Délibération n° 2015-421 du 3 décembre 2015 portant avis sur un projet de décret autorisant la création de traitements de données à caractère personnel destinés à la mise en œuvre de la prime d'activité et portant diverses mesures réglementaires (demande d'avis n° 15028617)

JORF n°0303 du 31 décembre 2015
texte n° 382



Délibération n° 2015-421 du 3 décembre 2015 portant avis sur un projet de décret autorisant la création de traitements de données à caractère personnel destinés à la mise en œuvre de la prime d'activité et portant diverses mesures réglementaires (demande d'avis n° 15028617)

NOR: CNIX1532632X
ELI: Non disponible


La Commission nationale de l'informatique et des libertés,
Saisie par le ministère du travail, de l'emploi, de la formation professionnelle et du dialogue social et par le ministère des affaires sociales, de la santé et des droits des femmes d'une demande d'avis relative à un projet de décret autorisant la création de traitements de données à caractère personnel destinés à la mise en œuvre de la prime d'activité et portant diverses mesures réglementaires et impliquant, notamment, la collecte et le traitement de numéros d'inscription des personnes au répertoire national d'identification des personnes physiques ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de la sécurité sociale, notamment le titre IV de son livre VIII ;
Vu le code de l'action sociale et des familles ;
Vu le code du travail ;
Vu la loi n° 2015-994 du 17 août 2015 relative au dialogue social et à l'emploi ;
Vu la loi n° 51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en matière de statistiques, notamment son article 7 bis ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment les dispositions du 1° du I et du 4° du II de son article 27 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu les décrets nos XXX pris pour l'application de la loi n° 2015-994 du 17 août 2015 instaurant la prime d'activité ;
Vu le dossier et ses compléments ;


