JORF n°0032 du 7 février 2009

Délibération n° 2008-579 du 18 décembre 2008

La Commission nationale de l'informatique et des libertés,

Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé de données à caractère personnel ;

Vu la directive 95 / 46 / CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;

Vu le code des assurances, notamment ses articles L. 132-9-2 et L. 132-9-3 ;

Vu le code de la mutualité, notamment son article L. 223-10-2 ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, notamment ses articles 25-I (6°) et 25-II ;

Vu la loi n° 2007-1775 du 17 décembre 2007 permettant la recherche des bénéficiaires des contrats d'assurance sur la vie non réclamés et garantissant les droits des assurés, notamment ses articles 3 et 6 ;

Vu le décret n° 82-103 du 22 janvier 1982 modifié relatif au répertoire national d'identification des personnes physiques ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié par le décret n° 2007-451 du 25 mars 2007 ;

Vu la demande d'avis présentée par l'Institut national de la statistique et des études économiques (INSEE) au titre de l'article 27-II (1°) de la loi n° 78-17 du 6 janvier 1978 susvisée concernant la cession de fichiers de données issues du répertoire national d'identification des personnes physiques et relatives aux décès des personnes qui y sont inscrites ;

Vu la demande d'autorisation déposée par l'AGIRA pour la mise en œuvre de traitements informatisés de données à caractère personnel permettant aux entreprises d'assurance, aux institutions de prévoyance et à leurs unions, et aux mutuelles et à leurs unions de consulter les données détenues par l'INSEE et relatives aux personnes décédées ;

Après avoir entendu M. Emmanuel de Givry, commissaire, en son rapport et Mme Pascale Compagnie, commissaire du Gouvernement, en ses observations,

Formule les observations suivantes :

Afin de faciliter le déclenchement de la recherche des bénéficiaires des contrats d'assurance sur la vie en cas de décès des personnes qui les ont souscrits, la loi n° 2007-1775 du 17 décembre 2007 autorise les entreprises d'assurance, les mutuelles et leurs unions et les institutions de prévoyance, et leurs unions à avoir communication des informations du répertoire national d'identification des personnes physiques (RNIPP) de l'INSEE qui concernent le décès des personnes physiques.

A cette fin, la loi du 17 décembre 2007 indique que chacune de ces personnes morales est habilitée à interroger son organisme professionnel : pour les entreprises d'assurance, la Fédération française des sociétés d'assurances (FFSA) ou le Groupement des entreprises mutuelles d'assurances (GEMA), pour les institutions de prévoyance, le Centre technique des institutions de prévoyance (CTIP) et, pour les mutuelles, la Fédération nationale de la mutualité française (FNMF).

Ces organismes professionnels ont mandaté l'Association pour la gestion des informations sur le risque en assurance (AGIRA) pour mettre en place une architecture technique permettant la consultation de ces données et, par voie de conséquence, la création, à partir des données transmises par l'INSEE, d'un fichier des personnes décédées. La loi précitée exclut le NIR de la liste des données communiquées par l'INSEE.

Dès lors, l'ensemble de ces traitements automatisés relève du 6° du I de l'article 25 de la loi du 6 janvier 1978 et doivent, à ce titre, être autorisés par la CNIL.

En vertu du II de l'article 25 de la loi du 6 janvier 1978, la commission peut autoriser par une décision unique une catégorie de traitements qui répondent aux mêmes finalités, portent sur des catégories de données identiques et ont les mêmes catégories de destinataires. Il en résulte que le responsable d'un traitement conforme à cette décision unique d'autorisation pourra déclarer son traitement en adressant à la commission un engagement de conformité par lequel il s'engage à respecter les termes de la décision de la CNIL.

Décide que les responsables de traitement qui souhaiteront se référer à la présente décision et adresseront, à cette fin, à la commission une déclaration d'engagement de conformité pour leurs traitements qui répondent à l'ensemble des conditions fixées dans la présente décision unique seront autorisés à mettre en œuvre ces traitements.

Rappelle que tout projet de traitement automatisé dont les finalités ou les catégories de données ou de destinataires excéderaient le cadre défini par la présente autorisation unique ou qui ne respecterait pas les exigences qui y sont définies devra faire l'objet d'une demande d'autorisation spécifique présentant et expliquant les différences entre le traitement envisagé et l'autorisation unique.

Autorise dans les conditions qui suivent l'AGIRA à mettre en œuvre des traitements automatisés de données à caractère personnel ayant pour finalité de permettre aux entreprises d'assurance, institutions de prévoyance et mutuelles de consulter les données transmises par l'INSEE et relatives aux personnes décédées.

Article 1er
Responsables des traitements

Les responsables de traitement sont :

  1. L'AGIRA en qualité de mandataire des organismes professionnels visés aux articles 3 et 6 de la loi n° 2007-1775 du 17 décembre 2007.
  2. Les entreprises d'assurance, les institutions de prévoyance et leurs unions et les mutuelles et leurs unions qui proposent des contrats d'assurance-vie qui, seules, peuvent se référer à la présente autorisation unique.

