Délibération 2016-293 du 29 septembre 2016

Commission Nationale de l'Informatique et des Libertés
Délibération n°2016-293 du 29 septembre 2016
Délibération n° 2016-293 du 29 septembre 2016 portant avis sur un projet de décret relatif à la généralisation de la déclaration sociale nominative et un projet d’arrêté fixant les données de la déclaration sociale nominative (demande d’avis n° 1976824)
Etat: VIGUEUR

La Commission nationale de l'informatique et des libertés,
Saisie conjointement par le ministère des finances et des comptes publics et par le ministère des affaires sociales et de la santé d'une demande d'avis concernant un projet de décret relatif à la généralisation de la déclaration sociale nominative et un projet d'arrêté fixant les données de la déclaration sociale nominative ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code général des impôts, notamment ses articles 87 et 1586 octies ;
Vu le code rural et de la pêche maritime, notamment son article L. 742-3 ;

Vu le code de la sécurité sociale, notamment son article L. 133-5-3 ;

Vu le code du travail, notamment ses articles L.1221-16 et L. 5421-1 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-I-1° ;
Vu la loi n° 2012-387 du 23 mars 2012 relative à la simplification du droit et à l'allègement des démarches administratives, notamment son article 35 ;
Vu l'ordonnance n° 2012-682 du 18 juin 2015 relative à la simplification des déclarations sociales des employeurs ;
Vu le décret n° 82-103 du 22 janvier 1982 modifié relatif au Répertoire national d'identification des personnes physiques ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2013-266 du 28 mars 2013 relatif à la déclaration sociale nominative ;
Vu le décret n° 2014-1371 du 17 novembre 2014 relatif à la déclaration sociale nominative ;
Vu le décret n° 2016-611 du 18 mai 2016 fixant les dates limites pour la transmission obligatoire de la déclaration sociale nominative ;
Vu la délibération n° 2012-403 du 15 novembre 2012 portant avis sur le projet de décret relatif à la déclaration sociale nominative ;

Vu la délibération n° 2014-425 du 9 octobre 2014 portant avis sur un projet de décret et un projet d'arrêté relatifs à la déclaration sociale nominative Phase 2 et à la modification de la déclaration préalable à l'embauche ;
Après avoir entendu Mme Marie-France MAZARS, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,

Émet l'avis suivant :

La Commission est saisie conjointement par le ministère des finances et des comptes publics et le ministère des affaires sociales et de la santé, d'une demande d'avis sur un projet de décret et sur un projet d'arrêté, relatifs à la généralisation de la déclaration sociale nominative (DSN). Dans la mesure où ce traitement automatisé a vocation à être mis en œuvre par une personne morale de droit public et qu'il porte sur des données parmi lesquelles figure le numéro d'inscription des personnes au Répertoire national d'identification des personnes physiques (NIR), il y a lieu de faire application des dispositions prévues à l'article 27-I-1° de la loi du 6 janvier modifiée, prévoyant que la création du traitement doit intervenir par décret en Conseil d'État pris après avis motivé et publié de la Commission.

La DSN a été créée par la loi n° 2012-387 du 22 mars 2012 relative à la simplification du droit et à l'allègement des démarches administratives, dont la maitrise d'ouvrage opérationnelle a été confiée au Groupement d'intérêt public Modernisation des déclarations sociales (GIP-MDS). Cette déclaration repose sur la transmission dématérialisée mensuelle et ponctuelle des données issues de la paie et de signalements d'événements.
Le déploiement progressif de la DSN se déroule en trois phases, dont chacune permet l'intégration de nouvelles déclarations sociales dans la DSN et élargit le champ des déclarants éligibles.
Lors de la 1ère phase, de 2013 à 2015, la DSN était facultative pour l'employeur et se substituait ainsi progressivement à une part importante des déclarations sociales des employeurs.
Durant la 2ème phase, de 2015 à 2016, la DSN a vu son périmètre s'étendre à d'autres déclarations sociales et s'élargir à de nouvelles catégories d'employeurs.
Pour la 3ème phase, la DSN se substituera définitivement aux déclarations et formalités sociales effectuées, à partir des données de la paie, par les employeurs personnes physiques ou personnes morales de droit privé, ou encore par les établissements publics à caractère industriel et commercial. La généralisation du dispositif a été reportée, par le décret n° 2016-611 du 18 mai 2016, à janvier 2017 pour les entreprises du régime général de sécurité sociale et des régimes spéciaux et à avril 2017 pour celles relevant du régime agricole.
Le projet de décret, soumis à l'avis de la Commission, porte sur la mise en œuvre de la phase 3 du dispositif DSN. Il est accompagné d'un projet d'arrêté précisant les catégories de données collectées ainsi que les destinataires de chacune de ces données. Ces actes réglementaires ont vocation à amender le décret de 2013.