Après avoir entendu Mme Laurence DUMONT, commissaire, en son rapport et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie par le ministère du travail, de l'emploi, de la formation professionnelle et du dialogue social et par le ministère des affaires sociales, de la santé et des droits des femmes d'une demande d'avis relative à un projet de décret autorisant la création de traitements de données à caractère personnel destinés à la mise en œuvre de la prime d'activité et portant diverses mesures réglementaires.
L'article 1er du projet de décret précise que : « la Caisse nationale des allocations familiales (CNAF) et la Caisse centrale de la mutualité sociale agricole (CCMSA) sont autorisées à créer des traitements de données à caractère personnel qu'elles, ainsi que les caisses d'allocations familiales (CAF) et les caisses de la mutualité sociale agricole (caisses de la MSA), mettent en œuvre pour la gestion et le versement de la prestation sociale dénommée “prime d'activité” prévue par l'article L. 841-1 du code de la sécurité sociale ».
Introduite par les articles 57 à 62 de la loi n° 2015-994 du 17 août 2015 relative au dialogue social et à l'emploi, la prime d'activité consiste à réformer le revenu de solidarité active (RSA) dans sa composante « activité », venant en complément des bas salaires, et la prime pour l'emploi (PPE), consistant en un crédit d'impôt.
La prime d'activité remplacera, à compter du 1er janvier 2016, ces deux prestations jugées peu efficaces par les organismes débiteurs de prestations sociales. Elle sera, de même que les autres prestations, versée à terme échu le 5 de chaque mois. Les premiers versements interviendront le 5 février 2016.
Cette nouvelle prestation est codifiée aux articles L. 841-1 et suivants du code de l'action sociale et des familles et a pour objet d'inciter les travailleurs aux ressources modestes, qu'ils soient salariés ou non salariés, à l'exercice ou à la reprise d'une activité professionnelle et à soutenir leur pouvoir d'achat.
Son attribution est subordonnée à une condition d'âge, à savoir 18 ans. Les jeunes actifs sont éligibles à la prime d'activité en application des règles de droit commun, exception faite des étudiants salariés et des apprentis, pour lesquels l'éligibilité est subordonnée à des règles spécifiques, à savoir pouvoir justifier d'un montant minimal (de rémunération).
D'après les simulations réalisées par la CNAF, et selon les taux de recours retenus, le nombre de foyers bénéficiaires de la prime d'activité au cours d'une année serait de 4 millions, parmi lesquels 700 000 à 1 million de jeunes âgés de 18 à 25 ans.
Dans la mesure où ces traitements automatisés ont vocation à être mis en œuvre par des personnes morales de droit public et portent sur des données parmi lesquelles figurent des numéros d'inscription des personnes au répertoire national d'identification des personnes physiques, il y a lieu de faire application des dispositions prévues au 1° du I de l'article 27 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, qui prévoient que la création du traitement doit intervenir par décret en Conseil d'Etat pris après avis motivé et publié de la commission.
La mise en œuvre de la prime d'activité impliquant la création de plusieurs téléservices, il y a également lieu de faire application des dispositions prévues au 4° du II de l'article 27 de la loi du 6 janvier 1978 modifiée susvisée.
Le décret projeté a en outre vocation à constituer un acte réglementaire unique au sens du III de l'article 27 de la loi du 6 janvier 1978 modifiée. En conséquence, des engagements de conformité devront être adressés à la commission par chaque responsable de traitement, préalablement à leur mise en œuvre.
La création de la prime d'activité implique des adaptations de l'ensemble des traitements mis en œuvre par la CNAF, la CCMSA et les organismes de leurs réseaux respectifs, ainsi que des échanges d'informations avec leurs partenaires. La commission note qu'elle sera informée des modifications des traitements existants et, le cas échéant, saisie de demandes d'avis relatives à des projets d'actes réglementaires modificatifs des traitements nécessitant des adaptations.
La commission relève que l'examen de la présente demande d'avis s'inscrit en relation avec les décrets nos XXX pris pour l'application de la loi du 17 août 2015 instaurant la prime d'activité qui précisent les modalités de fonctionnement de la prime d'activité et tirent les conséquences de la suppression du volet « activité » du RSA.
Sur les finalités des traitements et des téléservices :
Les traitements dont a été saisie la commission pour avis, tels que précisés à l'article 1er du projet de décret, visent à permettre à la CNAF, à la CCMSA, ainsi qu'aux CAF et aux caisses de la MSA de mettre en œuvre la prime d'activité et, à cette fin :
1° L'estimation des droits à la prime d'activité en fonction des informations renseignées par les potentiels demandeurs dans un simulateur ;
2° Grâce à la collecte, à la conservation et au contrôle des informations nécessaires, le calcul du montant de la prime d'activité et son versement ;
3° La gestion individualisée de la relation avec les demandeurs et les bénéficiaires et leur information, par tout moyen à la disposition des organismes chargés de cette mission ;
4° L'utilisation des informations nécessaires au suivi et au traitement des procédures amiables, recours gracieux et actions contentieuses ;
5° L'utilisation des informations nécessaires à la mise en œuvre des actions de prévention et de lutte contre les « fautes, abus et fraudes » ;
6° La production de statistiques anonymes à des fins d'évaluation, de recherche et de pilotage des politiques publiques en matière sociale
7° La réalisation d'enquêtes en vue de l'élaboration de statistiques, d'études et de travaux de recherche sur la prime d'activité.
La commission relève que les notions de « fautes, abus et fraudes » visées au 5° correspondent à des hypothèses d'irrégularités accompagnant les actions des usagers, se distinguant par l'absence d'intention concernant la faute.
La commission estime que la distinction entre ces notions devrait être précisée dans le projet de décret afin de renforcer l'information des personnes concernées. A ce titre, elle souligne que les hypothèses que recoupent les notions d' « abus » et de « fraudes » se confondent en pratique et s'interroge sur l'opportunité de cette distinction. Elle considère en outre que la « faute » caractérisée par une absence d'intention, s'analyse davantage en une « erreur » et que cette modification devrait être apportée dans le projet de décret.
Au regard des attributions des organismes débiteurs de la prime d'activité, la commission considère que ces finalités sont déterminées, explicites et légitimes.
La commission relève par ailleurs que le projet de décret indique en son article 3 que : « conformément à l'article R. 846-1 du code de la sécurité sociale, les demandeurs et les bénéficiaires de la prime d'activité fournissent les informations nécessaires à l'examen de leur situation en utilisant le téléservice prévu à cet effet ou, à défaut, sur leur demande, en déposant le formulaire prévu à cet effet auprès de l'organisme chargé de servir la prime d'activité ».
S'agissant des téléservices de la CNAF :
La CNAF met en œuvre différents téléservices, à savoir :


- un téléservice de demande de la prime d'activité ;
- un téléservice de déclaration trimestrielle de ressources ;
- un téléservice de déclaration de changement de situation.


