JORF n°0138 du 16 juin 2013

Délibération n° 2012-310 du 13 septembre 2012

La Commission nationale de l'informatique et des libertés,

Saisie par le ministère du travail, de l'emploi et de la santé, le ministère du budget, des comptes publics et de la réforme de l'Etat, et le ministère des solidarités et de la cohésion sociale, d'une demande d'avis concernant un projet de décret relatif à la déclaration annuelle des données sociales ;

La Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;

Vu le code de la sécurité sociale, notamment son article L. 133-5-4 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-1 (1°) ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2011-350 du 10 novembre 2011 portant avis sur un projet de décret modifiant le décret n° 85-1343 du 16 décembre 1985 instituant un transfert de données sociales, ainsi que sur un projet d'arrêté d'application ;

Vu le dossier et ses compléments ;

Vu la proposition de M. Emmanuel de GIVRY, commissaire, et après avoir entendu les observations de Mme Elisabeth ROLIN, commissaire du Gouvernement,

Emet l'avis suivant :

Le ministère du travail, de l'emploi et de la santé, le ministère du budget, des comptes publics et de la réforme de l'Etat, et le ministère des solidarités et de la cohésion sociale, ont saisi la commission d'un projet de décret relatif à la déclaration annuelle des données sociales (DADS).

Le décret n° 85-1343 du 16 décembre 1985 a institué un système de transfert de données sociales (TDS) permettant l'intégration de diverses déclarations administratives dans une seule déclaration annuelle. Ce décret ainsi que ces nombreuses modifications ultérieures ont été soumis à l'avis de la commission.

La loi n° 2011-1906 du 21 décembre 2011 de financement de la sécurité sociale pour 2012 a donné un cadre législatif à la DADS en créant l'article L. 133-5-4 du code de la sécurité sociale. Le présent projet de décret est pris en application de ce texte.

Ce article prévoit que « Tout employeur de personnels salariés ou assimilés autres que les salariés agricoles et les salariés mentionnés à l'article L. 1271-1 du code du travail est tenu d'adresser, au plus tard le 31 janvier de chaque année, à un organisme désigné par décret, une déclaration annuelle des données sociales faisant ressortir le montant des rémunérations versées à chacun de ses salariés ou assimilés au cours de l'année précédente. Les données de cette déclaration servent à l'ouverture et au calcul des droits des salariés aux assurances sociales, à la vérification des déclarations de cotisations sociales de l'employeur, à la détermination du taux de certaines cotisations ainsi qu'à l'accomplissement par les administrations et organismes destinataires de leurs missions. Au moyen de cette déclaration unique, l'employeur accomplit les déclarations mentionnées aux articles 87, 240 et 241 du code général des impôts et aux articles L. 1221-18, L. 1441-8 et L. 5212-5 du code du travail ainsi que les déclarations dont la liste est fixée par décret ».

Le cadre juridique posé par cet article et par le présent projet de décret soumis à l'appréciation de la commission s'inscrit dans la continuité du décret modifié n° 85-1343 du 16 décembre 1985.

Ainsi, les employeurs mentionnés à l'article L. 133-5-4 du code de la sécurité sociale doivent adresser la DADS à la Caisse nationale d'assurance vieillesse (CNAV) soit par voie électronique selon une norme d'échanges établie, soit au moyen d'un formulaire adressé à l'organisme chargé localement de la gestion du risque vieillesse du régime général de sécurité sociale dans la circonscription duquel est situé chaque établissement de l'employeur.

Le Centre national de transfert des données sociales (CNTDS), institué au sein de la CNAV, organise le transfert des données aux administrations et organismes destinataires et veille à la qualité des informations déclarées par les employeurs ainsi que des informations retransmises aux destinataires. Un comité de gestion, composé d'un représentant de chaque administration et organisme mentionné à l'article D. 133-9-2, veille au bon fonctionnement de la collecte et du transfert des données.

Le deuxième alinéa de l'article D. 133-9, tel que mentionné à l'article 1 er du projet de décret, prévoit que les déclarations annuelles destinées aux organismes chargés de la gestion d'un régime complémentaire obligatoire en application du chapitre Ier du titre Il du livre IX et les organismes chargés de la gestion d'un régime complémentaire institué en application de l'article L. 911-1 peuvent être effectuées en même temps grâce à la déclaration automatisée des données sociales unifiées (DADS-U). Dès lors, ces organismes, en concertation avec le CNTDS, déterminent les modalités de collecte des déclarations annuelles accomplies auprès d'eux à la même date et selon la même norme d'échanges.

