La Commission nationale de l'informatique et des libertés,

Saisie pour avis par le ministère du travail, de l'emploi et de la santé d'un projet de décret autorisant la création d'un traitement de données à caractère personnel relatif à la gestion des fraudes au régime général de l'assurance vieillesse ;

Vu la convention n° 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu le code de la sécurité sociale, notamment ses articles L. 114-9 et suivants, L. 114-16-1 à 3 et L. 224-14 ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée, et notamment son article 27-1 (1°) ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifié ;

Après avoir entendu M. Philippe GOSSELIN, commissaire, en son rapport et Mme Elisabeth ROLIN, commissaire du Gouvernement, en ses observations ;

Formule les observations suivantes :

La Commission nationale de l'informatique et des libertés a été saisie par le ministère du travail, de l'emploi et de la santé d'une demande d'avis sur un projet de décret l'autorisant à constituer et à gérer une base d'informations sur les dossiers des auteurs et acteurs de fraudes dénommée « système national de gestion des fraudes ».

Présentation du système national de gestion des fraudes :

La commission prend acte que le projet de décret qui lui est soumis a pour objet d'autoriser la mise en place d'un « système national de gestion des fraudes » (SNGF) commises au préjudice des organismes de la branche retraite au régime général.

A titre liminaire, elle souligne que le traitement SNGF désigne en réalité un système de gestion des alertes relatives aux fraudes et de signalement des fraudes avérées. C'est pourquoi elle propose au ministère de modifier le nom du traitement mis en œuvre en ce sens.

Le système national de gestion des fraudes (SNGF) sera composé de deux applications :

― l'outil de gestion des alertes (OGEDA), géré par la CNAV ;

― la base nationale de signalement des fraudes (BNSF), gérée par la CNAV, et donnant lieu à une information ponctuelle de ses partenaires.

L'OGEDA poursuivra un objectif de lutte contre les fraudes commises au préjudice des organismes de la branche retraite en permettant la gestion des « tentatives de fraude » et des « fraudes, suspectées ou avérées » (art. 2-I du projet de décret). Il doit permettre :

― de collecter des informations relatives aux fraudeurs présumés, auteurs ou acteurs, à contrôler par les agents assermentés de la CNAV et d'organiser ces contrôles ;

― d'améliorer le ciblage des actions de contrôle à mener en proposant des critères d'identification des « risques de fraude ».

La commission prend acte que la BNSF enregistrera l'ensemble des informations relatives aux auteurs ou acteurs de fraudes, c'est-à-dire dont la fraude sera avérée du fait :

― d'une part, d'un contrôle par des agents assermentés de la CNAV donnant lieu soit à une action visant à les exclure du bénéfice d'un droit ou d'une prestation soit à l'ouverture d'un contentieux ;

― d'autre part, d'une décision judiciaire définitive.

Elle demande au ministère du travail, de l'emploi et de la santé de modifier le dernier alinéa de l'article 241 du projet de décret afin de définir les notions d'auteurs, d'acteurs et de fraude avérée.

La BNSF permettra, au moyen de fiches de signalement dématérialisées et chiffrées, le partage de certaines des informations relatives aux allocataires auteurs de fraudes entre la CNAV et ses partenaires, à savoir : les organismes nationaux de sécurité sociale (CNAMTS, CNAF, ACOSS, CNRSI, CCMSA) et leurs caisses régionales ou locales (CPAM, CAF, URSSAF, MSA, RS1), ainsi que Pôle emploi, la DGFiP et les autres agents mentionnés à l'article L. 114-16-3 du code de la sécurité sociale, les comités opérationnels départementaux antifraude (CODAF) et les parquets.

Sur le régime juridique applicable :

L'identification des assurés dans le SNGF sera effectuée au moyen du numéro d'inscription des personnes au répertoire national d'identification des personnes physiques (NIR) qui est l'identifiant des assurés de la branche retraite du régime général (art. R. 115-1 du CSS).

Conformément à l'article 27-1 (1°) de la loi du 6 janvier 1978 modifiée, « sont autorisés par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés », les traitements de données à caractère personnel mis en œuvre pour le compte d'une personne morale de droit public « qui portent sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques ».