La commission relève que le téléservice de demande de la prime d'activité s'inscrit dans une logique déclarative en ligne, sur le site internet www.caf.fr. Les données seront pré-renseignées puis validées, le cas échéant après correction, par le demandeur. En cas de résultat positif, cette saisie s'achèvera sur l'affichage du montant de la prime d'activité et de la date du paiement.
Seront concernés par le téléservice de demande de la prime d'activité :


- les allocataires bénéficiaires du RSA « activité » au 31 décembre 2015, éligibles à la prime d'activité, ces derniers seront « basculés » automatiquement dans le dispositif de la prime d'activité dès le 1er janvier 2016 et n'ont pas à réaliser de demande en ligne ;
- les allocataires non bénéficiaires du RSA « activité » et potentiellement éligibles à la prime d'activité, qui pourront être informés de l'ouverture du téléservice de demande et pourront accéder à celui-ci via leur espace personnel sécurisé. Dans ce cas, la demande est pré-remplie avec des données issues de leur dossier allocataire ;
- les primo-demandeurs non allocataires potentiellement éligibles à la prime d'activité :
- certains d'entre eux auront réalisé une simulation fin 2015 et une partie de leurs données aura été conservée pour être « pré-chargée » dans leur demande en ligne de prime d'activité. A l'issue de leur demande en ligne, ils seront automatiquement immatriculés et un mot de passe initial provisoire, qu'ils seront obligés de modifier dès leur première connexion, leur sera transmis et leur donnera accès à leur espace personnel ;
- les autres primo-demandeurs, qui n'auront pas utilisé le simulateur anticipé ;
- les personnes ne pouvant prétendre au bénéfice de la prime d'activité à l'issue de leur demande.


Le téléservice de déclaration trimestrielle de ressources a vocation à permettre aux bénéficiaires de la prime d'activité de déclarer régulièrement leurs ressources, en ligne, pour le trimestre de référence concerné. Ce téléservice est accessible aux allocataires à partir de leur espace personnel sécurisé « Mon compte », accessible depuis le site internet ou l'application mobile dédiés.
La commission note que des campagnes de sensibilisation par courriel seront déployées afin d'inviter les personnes à réaliser en ligne une demande de prime d'activité, pour déclarer leurs ressources chaque trimestre et pour les informer de leurs droits. Concernant plus particulièrement la déclaration trimestrielle de ressources, outre le recours aux courriels, un rappel pourra être fait aux bénéficiaires au moyen de SMS, ainsi que d'informations injectées dans l'application mobile.
S'agissant des simulateurs de la CNAF :
La commission observe en outre que la CNAF mettra en œuvre un simulateur anticipé temporaire entre le mois de novembre 2015 et début janvier 2016, ainsi qu'un simulateur permanent, dès l'ouverture du téléservice de demande de la prime d'activité au mois de janvier 2016. Ces simulateurs seront disponibles sur son site internet et, concernant le simulateur permanent, également à partir de l'espace personnel sécurisé « Mon compte » des allocataires. Ces simulateurs auront pour objectif de :


- permettre au public de savoir s'il est éligible à cette nouvelle prestation et, dans l'affirmative, de disposer du montant indicatif de la prime, sans avoir à solliciter les CAF ;
- « qualifier » la situation de la personne intéressée (allocataire non bénéficiaire du RSA, allocataire bénéficiaire du RSA, non allocataire ou « primo-demandeur ») avant qu'elle ne fasse une demande en ligne, sur la base d'informations déjà connues par la CNAF.