Aux termes des articles 2 et 4 du projet de décret, ce dispositif est applicable pour la première fois au titre des rémunérations versées au cours de l'année 2012, sauf pour ce qui concerne les employeurs des personnels de la Banque de France, de la Régie autonome des transports parisiens, du groupe Electricité de France et de l'Opéra national de Paris. Pour ces derniers, la première application est différée aux rémunérations versées à compter du 1 er janvier 2015.

Sur la finalité du traitement

Le présent traitement a vocation à permettre aux organismes et administrations destinataires de la DADS d'accomplir leurs missions.
La commission considère la finalité poursuivie comme déterminée, explicite et légitime.

Sur la nature des données traitées

L'article D. 133-9-1 du code de la sécurité social, tel que mentionné à l'article 1 er du projet de décret, prévoit que les déclarations regroupées dans la DADS sont les suivantes :
― les déclarations énumérées à l'article L. 133-5-4, notamment la déclaration relative à l'emploi obligatoire des travailleurs handicapés, mutilés de guerre et assimilés pour les informations mentionnées au 1° de l'article R. 5212-1 ;
― les déclarations et formalités suivantes :
― la déclaration des rémunérations versées aux salariés prévue par l'article R. 243-14, destinée aux organismes chargés du recouvrement des cotisations du régime général de sécurité sociale ;
― l'attestation d'activité salariée relative à l'ouverture du droit aux prestations en nature de l'assurance maladie et produite en application de l'article R. 313-2 du code de la sécurité sociale ;
― la déclaration annuelle des rémunérations prévue par l'article 6 bis du décret n° 70-1277 du 23 décembre 1970 portant création d'un régime de retraites complémentaire des assurances sociales en faveur des agents non titulaires de l'Etat et des collectivités publiques ;
― la déclaration annuelle des rémunérations prévue par l'article 6 du décret n° 2007-173 du 7 février 2007 relatif à la Caisse nationale de retraites des agents des collectivités locales ;
― la déclaration prévue par l'article 4 du décret n° 50-783 du 24 juin 1950 destinéee au Fonds spécial des pensions des ouvriers des établissements industriels de l'Etat ;
― la déclaration prévue par l'article 3 du décret n° 85-885 et du décret n° 85-886 du 12 août 1985, destinée aux fonds nationaux de compensation du supplément familial de traitement ;
― la déclaration mentionnée à l'article 15 du décret n° 2004-569 du 18 juin 2004 relatif à la retraite additionnelle de la fonction publique ;
― la déclaration annuelle des salaires adressée à la Caisse nationale des barreaux français par les employeurs d'avocats salariés ;
― la déclaration prévue par l'article 8 du décret n° 2007-1796 du 19 décembre 2007 relatif à la cotisation et à la contribution dues pour la couverture des charges de pensions et allocations temporaires d'invalidité des fonctionnaires de l'Etat, des magistrats et des miliaires détachés ainsi que des agents des offices ou établissements de l'Etat dotés de l'autonomie financière ;
― la déclaration annuelle des salaires adressée par les employeurs de personnel navigant professionnel de l'aéronautique civile à la caisse mentionnée à l'article L. 426-5 du code de l'aviation civile ;
― la déclaration relative au bonus exceptionnel versé en application de l'article 3 de la loi n° 2009-594 du 27 mai 2009 pour le développement économique des outre-mer.
Les données collectées via ces déclarations sont celles listées dans l'arrêté du 31 décembre 2011 pris en application du décret n° 85-1343 du 16 décembre 1985 et sur lequel la commission s'est prononcée par une délibération n° 2011-350 du 10 novembre 2011.
La commission considère que le contenu de la DADS est pertinent au regard de la finalité poursuivie. Toute modification ultérieure de l'arrêté du 31 décembre 2011, et donc des données collectées, sera soumise pour avis à la commission.

Sur la durée de conservation des données

L'article D. 133-9-3 du code de la sécurité sociale, tel que mentionné à l'article 1er du projet de décret, prévoit que les données des déclarations ne sont conservées que pendant le temps nécessaire à leur traitement, sans que ce délai puisse excéder trois mois.
La commission considère que cette durée de conservation est pertinente au regard de la finalité poursuivie par le traitement.