Article 2
Finalités et caractéristiques des traitements

  1. Le traitement mis en œuvre par l'AGIRA a pour objet :
    ― la tenue d'une base de données relatives aux personnes dont le décès est connu de l'INSEE, qui fera l'objet d'une mise à jour chaque mois ;
    ― la mise en place d'une plate-forme sécurisée permettant l'interrogation de cette base par les seules entreprises d'assurance, institutions de prévoyance et leurs unions, et mutuelles et leurs unions qui interviennent dans le secteur de l'assurance sur la vie.
  2. Les traitements mis en œuvre par les entreprises d'assurance, les institutions de prévoyance et leurs unions, et les mutuelles et leurs unions ont pour finalité exclusive la recherche tant des assurés que des bénéficiaires des contrats d'assurance sur la vie qui seraient décédés. Sont également visés par la présente autorisation les traitements visant à assurer la journalisation des requêtes et à réaliser des analyses statistiques sur l'interrogation de la base de données.
    Les entreprises d'assurances, institutions de prévoyance et leurs unions, et les mutuelles et leurs unions pourront consulter la base de données selon deux modalités :
    ― par voie d'interrogation ponctuelle sur un assuré ou un bénéficiaire ;
    ― par voie d'interrogations groupées, par l'envoi de fichiers portant sur tout ou partie de leurs assurés ou bénéficiaires ; ces interrogations groupées pourront porter sur la totalité de la base ou sur les seuls signalements de décès reçus durant la dernière année.
    Toute interrogation doit indiquer au minimum les nom, prénom, date de naissance et sexe de la personne recherchée.
    Les organismes susvisés à l'article 1er s'engagent à ne pas utiliser les données figurant sur la base AGIRA à d'autres fins que celles prévues par la loi du 17 décembre 2007.

Article 3
Données traitées

Les catégories de données enregistrées dans la base tenue par l'AGIRA, susceptibles d'être communiquées aux organismes précités, concernent les personnes dont le décès est connu de l'INSEE :
― nom patronymique, prénoms ;
― sexe ;
― date et lieu de naissance ;
― date et lieu du décès ;
― numéro d'acte de décès.

Article 4
Durée de conservation

Le fichier AGIRA est mis à jour chaque mois sur la base des éléments transmis par l'INSEE.
Les données communiquées aux entreprises d'assurance, institutions de prévoyance et leurs unions, et les mutuelles et leurs unions et relatives aux assurés et aux bénéficiaires d'un contrat d'assurance sur la vie sont conservées dans les traitements de gestion conformément à la durée nécessaire à l'exécution du contrat.
Ces données sont ensuite archivées pour une durée qui correspond à la prescription légale de trente ans à compter du décès de l'assuré.
Les données personnelles enregistrées sont effacées lorsqu'il apparaît avec certitude au gestionnaire d'un dossier d'assurance sur la vie qu'elles se rapportent à un homonyme de l'assuré ou d'un bénéficiaire du contrat.

Article 5
Destinataires

Les personnes habilitées à recevoir communication des données relatives aux personnes décédées sont :
― au sein des services de l'AGIRA, les gestionnaires habilités chargés de l'exploitation des fichiers de réponses issus des interrogations par lots ;
― au sein des entreprises d'assurance, des institutions de prévoyance et leurs unions, et des mutuelles et leurs unions, les interrogations ponctuelles de la base de l'AGIRA ne peuvent être effectuées que par un nombre limité ― au maximum cinq personnes par établissement ― de gestionnaires habilités, disposant de certificats individuels et ayant vérifié la motivation des demandes d'interrogation. Les données issues des interrogations de la base de l'AGIRA sont utilisées par les personnels habilités à intervenir dans la gestion des contrats d'assurance sur la vie.

Article 6
Mesures de sécurité

Les responsables de traitement prennent toutes précautions utiles pour empêcher que les données ne soient détournées des finalités pour lesquelles elles ont été collectées et pour préserver leur sécurité et leur confidentialité, notamment, pour empêcher qu'elles soient déformées, endommagées ou que des tiers non autorisés puissent en prendre connaissance.
Les accès individuels à la base AGIRA s'effectuent après authentification mutuelle du système hébergeant le traitement et de l'utilisateur par le biais de certificats délivrés par le réseau d'accès aux données de l'assurance et de la messagerie sécurisée (RADAMESS). L'identification des machines connectées au traitement est également faite par des certificats de même nature.
Le certificat doit être nominatif et les mesures appropriées doivent être prises de manière à garantir qu'il ne sera utilisé que par son titulaire.
Les entreprises d'assurances, institutions de prévoyance et leurs unions, et les mutuelles et leurs unions conservent l'historique des requêtes ponctuelles effectuées sous leur responsabilité et pourront accéder aux interrogations conservées par l'AGIRA. Celle-ci garde une trace de toute interrogation pendant un an.
Toutes les connexions au traitement de données à caractère personnel font l'objet d'un chiffrement.
Tous les envois dématérialisés entre l'INSEE et l'AGIRA font l'objet d'un chiffrement dont la clé est fournie sous pli séparé, en recommandé, avec accusé de réception. Les transmissions de la clé et des données se font successivement, en deux plis distincts, les données n'étant envoyées qu'après retour à l'INSEE de l'accusé de réception du courrier contenant la clé.

Article 7

La présente délibération sera publiée au Journal officiel de la République française.

1 version

Pour le président :

Le vice-président délégué,

G. Rosier