Sur les finalités poursuivies par le traitement :

En application des dispositions du code de la sécurité sociale issues de la loi n° 2007-1786 du 19 décembre 2007 de financement de la sécurité sociale pour 2008 (art. L. 114-9 et suivants du code de la sécurité sociale), le système national de gestion des fraudes (SNGF) a pour vocation de permettre à la Caisse nationale d'assurance vieillesse (CNAV) de traiter les informations relatives aux auteurs ou acteurs de fraudes et d'organiser le partage des informations relatives à la fraude aux prestations sociales avec l'ensemble de ses partenaires.

Ce traitement répond également aux exigences de l'article L. 224-14 du code de la sécurité sociale (CSS) qui dispose notamment que la Caisse nationale de l'assurance maladie des travailleurs salariés (CNAM), la Caisse nationale d'assurance vieillesse des travailleurs salariés (CNAV) et la Caisse nationale des allocations familiales (CNAF) « mettent en œuvre ou coordonnent des actions de contrôle sur le service des prestations afin de détecter les fraudes et les comportements abusifs. Elles peuvent à ce titre utiliser des traitements automatisés des données relatives au service des prestations ».

Conformément à l'article 1er-I du projet de décret, l'OGEDA répondra à deux objectifs : d'une part, la collecte des informations à contrôler dans le cadre de la lutte contre la fraude au régime général de la branche retraite et, d'autre part, l'amélioration du ciblage des actions de contrôles entreprises par la CNAV.

S'agissant des finalités du BNSF définies à l'article 141 du projet de décret, les finalités de gestion des fraudes (art. 1er-II-1), de signalement des fraudes (art. 1er-11 [3°]) et de statistiques (art. 1er-11 [4°]) n'appellent pas d'observation.

La commission prend acte que la BNSF a non seulement pour finalité la gestion des fraudes avérées mais également l'élaboration d'une cartographie des risques de fraude et le signalement des fraudes avérées aux partenaires de la CNAV.

Ces finalités complémentaires appellent une vigilance particulière de la commission sur les conditions de mise en œuvre du SNGF.

Sur les catégories de données traitées :

La commission considère que les catégories de données saisies dans l'OGEDA (art. 3-I du projet de décret) et dans la BNSF (art. 3-11 du projet de décret) sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées (art. 6 [3°] de la loi du 6 janvier 1978 modifiée).

Elle rappelle que seules les catégories de données mentionnées dans le projet de décret peuvent faire l'objet d'un traitement dans l'OGEDA et dans la BNSF.

Concernant l'OGEDA, la commission insiste sur la nécessité d'indiquer systématiquement que chacune des personnes dont l'identité sera enregistrée a un statut d'« auteur présumé » ou d'acteur.

Concernant la BNSF, elle rappelle que l'enregistrement du statut d'auteur dans la BNSF ne peut être effectué qu'après une décision judiciaire définitive.

Le traitement des données relatives à la fraude et aux infractions se limitera à la date de détection de la fraude constatée, à une courte description de la fraude, à la date de notification de cette fraude à la CNAV par les organismes partenaires, à la date de notification de la fraude aux organismes partenaires par la CNAV, à la date du dépôt de plainte (le cas échéant), au montant du préjudice financier et aux pénalités et à la nature de la décision judiciaire définitive (numéro d'enregistrement, nature de la sanction, date de décision définitive).

Ces données ne comporteront aucune appréciation sur les difficultés sociales des personnes, ni aucune donnée sensible, au sens de l'article 8 de la loi du 6 janvier 1978 modifiée.

En outre, concernant les zones de champ libre (relatives à l'absence de suite donnée au signalement, au mode opératoire de détection de la fraude, à la description de la fraude, aux mesures de prévention à retenir et aux observations relatives à l'inadaptation de la réglementation en vigueur), elle recommande que la mention suivante apparaisse lors de la saisie des données : « Seules doivent être saisies les informations pertinentes au regard du contexte. Elles ne doivent pas comporter d'appréciation subjective, ni faire apparaître, directement ou indirectement, les origines raciales, les opinions politiques, philosophiques ou religieuses, les appartenances syndicales ou les mœurs de la personne concernée. »

Sur les catégories de destinataires :

La commission prend acte du fait que les données à caractère personnel traitées dans l'OGEDA ne donneront lieu à aucune transmission.