Les simulateurs exigent que l'internaute réponde à un enchaînement de questions et fournisse des informations le concernant ainsi relatives aux autres membres de son foyer.
Les données à caractère personnel renseignées lors de la simulation aboutissant à un résultat favorable quant à la demande de prime d'activité peuvent être injectées dans le téléservice de demande de la prime d'activité et être utilisées si la demande est réalisée dans la foulée, et seront purgées du simulateur. En revanche, si la simulation donne un résultat défavorable, le traitement s'achève et aucune donnée ne sera conservée dans le simulateur, ni injectée dans une base.
Dans le cas particulier des primo-demandeurs éligibles à la prime d'activité, il leur est proposé de communiquer quelques informations et d'être contactés par courriel en janvier 2016, dès l'ouverture du téléservice.
Les demandeurs qui le souhaiteraient, et qui se connecteraient au téléservice à la suite d'une diffusion de courriels réalisée par la CNAF en janvier 2016, certaines données saisies par eux lors de leur simulation anticipée seraient préchargées dans la demande, avec la possibilité de modifier et corriger celles-ci avant validation.
S'agissant des téléservices et du simulateur de la CCMSA :
La CCMSA propose depuis le ler novembre 2015 un simulateur ou « test d'éligibilité ». Il s'agira plus concrètement d'un lien sur le site internet www.msa.fr, permettant de rediriger les internautes vers le simulateur anticipé temporaire de la CNAF. Une adaptation du simulateur de la CNAF aux besoins des publics de la CCMSA est étudiée, mais n'interviendrait, le cas échéant, qu'à partir du 1er janvier 2016.
La CCMSA mettra par ailleurs à disposition de ses adhérents à partir du 1er janvier 2016, dans l'espace privé, accessible depuis leur compte personnel sur leur site internet, les téléservices suivants :


- un téléservice unique « prime d'activité », qui permettra à l'internaute :
- d'avoir une estimation de son droit, à partir d'un calcul effectué sur la base des informations déclarées par celui-ci et des données déjà détenues par la CCMSA ;
- de déposer sa demande de prime d'activité ;
- de saisir ses ressources au dépôt de la demande et lors de la révision trimestrielle ;
- un téléservice de déclaration de « changement de situation familiale ou professionnelle », existant et déjà en production.