Sur les destinataires des données

L'article D. 133-9-2 du code de la sécurité sociale, tel que mentionné à l'article 1er du projet de décret, prévoit que les destinataires des données sont, selon leurs compétences respectives, les administrations et organismes suivants :
― la direction générale des finances publiques ;
― la direction générale du travail ;
― l'Institut national de la statistique et des études économiques ;
― le service des retraites de l'Etat ;
― les organismes mentionnés aux articles L. 215-1, L. 215-5 et L. 752-4 chargés de la gestion de l'assurance vieillesse du régime général de sécurité sociale ;
― les organismes chargés de la gestion du risque maladie de la sécurité sociale ;
― les organismes chargés de la tarification du risque d'accident du travail du régime général de sécurité sociale ;
― les organismes chargés du recouvrement des cotisations et des contributions sociales ;
― l'institution de retraite complémentaire des agents non titulaires de l'Etat et des collectivités territoriales ;
― la Caisse nationale de retraites des agents des collectivités locales ;
― le fonds spécial des pensions des ouvriers des établissements industriels de l'Etat ;
― les fonds nationaux du supplément familial de traitement ;
― l'établissement de retraite additionnelle de la fonction publique ;
― la caisse de retraite du personnel navigant professionnel de l'aéronautique civile ;
― la caisse de prévoyance et de retraite du personnel de la Société nationale des chemins de fer ;
― l'organisme gestionnaire du régime additionnel de retraite des personnels enseignants et de documentation mentionnés aux articles L. 914-1 du code de l'éducation et L. 813-8 du code rural et de la pêche maritime ;
― la Caisse nationale des barreaux français ;
― la caisse d'assurance vieillesse, invalidité et maladie des cultes ;
― l'institution mentionnée à l'article L. 5312-1 du code du travail ;
― le Centre national de la fonction publique territoriale ;
― l'association mentionnée à l'article L. 5214-1 du code du travail ;
― l'Agence de services et de paiement.
L'arrêté du 31 décembre 2011 pris en application du décret n° 85-1343 du 16 décembre 1985 précise, pour chacun de ces organismes, les données dont ils sont destinataires.
Ces destinataires n'appellent pas d'observations de la part de la commission.

Sur l'information et les droits des personnes

Les personnes concernées sont informées, conformément à l'article 32 de la loi du 6 janvier 1978 modifiée, par publication sur le site de la CNAV de l'arrêté ou de l'acte réglementaire y afférent. En outre, l'employeur doit informer ses salariés lorsqu'il met en œuvre la dématérialisation des DADS.
Par ailleurs, l'article D. 133-9-4 du code de la sécurité sociale, tel que mentionné à l'article 1er du projet de décret, prévoit que les droits d'accès et de rectification s'exercent auprès des administrations et organismes destinataires prévus à l'article D. 133-9-2 du code de la sécurité sociale.
Ces modalités d'exercice des droits des personnes apparaissent satisfaisantes.

Sur les mesures de sécurité

Les mots de passe permettant l'authentification des utilisateurs sont conformes à la doctrine de la commission.
Des mesures de protection physique des infrastructures utilisées par le traitement ont été mises en place.
Les échanges de données vers et depuis le portail web permettant de réaliser les DADS sont chiffrés au moyen du protocole https, qui permet de garantir la confidentialité des données échangées.
De plus, les échanges de données réalisés entre la CNAV et le GIP MDS ont lieu par le biais d'une ligne spécialisée et sont également chiffrés au moyen du protocole https.
Le routage des données vers les destinataires des données se fait par le biais d'interconnexions directes au réseau privé de la CNAV, ou à d'autres réseaux ministériels privés ou bien par le biais de liaisons spécialisées.
Les supports de stockage sont gérés par un sous-traitant lié par des clauses de confidentialité et les modalités techniques de conservation des données permettant de limiter très fortement les risques de compromission de données ; les supports de sauvegardes sont quant à eux détruits après usage.
Les opérations de consultation, création, suppression et mise à jour sont journalisées et les journaux sont conservés pendant douze mois. Les DADS sont quant à elle conservées pendant trois mois.
La commission considère que ces mesures de sécurité sont satisfaisantes.

1 version

Pour la présidente et par délégation :

Le vice-président,

E. de Givry