Sur ce point, elle propose au ministère de préciser l'article 4 (1°) du projet de décret : dès lors qu'ils ne constituent pas des destinataires au sens de l'article 3-11 de la loi du 6 janvier 1978 modifiée, la référence aux « utilisateurs du système national de gestion des fraudes » pourrait être supprimée.

Concernant l'application BNSF, l'article 4-2 du projet de décret vise les organismes de protection sociale et autres partenaires mentionnés à l'article L. 114-16-3 du code de la sécurité sociale. Ils pourront être destinataires des informations figurant dans la BNSF (identité des personnes physiques et morales concernées, NIR des assurés, numéro SIRET, type de société de l'employeur, adresse des personnes physiques ou morales concernées, début et fin de la période de régularisation frauduleuse et type de prestation en cause, numéro d'enregistrement et date de décision définitive des actions pénales et civiles) utiles à la prévention ou à la détection des fraudes.

De même, à l'exclusion du NIR de l'assuré, les informations relatives aux fraudeurs seront adressées à la DGFiP.

Pour contribuer à une meilleure prévention de la fraude, le département de prévention et de lutte contre la fraude (DNPLF) de la CNAV recevra des informations relatives au type de prestation en cause, à la position administrative du dossier (avant instruction, instruction en cours ou après instruction achevée) ou à la nature de la sanction résultant de la décision définitive des actions pénales et civiles.

La direction de la sécurité sociale (DSS) recevra une fiche de signalement anonymisée (art. L. 114-9 du code de la sécurité sociale).

Sur la sécurité :

A l'exclusion de toute autre catégorie de personnels, les utilisateurs de la BNSF sont les agents en charge de la lutte contre la fraude habilités au sein de la CNAV, de l'une des quinze caisses d'assurance retraite et de la santé au travail (CARSAT) métropolitaines ou de l'une des quatre caisses de sécurité sociale (CGSS) de Guadeloupe, Martinique, Guyane et Réunion ou de la caisse de la sécurité sociale de Mayotte.

Au niveau régional, les agents habilités d'une caisse gestionnaire pourront consulter le tableau de bord de leur caisse uniquement.

Au niveau national, seuls le « référent fraude national » et l'administrateur de la BNSF seront habilités à consulter le tableau de bord de toutes les caisses régionales ainsi que l'état d'avancement des fiches de signalement.

Concernant l'OGEDA, le régime des habilitations d'accès à la base définit cinq profils d'utilisateurs : les profils « lecteur », « contributeur », « valideur », « gestionnaire local » et « gestionnaire national ». Tous les agents habilités de la CNAV et des CARSAT seront soumis au secret professionnel.

Ces habilitations seront délivrées sur autorisation du directeur de chaque caisse régionale et du directeur de la CNAV, à l'échelle nationale (agents des structures, directeurs et agents comptables).

Le mot de passe permettant l'authentification de l'utilisateur, la maintenance de la base ainsi que la destruction des supports de données en fin de vie n'appellent pas d'observations de la commission.

Concernant l'accès à l'application, les fonctionnalités de journalisation permettront de connaître la date et l'heure des connexions, l'identifiant de l'utilisateur, le type d'accès (consultation, création, mise à jour, validation, suppression, export fiche), la référence des données accédées (numéro dossier). Ces traces ne seront consultables que par l'administrateur de la base et seront conservées douze mois.

Concernant la BNSF, le régime des habilitations d'accès à la base définit quatre profils d'utilisateurs : les profils « lecteur », « contributeur », « valideur » et « gestionnaire national ».

Le mot de passe permettant l'authentification de l'utilisateur, le chiffrement des données lors des échanges avec d'autres organismes, la maintenance de la base, l'anonymisation des données ainsi que la destruction des supports de données en fin de vie respectent les préconisations de la commission et n'appellent pas d'observations de sa part.

Les fonctionnalités de journalisation permettront de connaître la date et l'heure des connexions, l'identifiant de l'utilisateur, le type d'accès à l'application (consultation, création, mise à jour, validation, suppression, export fiche), la référence des données accédées (numéro dossier).

Concernant la gestion de ces traces, qui ne seront consultables que par l'administrateur de la base, la commission préconise de retenir, dans l'article 5 (4°) du projet de décret, une durée de conservation de trois ans, plutôt que de douze mois.