La commission rappelle que le développement de la dématérialisation des services offerts par les organismes débiteurs de la prime d'activité doit avoir pour objectif de mettre en place des outils de simplification des démarches administratives et d'amélioration des relations avec les usagers. La mise en œuvre des différents téléservices ne doit cependant pas avoir pour effet d'exclure des usagers ne disposant pas d'un accès internet, en particulier en fournissant une possibilité d'accomplir des démarches sur place ou via d'autres canaux d'échanges tels que des formulaires papiers. A ce titre, elle observe, au regard des éléments complémentaires qui lui ont été transmis, le caractère obligatoire de l'adresse électronique du demandeur de la prime d'activité, au stade du téléservice permettant la réalisation de la demande.
Le choix d'imposer le renseignement d'une adresse électronique pourrait être justifié par un besoin de vérification de la fiabilité des informations relatives aux demandeurs. Elle estime toutefois qu'un autre besoin ne doit pas conduire à exclure du bénéfice de cette prestation les demandeurs qui ne disposeraient pas ou ne souhaiteraient pas disposer d'une adresse électronique.
Sous cette réserve, la commission estime que les finalités poursuivies par ces traitements destinés à la mise en œuvre de la prime d'activité ainsi que celles nécessitant la mise en œuvre des téléservices de la CNAF et de la CCMSA précités sont déterminées, explicites et légitimes.
Sur la nature des données traitées :
L'article 2 du projet de décret soumis à la commission liste les données utilisées par les traitements dont les finalités sont listées à l'article 1er.
Ces données sont les suivantes :
I. - Les données relatives au demandeur ou bénéficiaire de la prime d'activité et aux autres membres de son foyer :
1° Leurs données d'identification :
a) Le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) ou, pour les personnes en instance d'attribution d'un numéro d'inscription au répertoire national d'identification des personnes physiques, un numéro identifiant d'attente (NIA) ;
b) Les nom de famille, nom d'usage, prénoms ;
c) Le sexe ;
d) La date et le lieu de naissance et, le cas échéant, la date de décès ;
e) La nationalité, si cette information est nécessaire à l'application d'une convention bilatérale, ou qualité de ressortissant d'un pays membre de l'Espace économique européen, dont la France, ou de la Confédération helvétique, ou d'un pays non membre de l'Espace économique européen ;
f) Le justificatif de pièce d'identité ou de titre de séjour et les informations relatives à la validité de celui-ci ;
g) Pour les personnes nées à l'étranger, les données de filiation ;
h) Pour les personnes ayant résidé à l'étranger, la date d'entrée en France ;
i) Pour les demandeurs et bénéficiaires de la prime d'activité également allocataires de la branche famille du régime général, le numéro d'allocataire.
2° Les informations relatives à leur lieu d'habitation et coordonnées :
a) L'adresse postale du demandeur ou bénéficiaire de la prime d'activité, celle de son conjoint, concubin ou partenaire lié par un PACS si elle est différente et celle des enfants et autres membres du foyer ;
b) La date d'installation du demandeur ou bénéficiaire à l'adresse mentionnée au a et le mode d'occupation (propriété, location, colocation, sous-location) ;
c) Le montant du loyer, du remboursement du prêt immobilier ou l'indication de l'occupation du logement à titre gratuit ;
d) L'adresse électronique du demandeur ou bénéficiaire de la prime d'activité et ses numéros de téléphone.
3° Les informations relatives à la situation familiale du demandeur ou bénéficiaire de la prime d'activité et de son conjoint, concubin ou partenaire lié par un PACS à la date de la demande et durant les trois mois précédant l'examen ou la révision du droit à la prime d'activité :
a) La situation conjugale (marié, pacsé, célibataire, séparé, veuf/veuve) et sa date de début ;
b) En cas de grossesse en cours, la déclaration de grossesse et la date de passage du premier examen prénatal ;
c) Le nombre d'enfants ou autres personnes de moins de vingt-cinq ans à charge au sens du 3° de l'article R. 842-3 du code de la sécurité sociale et leurs dates d'arrivée et de départ du foyer.
4° Les informations relatives à la situation professionnelle du demandeur ou bénéficiaire de la prime d'activité, de son conjoint, concubin ou partenaire lié par un PACS et des enfants et autres membres du foyer à la date de la demande et durant les trois mois précédant l'examen ou la révision du droit à la prime d'activité.
5° Les informations relatives aux ressources du demandeur ou bénéficiaire de la prime d'activité, de son conjoint, concubin ou partenaire lié par un PACS et des enfants et autres personnes à charge composant le foyer :
a) Salaires, indemnités (maternité, paternité, adoption, maladie), rémunérations (stage de la formation professionnelle), revenus des non-salariés, allocations chômage, pensions alimentaires, pensions de retraite, rentes, perçus durant les trois mois civils précédant l'examen ou la révision du droit ;
b) Revenus professionnels imposables des non-salariés de l'avant-dernière année précédant celle au cours de laquelle le droit à l'allocation est examiné ou révisé, ou de la dernière année s'ils sont connus ;
c) Ressources imposables du patrimoine de l'avant-dernière année civile précédant l'examen ou la révision du droit.
6° Les autres informations nécessaires à l'instruction de la demande de prime d'activité et à son versement :
a) Un relevé d'identité bancaire du demandeur ,
b) Le ou les régimes de sécurité sociale d'appartenance du demandeur ou bénéficiaire de la prime d'activité, de son conjoint, concubin ou partenaire lié par un PACS et des enfants ou autres personnes à charge constituant le/appartenant au foyer ;
c) En cas d'hospitalisation du demandeur ou bénéficiaire, date de début et date de fin d'hospitalisation ;
d) En cas de détention du demandeur ou bénéficiaire ou de son conjoint, concubin ou partenaire lié par un PACS, date de début et, le cas échéant, de fin de détention ;
e) Le cas échéant, la justification de la situation de réfugié ou d'apatride ;
f) En cas de séjour hors de France, dates d'entrée et de sortie du territoire.
II. - Les données relatives à la gestion et au suivi de la prime d'activité, notamment les informations relatives à l'existence d'un recours amiable ou contentieux relatif à une demande de prime d'activité et les données de traçabilité relatives aux accès aux traitements mentionnés à l'article 1er par les agents des organismes chargés de servir la prime d'activité.
S'agissant de la collecte des données de filiation pour les personnes nées à l'étranger, la commission relève que ces derniers doivent avoir un titre de séjour autorisant le travail depuis au moins cinq ans, avec des dérogations pour les ressortissants de l'Union européenne notamment, en vertu des dispositions du 2° de l'article L. 842-2 du code de la sécurité sociale.
Interrogés sur la nature des informations collectées afin d'établir la filiation des personnes nées à l'étranger, les responsables de traitement indiquent à la commission que celles-ci sont relatives à l'identité des parents (nom et prénom) des demandeurs ou bénéficiaires nés à l'étranger et sont présentes sur les actes de naissance de ces derniers.
Ces informations sont nécessaires aux organismes débiteurs dans le cadre de la procédure d'immatriculation et serviront à éviter les risques de confusions en cas d'homonymie.
La commission considère que ces données sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.
Sur l'origine des données et les modes d'alimentation des traitements :
Les traitements mis en œuvre par la CNAF et la CCMSA pour la gestion et le versement de la prime d'activité sont alimentés par :


