Est autorisée la création d'un traitement de données à caractère personnel dénommé " portail numérique des droits sociaux " (PNDS) et mis en œuvre par la Caisse centrale de la mutualité sociale agricole, responsable du traitement.
Ce traitement a pour finalité de donner aux personnes un accès centralisé à leurs droits sociaux et, à cette fin, de permettre à chacune :
1° De consulter ses droits aux prestations sociales ;
2° De simuler les prestations sociales auxquelles elle est susceptible d'avoir droit ;
3° De recevoir des organismes qui la gèrent des informations sur ses droits aux prestations sociales ;
4° D'engager des démarches auprès des organismes assurant la gestion de ses prestations sociales.

Les données utilisées par le traitement mentionné à l'article 1er sont les suivantes :
1° Les données issues du répertoire national commun de la protection sociale mentionné à l'article L. 114-12-1 du code de la sécurité sociale ainsi que les données issues du Répertoire national interrégimes des bénéficiaires de l'assurance maladie créé par l'article L. 161-32 du même code :
a) L'identification de l'assuré social qui se connecte et des autres membres de son foyer :
i) Le numéro d'inscription au Répertoire national d'identification des personnes physiques-NIR-et celui ou ceux qui lui auraient été précédemment attribués ou, pour les personnes en instance d'attribution d'un numéro d'inscription au Répertoire national d'identification des personnes physiques, un numéro identifiant d'attente-NIA-;
ii) Les noms de famille, et, le cas échéant, le nom d'usage, et les prénoms ;
iii) Le sexe ;
iv) La date et le lieu de naissance ;
v) Les coordonnées postales, téléphoniques et électroniques ;
b) Les données et informations centralisées de rattachement de la personne qui se connecte et des autres membres de son foyer :
i) Les données de rattachement aux régimes de base et aux régimes complémentaires le cas échéant ;
ii) Les coordonnées postales, téléphoniques et électroniques des régimes de base et complémentaires ;
iii) L'état du dossier de demande de prestations ;
iv) Les données relatives aux périodes d'ouverture de droits ;
2° Les données issues de la déclaration sociale nominative prévu par l'article L. 133-5-3 du code de la sécurité sociale, des systèmes d'information des organismes de protection sociale, de l'opérateur France Travail et de la direction générale des finances publiques :
a) Les données relatives à l'existence de comptes en ligne activés auprès des organismes de protection sociale et de l'opérateur France Travail ;
b) Les informations relatives au dernier montant de prestation versé à l'assuré ou à un tiers pour chaque prestation dont l'assuré bénéficie ;
c) Les informations relatives aux ressources ;
d) Les données relatives aux prestations servies par les organismes de protection sociale et par l'opérateur France Travail :
i) Les situations d'exonération de participation financière de l'assuré aux dépenses de santé ;
ii) Le médecin traitant et ses coordonnées ;
iii) La situation maritale ;
iv) La situation au regard du handicap ;
v) Le quotient familial ;
vi) Le type de logement, le statut d'occupation et le lien de parenté de l'assuré ou de l'occupant avec le propriétaire ;
vii) Le montant du loyer déclaré ;
viii) Le numéro d'allocataire CAF ;
ix) La durée d'assurance tous régimes confondus ;
x) L'identifiant l'opérateur France Travail ;
xi) La nature des allocations dont bénéficie l'assuré ;
3° Des données issues du traitement automatisé de données à caractère personnel dénommé Système d'information du compte personnel d'activité (SI-CPA), prévu par l'article R. 5151-2 du code du travail, relatives aux droits inscrits sur les différents comptes constituant le compte personnel d'activité ;
4° Les données relatives à la traçabilité des accès :
a) L'adresse IP de l'usager ;
b) Les données de connexion de l'usager au dispositif d'identification et d'authentification mentionné à l'article 3, parmi lesquelles son identifiant spécifique au titre de ce dispositif ;
c) Les dates et heures de connexion de l'usager au portail numérique des droits sociaux ;

5° Les données relatives à l'usager, renseignées par ce dernier à partir d'un formulaire d'avis :
a) Tranche d'âge ;
b) Sexe de l'usager.