Sur les finalités du traitement

L'article 4-I du projet de décret énonce que le dispositif a pour finalités de :
1° simplifier les démarches pour les entreprises dans le domaine social et fiscal ;
2° faciliter les démarches des salariés relatives à leur protection sociale et leur placement en cas de situation de recherche d'emploi ;
3° assurer la concordance des informations entre les montants déclarés pour l'ouverture des droits, le calcul des prestations, d'une part, et les montants soumis à cotisations sociales, d'autre part ;
4° permettre de détecter les erreurs déclaratives afin d'éviter les indus, de prévenir les fraudes aux prestations et aux cotisations sociales et de mettre à jour et, le cas échéant, rectifier les droits des salariés ;
5° produire des statistiques anonymes à des fins de suivi de l'évolution de l'emploi et des salaires ;
6° permettre le recouvrement des cotisations et contributions sociales dont l'employeur est redevable et la prise en compte des exonérations dont il bénéficie ;
7° calculer les effectifs de l'employeur pour la détermination du montant et le recouvrement des cotisations et contributions sociales ;
8° calculer les effectifs de l'employeur pour la répartition du produit du versement transport et de la cotisation sur la valeur ajoutée des entreprises ;
9° permettre aux services de l'Etat de contrôler l'application du droit du travail, notamment en matière de lutte contre le travail illégal et de mesurer l'audience de la représentativité syndicale et patronale dans les entreprises.

La Commission rappelle que les sept premières finalités étaient déjà présentes dans la précédente version du décret de 2013.
S'agissant de la première finalité, le domaine fiscal a été ajouté afin de prendre en compte les flux de données issues des déclarations sociales et destinées aux administrations fiscales, qu'il convient de rapprocher de la 8ème finalité, visant de nouvelles fonctionnalités de la DSN généralisée, en matière d'imposition.
S'agissant de la deuxième finalité, relative aux démarches des salariés, ont été ajoutées les démarches relatives au placement en cas de situation de recherche d'emploi , ce qui rejoint le souhait exprimé par la Commission dans sa délibération du 15 novembre 2012.
Les deux dernières finalités constituent des nouveautés par rapport aux finalités prévues lors des deux premières phases de déploiement de la DSN.
La Commission est informée qu'il est envisagé, à compter du 1er janvier 2018, d'utiliser le dispositif technique et informatique de la DSN dans le cadre du prélèvement à la source de l'impôt sur le revenu. La Commission note qu'elle sera saisie d'une demande d'avis modificative pour cette nouvelle finalité.