- les données issues de la déclaration sociale nominative créée par l'article L. 133-5-3 du code de la sécurité sociale, lorsqu'elles y figurent ;
- les informations utiles transmises par la DGFIP et par tout organisme de protection sociale les détenant aux organismes débiteurs de la prime d'activité ;
- les informations fournies par le demandeur ou le bénéficiaire de la prime d'activité, nécessaires à l'examen de leur situation.


Ces modes d'alimentation des traitements n'appellent pas d'observation de la commission.
Sur les destinataires des données et les personnes habilitées :
L'article 4 du projet de décret examiné par la commission précise qu'ont accès aux données mentionnées à l'article 2, dans la limite de leur besoin d'en connaître, les agents de la CNAF, des CAF et de la CCMSA dont les missions le justifient, individuellement désignés et dûment habilités par le directeur de leur organisme.
Tel que précisé par cet article du projet de décret, sont par ailleurs destinataires des données des traitements, dans la stricte limite des informations dont ils ont à connaître au regard de leurs missions, les agents habilités par l'autorité compétente :


- de la Caisse nationale de l'assurance maladie des travailleurs salariés (CNAMTS), pour la détection des potentiels bénéficiaires de la couverture maladie universelle complémentaire (CMU-C) et de l'aide à l'acquisition d'une complémentaire santé (ACS) ;
- de l'institution mentionnée à l'article L. 5312-1 du code du travail, pour la gestion des inscriptions et radiations de la liste des demandeurs d'emploi ;
- des services de l'Etat compétents, pour leurs propres travaux d'évaluation et leur participation à la certification des comptes de l'Etat ;
- des organismes, des collectivités territoriales et de leurs groupements, des établissements publics, des services et des entreprises servant des prestations sociales ou avantages sociaux et pour lesquels certaines informations relatives à la prime d'activité sont nécessaires.