Pour la finalité prévue au 2° de l'article 1er, les données énumérées aux 1°, 2° et 3° peuvent, à défaut, être renseignées par l'assuré.

Chaque usager s'identifie et s'authentifie au moyen du téléservice d'identification et d'authentification mis en œuvre par la direction interministérielle des systèmes d'information et de communication de l'Etat - DINSIC -, dénommé " FranceConnect ".

Chaque usager du portail numérique des droits sociaux a accès exclusivement à l'ensemble des données mentionnées à l'article 2 qui le concernent, après identification et authentification au moyen du téléservice mentionné à l'article 3.
Ont accès aux données mentionnées à l'article 2, dans la limite de leur besoin d'en connaître, les agents de la caisse centrale et des organismes de la mutualité sociale agricole chargés de l'assistance aux usagers du " portail numérique des droits sociaux ". Ces agents sont individuellement désignés et dûment habilités par le directeur de leur organisme.
Ont accès au numéro d'inscription au répertoire national d'identification des personnes physiques et à l'identifiant France Connect de l'assuré, dans la limite de leur besoin d'en connaître, les autres agents de la caisse centrale et des organismes de la mutualité sociale agricole dont les missions le justifient au regard de la mission conférée à cette caisse centrale et à ces organismes par le premier alinéa de l'article 1er du présent décret. Ces agents sont individuellement désignés et dûment habilités par le directeur de leur organisme.

Les données prévues à l'article 2 sont accessibles mais ne sont pas conservées par le traitement, à l'exception :

1° Du numéro d'inscription au répertoire national d'identification des personnes physiques et de l'identifiant FranceConnect de l'assuré, qui sont conservés dans un environnement logique séparé le temps de l'utilisation du service et sont détruits douze mois après la dernière connexion ;

2° Des autres données relatives à la traçabilité des accès, prévues au 4° de l'article 2, qui sont enregistrées lors de l'utilisation du portail et peuvent faire l'objet d'une exploitation par la Caisse centrale de la mutualité sociale agricole à des fins de suivi statistique, pour les besoins du pilotage, et de gestion technique des incidents. La durée de conservation de ces données ne peut excéder un mois après l'achèvement de ces opérations de suivi ou de gestion technique ;

3° Des données relatives à la situation de l'usager qui sont conservées le temps strictement nécessaire afin d'afficher au moment de la connexion les rappels utiles concernant ses droits. Ces rappels peuvent prendre la forme de messages de prévention ou porter sur la détection de droits potentiels ou sur les démarches à engager en fonction d'événements de vie ou à l'échéance de droits à certaines prestations ;

4° Des avis des usagers sur le service, conservés sous forme anonyme à des fins statistiques en vue de l'amélioration du service. La durée de conservation de ces données ne peut excéder six mois après l'achèvement des opérations d'exploitation.

Conformément aux dispositions de l'article 32 de la loi du 6 janvier 1978 susvisée, les personnes auxquelles les données mentionnées à l'article 2 se rapportent sont informées de la finalité poursuivie par le traitement, de l'identité de son responsable, des catégories de destinataires des données et de leur durée de conservation, au moyen d'une information figurant sur le portail numérique des droits sociaux.
Les personnes auxquelles les données mentionnées à l'article 2 se rapportent sont informées des modalités d'exercice de leurs droits d'accès et de rectification des données les concernant, prévus par les articles 39 et 40 de la loi du 6 janvier 1978 susvisée, au moyen d'une information figurant sur le portail numérique des droits sociaux.
Les utilisateurs du portail numérique des droits sociaux peuvent exercer leurs droits d'accès et de rectification des données, prévus aux articles 39 et 40 de la loi du 6 janvier 1978 susvisée, auprès de chacun des organismes auxquels ils sont rattachés.
Le droit d'opposition prévu par l'article 38 de la loi du 6 janvier 1978 susvisée ne s'applique pas au traitement dont la création est autorisée par l'article 1er du présent décret.

Conformément aux dispositions de l'article 34 de la loi du 6 janvier 1978 susvisée, le responsable du traitement autorisé par l'article 1er prend les mesures nécessaires pour préserver la sécurité des données utilisées par le traitement.

La ministre des affaires sociales et de la santé est chargée de l'exécution du présent décret, qui sera publié au Journal officiel de la République française.