La DSN généralisée prévoit de se substituer intégralement à la déclaration annuelle des données sociales (DADS) et d'intégrer les déclarations et formalités correspondantes. Ainsi, le paragraphe IV de l'article 1er du projet de décret énumère la liste complète des obligations satisfaites par la transmission de la DSN :
1° la déclaration des éléments mentionnés aux articles R. 323-10 et R. 441-4 du code de la sécurité sociale et celle jointe à la déclaration prévue à l'article L. 751-26 du code rural et de la pêche maritime servant à déterminer le gain journalier de base pour le calcul des prestations en espèces de l'assurance maladie, maternité et paternité ou le salaire journalier servant au calcul des indemnités journalières dues au titre du risque accident du travail et maladies professionnelles ;
2° l'attestation mentionnée à l'article R. 1234-9 ainsi que le formulaire prévu à l'article L. 1251-46 du code du travail pour la détermination du montant du revenu de remplacement des travailleurs involontairement privés d'emploi ;
3° les déclarations prévues à l'article L. 1221-16 et L. 1221-18 du code du travail qui sont nécessaires à l'information du service public de l'emploi et des organismes du recouvrement relatives aux embauches et ruptures du contrat de travail, ainsi qu'au départ des salariés en préretraites ou à leur placement en cessation anticipé d'activité;
4° la réponse à l'enquête statistique sur les mouvements de main-d'œuvre ;
5° les déclarations adressées aux caisses et organismes visées au II de l'article L.133-5-3 du code de la sécurité sociale ainsi que celles transmises aux organismes chargés de la gestion d'un régime spécial prévue à l'article L. 711-1, à la caisse visée à l'article L. 6527-2 du code des transports et aux caisses prévues à l'article L. 3141-30 du code du travail pour le paiement des cotisations sociales et le calcul des droits des salariés;
6° la déclaration des effectifs prévue à l'article R. 130-1 du code de la sécurité sociale pour le recouvrement des cotisations et des contributions sociales ;
7° la déclaration des effectifs prévue à l'article 1586 octies du code des général des impôts nécessaire à l'affectation du produit de la valeur ajoutée des entreprises ;
8° la déclaration prévue à l'article 87 du code général des impôts au titre de l'établissement de l'impôt sur le revenu ;
9° les formalités permettant l'alimentation du compte personnel de formation prévu à l'article L. 6323-1 du code travail ;
10° la déclaration des facteurs d'exposition à la pénibilité prévue à l'article L. 4161-1 du code du travail.

S'agissant des déclarations mentionnées au 5°, le projet d'acte réglementaire indique que les employeurs pouvant utiliser la DSN pour réaliser ces déclarations sont ceux versant des cotisations à des régimes spéciaux et à divers organismes, à savoir:
- la caisse nationale des industries électriques et gazières ;
- la caisse d'assurance maladie industries électriques et gazières ;
- la caisse de retraite et de prévoyance des clercs et employés de notaires ;
- la caisse de prévoyance et de retraite du personnel de la SNCF ;
- la caisse de retraite du personnel navigant professionnel de l'aéronautique civile;
- l'Institution de retraite complémentaire des agents non titulaires de l'État et des collectivités publiques ;
- les organismes complémentaires gestionnaires d'un régime de protection sociale complémentaire institué en application de l'article L. 911-1 du code de la sécurité sociale ;
- les caisses de congés payés des professions du spectacle prévues à l'article L.3141-30 du code du travail.

Le projet d'acte institue le tiers déclarant qui, pour le compte de l'employeur, effectue la transmission de la DSN. Aux termes d'un contrat conclu avec l'employeur, le tiers déclarant est chargé, dans le cadre de ses missions, de :
- recevoir et de traiter les documents adressés par l'employeur et nécessaires à la transmission de la DSN ;
- transmettre cette dernière ;
- attester, auprès de l'employeur, de la réalisation des formalités ;
- assurer la conservation des documents ;
- les produire à la demande des administrations et organismes destinataires de la DSN, pour des besoins de vérification des données transmises ;
- effectuer les opérations nécessaires à la gestion des données, auprès des administrations et organismes qui en sont destinataires.

La Commission considère que les finalités du traitement sont déterminées, explicites et légitimes.
Sur la nature des données traitées

L'article 4-II du projet de décret modifie certaines des données déjà collectées dans la DSN en phases 1 et 2 et ajoute une nouvelle catégorie de données. Ainsi les catégories de données collectées dans le cadre de ce traitement sont désormais énoncées comme telles :

1° les données relatives à l'identification du salarié ;
2° les données relatives à l'identification de l'émetteur ;
3° les données relatives à l'identification de l'employeur et de l'établissement d'affectation du salarié mentionnées aux articles R. 133-221 et R. 133-222 du code de la sécurité sociale. La référence au lieu de travail du salarié, figurant dans le décret de 2013, est supprimée de cette catégorie de données et est intégrée à la suivante ;
4° les données relatives à la situation professionnelle du salarié, qui comportent les caractéristiques de l'emploi, les informations contenues dans son contrat de travail relatives à sa nature, à la date de début et de fin prévisionnelle du contrat, les informations relatives à la durée du travail, au lieu de travail ainsi que celles relatives à la convention collective applicable et au statut du salarié au regard de la réglementation relative aux régimes de sécurité sociale et de retraite complémentaire obligatoire dont il relève. Cette catégorie de données intègre la mention du lieu de travail du salarié. La mention des régimes de sécurité sociale, dont relève le salarié, y est également ajoutée ;
5° les données relatives à son statut au regard de la domiciliation fiscale. Cette catégorie de données est créée par le présent projet de décret ;
6° les données relatives au détail de la rémunération versée au cours du mois ainsi que celles relatives aux cotisations et aux contributions qui sont dues sur ces rémunérations et des impositions dont l'employeur est redevable au titre de l'emploi de salariés. Ces dernières précisions, relatives aux cotisations et contributions, sont des apports du projet de décret ;
7° les données relatives aux événements qui surviennent pendant la période déclarée, en l'occurrence, les dates de début et de fin d'arrêt de travail pour cause d'accident ou de maladie d'origine professionnelle ou non professionnelle, de congé de maternité, d'adoption ou de paternité et d'accueil de l'enfant, ainsi que les informations nécessaires à la subrogation de l'employeur dans les droits du salarié aux indemnités journalières et au remboursement de celui-ci par les organismes d'assurance maladie;