Le projet de décret prévoit en outre que, conformément aux dispositions de l'article 7 bis de la loi du 7 juin 1951, les services statistiques du ministère chargé de l'emploi, du ministère chargé de l'action sociale et du ministère chargé de la sécurité sociale sont destinataires des données mentionnées à l'article 2, à l'exception des nom, prénoms et jour de naissance des personnes et des données prévue au a du 6° du I du décret projeté.
La commission constate que ces services auront ainsi accès au numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) ou, pour les personnes en instance d'attribution d'un numéro d'inscription au répertoire national d'identification des personnes physiques, à un numéro identifiant d'attente (NIA). Il a été indiqué à la commission que cet accès permettrait aux services statistiques des ministères concernés de mener plus rapidement des enquêtes qualitatives ou quantitatives auprès des bénéficiaires de la prime d'activité, ou de mener des enquêtes sur une population plus large, en cherchant à sur-échantillonner les bénéficiaires de la prime d'activité. Ces enquêtes s'inscriront dans le cadre du programme d'évaluation de la prime d'activité, dont le principe est introduit à l'article 61 de la loi n° 2015-994 du 17 août 2015 instituant la prime d'activité.
La commission rappelle néanmoins qu'elle demeure très attentive aux risques qu'induit pour les libertés l'utilisation extensive d'un identifiant national particulièrement signifiant tel que le numéro de sécurité sociale. Elle recommande, en conséquence, la mise en œuvre d'un hachage avec clef secrète, dès lors que cette mesure permettrait de conserver une traçabilité, tout en réduisant les risques pesant sur les individus du fait du caractère particulièrement stable et signifiant de cet identifiant.
Par ailleurs, l'attention de la commission a été appelée sur le fait que les données de filiation pour les personnes nées à l'étranger ne sont pas nécessaires aux services statistiques. Elle estime en conséquence que le dernier paragraphe de l'article 4 du projet de décret devrait être modifié en ajoutant ces informations à celles ne devant pas être connues de ces services.
Sous cette réserve, la commission considère que ces destinataires présentent un intérêt légitime à accéder aux données du présent traitement.
Elle rappelle, à toutes fins utiles, que le sous-traitant de la CNAF intervenant dans le cadre de la diffusion des courriels invitant les allocataires à réaliser la déclaration de revenus trimestriels ne peut agir que sur instruction du responsable de traitement qui n'est pas dispensé de son obligation de veiller au respect des mesures de sécurité qui lui sont imposées par l'article 34 de la loi du 6 janvier 1978 modifiée. Le sous-traitant doit par ailleurs présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité, et le contrat établi entre les parties doit comporter l'indication des obligations incombant au sous-traitant en matière de sécurité des données à caractère personnel.
Sur la durée de conservation des données :
Le projet de décret mentionne que les données mentionnées à l'article 2 sont conservées pendant une durée maximale de six ans suivant l'année de la demande de la prime d'activité ou de la fin de la relation avec le bénéficiaire de la prime, ou jusqu'à l'intervention d'une décision définitive en cas de contentieux.
Il a été indiqué à la commission que le choix de cette durée de six ans pour la conservation des données est justifié au regard des dispositions de l'article L. 122-3 du code de la sécurité sociale, selon lequel les agents comptables d'un organisme de sécurité sociale peuvent être mis en cause dans leur responsabilité personnelle et pécuniaire pendant six ans. Plus précisément, il est prévu que « le premier acte de la mise en jeu de la responsabilité ne peut intervenir au-delà du 31 décembre de la sixième année suivant l'exercice comptable en cause ». Les agents comptables des organismes de sécurité sociale sont responsables des prestations versées. La conservation des informations pendant six ans doit ainsi permettre d'apporter une justification concernant les hypothèses de prestations qui ne seraient pas versées.
Le projet de décret prévoit par ailleurs que les données d'identification des agents ayant accédé aux données du traitement sont conservées pendant une durée maximale d'un an après leur connexion au traitement.
Pour répondre à la finalité mentionnée au 5° de l'article 1er, à savoir l'utilisation des informations nécessaires à la mise en œuvre des actions de prévention et de lutte contre les fautes, abus et fraudes, les données peuvent être conservées, et liées à un numéro d'anonymat, dans un environnement logique séparé, distinct du traitement permettant la gestion de la prime d'activité.
La commission observe que le dossier présenté en complément de la demande d'avis indique que la CCMSA conserve les données injectées dans le système pendant cinq ans, conformément aux dispositions de l'article 2224 du code civil, lequel dispose que : « les actions personnelles ou mobilières se prescrivent par cinq ans à compter du jour où le titulaire d'un droit a connu ou aurait dû connaître les faits lui permettant de l'exercer ».
Si le projet de décret identifie uniquement les durées de conservation maximales, la commission estime néanmoins que la précision de cette durée de conservation des données injectées dans le système de la CCMSA pendant une durée de cinq ans dans le projet de décret, serait de nature à améliorer l'information des usagers.
