit d'accès aux données prévu par le RGPD, serait de nature à faciliter la détection des anomalies éventuelles des consultations en raison de son caractère immédiat, et qui ne nécessite pas de réaliser de démarches particulières.
Il résulte des échanges qui ont eu lieu entre la CNIL et le ministère dans le cadre de la présente saisine qu'à l'heure actuelle, cette mesure de transparence et de sécurité n'a pas été mise en place.
Sans constituer un point bloquant au regard des nombreuses autres garanties organisationnelles et techniques dont a été entouré le traitement DRM, ce point constitue un axe de vigilance important pour la CNIL.
A cet égard, la CNIL prend acte de l'engagement du ministère d'inclure dans la feuille de route des modifications du DRM à venir la réalisation d'un tel dispositif de traçabilité mis à disposition des personnes concernées. Ce dispositif pourrait mettre à disposition les éléments suivants : l'existence d'une consultation des données, le destinataire y ayant procédé, les données consultées ainsi que la finalité de cette consultation.
Enfin, la CNIL étudiera l'opportunité de procéder à un contrôle de fonctionnement du DRM en vue d'évaluer le niveau des risques ainsi que la suffisance des mesures de sécurité mises en place pour limiter ces derniers.