8° les données relatives à la rupture du contrat de travail qui comportent la qualification de la rupture et les éléments pris en compte pour le service des allocations chômage;

9° les données relatives à la prévoyance qui comportent les éléments relatifs à l'institution de prévoyance ou à la société d'assurance dont relève le salarié, ses ayants droits si le salarié le souhaite, ainsi que ceux relatifs au contrat de prévoyance ;

10° les données techniques nécessaires à la gestion de la déclaration sociale nominative.

La Commission note que ces données correspondent aux informations d'ores et déjà communiquées par les employeurs dans le cadre des déclarations obligatoires. Aucune donnée sensible au sens de l'article 8 de la loi du 6 janvier 1978 modifiée ne figure parmi ces informations.
Elle relève également que le projet de décret modifie les dispositions relatives au recouvrement des cotisations et des contributions sociales pour les mettre en conformité avec le dispositif de la DSN.
Elle considère que les données transmises sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées.
Sur la durée de conservation des données

La Commission prend acte que les dispositions du décret de 2013 consolidé s'appliquent aux nouvelles données, et selon les mêmes modalités. Ainsi, l'URSSAF ou la caisse générale de sécurité sociale (pour les salariés relevant du régime général ou des régimes spéciaux cités à l'article L. 711-1 du code de la sécurité sociale) ou la caisse de Mutualité sociale agricole (pour les salariés relevant du régime de la protection sociale agricole) transmettent les informations contenues dans les déclarations des employeurs à la Caisse nationale d'assurance vieillesse des travailleurs salariés (CNAV) et ne les conservent que pendant une durée de trois mois.
La CNAV conserve les données collectées à partir des déclarations sociales pendant cinq ans maximum.
Ainsi que la Commission l'avait indiqué dans sa délibération du 9 octobre 2014, ces durées n'appellent pas d'observations.

Sur les destinataires des données

En phases 1 et 2, la liste des destinataires visait les agents, individuellement désignés et spécialement habilités pour les besoins exclusifs des missions qui leur sont confiées, par :
- la CNAV ;
- les URSSAF ;
- les caisses d'allocations familiales (CAF) ;
- les caisses primaires d'assurance maladie (CPAM), des caisses de Mutualité sociale agricole (CMSA), des Caisses générales de sécurité sociale et des caisses assurance retraite et santé au travail ;
- Pôle emploi ;
- le ministère chargé du travail ;
- les organismes chargés de la gestion d'un régime de retraite complémentaire obligatoire ;
- les organismes chargés de la gestion d'un régime de protection sociale complémentaire ;
- et l'INSEE.
La phase 3 procède à l'intégration, dans la DSN, des principaux destinataires de la DADS-U et élargit le champ d'application de la DSN aux formalités de recouvrement pour les régimes spéciaux. Les destinataires suivants sont désormais ajoutés au III de l'article 4 du décret n° 2013-266 du 28 mars 2013 :
- le ministère chargé du travail est remplacé par le ministère chargé du travail et le ministère chargé de la santé et des affaires sociales ;
- Les organismes chargés de la gestion d'un régime spécial mentionné à l'article L. 711-1 du code de la sécurité sociale ;
- les caisses de congés payés des professions du spectacle mentionnées à l'article L. 3141-30 du code travail ;
- la direction générale des finances publiques (DGFiP) ;
- l'Agence de service et de paiement ;
- la Caisse des dépôts et consignations, gestionnaire du système d'information du compte personnel de formation, mentionné à l'article L. 6323-8 du code du travail.
Les annexes 1 et 2 du projet d'arrêté établissent la liste exhaustive de tous les organismes visés en tant que destinataires dans la DSN.
La Commission prend acte que les données à caractère personnel traitées dans la DSN ne seront transmises qu'aux partenaires ayant signé une convention de partenariat avec le GIP-MDS.
La Commission recommande par ailleurs que les destinataires des données indiquent clairement, le cas échéant lors des nouvelles formalités préalables qu'ils effectueront auprès de la CNIL, s'ils sont susceptibles de réutiliser les données sociales issues de la DSN dans les traitements automatisés de données ayant notamment pour finalité la gestion de la lutte contre la fraude.