La commission prend acte du fait que les fiches de signalement produites par les agents de la CNAV seront chiffrées, puis adressées aux partenaires sous la forme d'un document joint sécurisé via messagerie.

Sur la durée de conservation :

Concernant l'application OGEDA, la commission considère que les données mentionnée dans l'article 5 (1°) du projet de décret doivent être « conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées » (art. 6 [5°] de la loi du 6 janvier 1978 modifiée).

Elle considère qu'une conservation des données pendant trois ans est suffisante pour « améliorer le ciblage des actions de contrôle » (art. 1er-I du projet de décret).

En outre, elle insiste sur la nécessité d'une mise à jour immédiate des données enregistrées. Ainsi, la survenance d'un événement nouveau, telle qu'une décision de l'autorité judiciaire mettant hors de cause des personnes enregistrées dans l'OGEDA, devra donner lieu à une modification ou à une suppression systématique des informations concernées.

Elle considère que, pour éviter de contrôler l'année N + 1 les allocataires contrôlés l'année N, les données d'identification et la date du contrôle effectué pourront être conservées dans une base de données distincte de l'OGEDA.

Concernant l'application BNSF, compte tenu, d'une part, des finalités et, d'autre part, de la nature et des effets des décisions en cause, elle demande à la CNAV de conserver les données saisies (art. 5 [2°]) :

― trois ans à compter de la décision de condamnation définitive de la personne poursuivie ;

― trois ans à compter de la date de leur classement sans suite par le procureur de la République ou par les organismes chargés du risque vieillesse du régime général ;

― trois mois à compter de la date de la décision administrative ou à compter de la date de transmission de la décision judiciaire n'ayant pas abouti à une condamnation de la personne poursuivie.

La commission considère que les informations conservées pendant trois ans à compter de la décision de condamnation définitive de la personne concernée doivent être accessibles aux seuls agents en charge des actions de contrôle et de prévention de la récidive.

La commission prend acte que ces délais courront à l'expiration du trimestre durant lequel le classement ― qui n'est pas toujours formellement porté à la connaissance de l'intéressé ― ou la décision auront été prononcés et que les rapports édités dans la BNSF ne donneront lieu à aucun archivage.

Un archivage papier de ces informations pendant une durée de cinq ans précisera, le cas échéant, les conditions de réouverture d'un dossier.

Sur les droits des personnes :

En application de l'article 32 de la loi du 6 janvier 1978 modifiée, les personnes concernées seront informées individuellement de l'enregistrement de données à caractère personnel les concernant dans la BNSF par courrier du directeur de l'organisme chargé d'un régime obligatoire d'assurance vieillesse, sauf si cette information est de nature à compromettre les investigations en cours (art. 6, alinéa 1, du projet de décret).

Le cas échéant, l'information des personnes aura lieu après qu'eurent été prises les mesures conservatoires permettant de prévenir la destruction de preuves relatives au signalement.

La commission prend acte que, concernant le traitement OGEDA et le traitement BNSF, l'exercice du droit d'accès et de rectification (art. 6, alinéa 3, du projet de décret) s'effectuera, dans les caisses régionales et à la CNAV, auprès du correspondant informatique et libertés de l'organisme, conformément aux articles 39 et 40 de la loi du 6 janvier 1978 modifiée.

Enfin, la commission demande à la CNAV de lui présenter un bilan sur la mise en œuvre du système national de gestion des fraudes à l'issue d'un délai de trois ans. Ce bilan devra faire apparaître :

― un descriptif des habilitations et des formations à l'outil mises en œuvre au sein de la CNAV et des caisses locales ;

― les améliorations réalisées, ou prévues, en termes de prévention et de lutte contre la fraude ;

― un tableau récapitulatif des statistiques du SNGF (nombre de consultations par les agents habilités des caisses locales et de la CNAV ; nombre de fraudes individuelles ou en réseau recenséesn proportion des fraudes inscrites dans la BNSF ayant donné lieu à des pénalités et/ou à un dépôt de plainte ; suivi des mises à jour et des purges) ;

― un bilan relatif à la transmission des fiches de signalement de la CNAV aux organismes partenaires (nombre de signalements transmis, suites données par l'organisme destinataire, fraudes en réseau détectées et confirmées) ; et

― les actions menées pour informer les personnes de la mise en œuvre du SNGF et de leurs droits.

La présidente,

I. Falque-Pierrotin