Sur l'information des personnes

S'agissant du droit à l'information des personnes concernées, la Commission insiste sur la particulière nécessité de définir les modalités de l'information prévue à l'article 32 de la loi du 6 janvier 1978 modifiée, que les employeurs doivent délivrer aux personnes concernées.
Comme dans ses délibérations de novembre 2012 et d'octobre 2014, la Commission recommande que les salariés soient clairement informés, de manière systématique et individuelle, au moyen, par exemple, d'une information écrite individuelle, d'un courriel ou d'un courrier joint à leur fiche de paie.
Sur ce point, faisant suite à une demande des services de la CNIL, le ministère a indiqué qu'une fiche d'information sur la DSN était mise à disposition des employeurs sur le site web dsn-info.fr et que ces derniers étaient invités à délivrer aux employés concernés toute information utile relativement à la DSN.
Sur les droits d'accès, de rectification et d'opposition des personnes

S'agissant des droits d'accès et de rectification prévus par les articles 39 et 40 de la loi du 6 janvier 1978 modifiée, les portails www.net-entreprise.fr et www.dsn-info.fr précisent auprès de quel organisme gérant les données à caractère personnel issues de la DSN le droit d'accès pourra s'exercer.
Le ministère a indiqué que les salariés concernés pourraient exercer leur droit d'accès auprès de la CNAV, de la CMSA, des CPAM, des CGSS et des organismes proposant des prestations complémentaires, cités dans la catégorie des destinataires des données.
La Commission rappelle que les procédures mises en place doivent permettre, aux personnes concernées, l'exercice effectif de leurs droits d'accès et de rectification auprès des organismes concernés.
La Commission regrette que le service d'assistance téléphonique dédié n'ait pas été créé comme s'y était engagé le ministère dès la création du dispositif, afin d'orienter la personne concernée vers le service approprié pour exercer ses droits.
S'agissant de l'exercice du droit d'opposition par les salariés concernés, le ministère a indiqué faire application du 3ème alinéa de l'article 38 de la loi du 6 janvier 1978 modifiée qui exclut l'exercice de ce droit lorsque le traitement répond à une obligation légale, les employeurs ayant l'obligation légale de procéder à de telles déclarations.
Sur la sécurité des données et la traçabilité des actions

La Commission prend acte que les principales mesures de sécurité restent inchangées.
La Commission salue la mise en œuvre des engagements du ministère, conformément aux recommandations émises dans ses délibérations de novembre 2012 et d'octobre 2014,relatives aux mots de passe utilisés par les administrateurs, à savoir des mots de passe dont la longueur minimale est de 10 caractères, comportant au moins une majuscule, une minuscule, un caractère spécial et un chiffre et modifiés régulièrement.
La Commission relève qu'une analyse des risques de sécurité sur la DSN a été réalisée et transmise à la Commission. Elle rappelle toutefois que l'obligation de sécurité, prévue par l'article 34 de la loi du 6 janvier 1978 modifiée, nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.
Les mesures de sécurité mises en œuvre n'appellent pas d'autres observations.

Le recours à la DSN se généralisant de façon obligatoire pour l'ensemble des employeurs privés du territoire national, la Commission souhaite qu'un bilan détaillé lui soit adressé à l'issue de la 1ère année de la généralisation de la DSN.

La Présidente


I. FALQUE-PIERROTIN




Nature de la délibération: AVIS
Date de la publication sur legifrance: 30 novembre 2016