Elle rappelle que des données à caractère personnel, en application des dispositions du 5° de l'article 6 de la loi du 6 janvier 1978 modifiée ne peuvent être conservées sous une forme permettant l'identification des personnes concernées que pour une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles les données sont collectées et traitées.
Dès lors, les organismes débiteurs de la prime d'activité devront impérativement veiller à ce que les données à caractère personnel collectées et traitées par l'intermédiaire du traitement en cause ne soient pas conservées au-delà des durées nécessaires à l'accomplissement des finalités mentionnées à l'article 1er du projet de décret.
Par ailleurs, dans le cadre des téléservices de l'administration, les informations reçues à distance ne peuvent être stockées que le temps nécessaire à la transmission vers le service concerné sans donner lieu à la constitution d'une nouvelle base de données. Dès lors, elle invite les organismes débiteurs de la prime d'activité à ne conserver les données que le temps nécessaire à la transmission des données vers les applicatifs métiers.
A toutes fins utiles, la commission précise que les données concernées, à l'expiration de ces périodes, doivent être supprimées de manière sécurisée ou archivées à titre définitif, dans des conditions définies en conformité avec les dispositions du code du patrimoine relatives aux obligations d'archivage des informations du secteur public.
Sur l'information et les droits d'accès, de rectification et d'opposition des personnes :
L'article 6 du projet de décret indique que les personnes concernées par le traitement examiné par la commission sont informées, conformément à l'article 32 de la loi du 6 janvier 1978 modifiée, par tout moyen adapté, de la finalité poursuivie par le traitement, de l'identité de son responsable et des catégories de destinataires des données. Elles sont également informées du fait qu'en cas de refus de leur part de communiquer leurs données personnelles nécessaires au traitement, leur droit à la prime d'activité ne peut être instruit et qu'elles ne peuvent alors prétendre à son bénéfice.
Les personnes auxquelles les données mentionnées à l'article 2 se rapportent sont informées des modalités d'exercice de leurs droits d'accès et de rectification des données les concernant par une information figurant sur les sites internet respectifs de la CNAF et de la MSA, ainsi que dans le formulaire CERFA et le téléservice de demande de prime d'activité.
Le dossier apporté en complément de la demande d'avis indique également qu'une diffusion de l'information aura lieu au moyen des notifications adressées aux personnes par leur CAF de rattachement, à l'ouverture et à la fin du droit.
Les demandeurs et bénéficiaires de la prime d'activité peuvent exercer leurs droits d'accès et de rectification des données, prévus aux articles 39 et 40 de la loi n° 78-17 du 6 janvier 1978 modifiée susvisée, auprès du directeur de l'organisme chargé de servir la prime d'activité auquel ils sont rattachés.
Les agents des organismes chargés de servir la prime d'activité sont informés des modalités d'exercice de leur droit d'accès aux données les concernant par leur employeur.
Enfin, la commission prend acte de ce que le projet de décret exclut l'exercice du droit d'opposition pour des motifs légitimes en application des dispositions de l'article 38, alinéa 3, de la roi du 6 janvier 1978 modifiée qui dispose que ce droit ne s'applique pas « lorsque le traitement répond à une obligation légale ou lorsque l'application de ces dispositions a été écartée par une disposition expresse de l'acte autorisant le traitement ».
La commission considère que ces modalités d'information et d'exercice des droits d'accès et de rectification des personnes sont satisfaisantes.
S'agissant des modalités d'exercice de ces droits, la commission estime qu'il serait opportun, dans la mesure où les organismes débiteurs de la prime d'activité s'engagent dans un processus de dématérialisation de leurs services, de privilégier la possibilité pour les demandeurs et les bénéficiaires de la prime d'activité, d'exercer leurs droits par voie dématérialisée, en particulier à partir des téléservices proposés.
Sur la sécurité des données et la traçabilité des actions :
Le serveur hébergeant les fichiers de données à caractère personnel est implanté dans un local sécurisé dont les accès sont contrôlés. De plus, les locaux techniques sont accessibles au seul personnel habilité du Centre informatique national, par zones de sécurité, en fonction des droits dont il dispose. La sécurité de ces zones est assurée par lecture de badges magnétiques.
Les architectures réseaux sont pourvues d'équipements classiques de type firewalls et serveurs proxy. Une architecture haute disponibilité a été mise en œuvre pour ces plates-formes. Ces matériels, y compris les postes de travail, sont dotés d'antivirus mis à jour automatiquement et quotidiennement.
L'application n'est pas accessible par internet, ni au moyen d'un extranet. L'application n'utilise pas de messagerie internet.
Seules les personnes des organismes ainsi que les membres du département de la gestion centralisée sont directement habilités, par leur directeur, à accéder aux informations.
L'accès aux systèmes d'information est strictement réservé aux utilisateurs internes au travers d'un réseau privé d'entreprise. L'accès à chaque serveur et aux applications hébergées est soumis obligatoirement à un mécanisme d'authentification s'appuyant sur le couple « identifiant/mot de passe » avec des règles de renouvellement et de structure strictes.
Les responsables d'applications, en relation avec l'administrateur, associent des profils d'habilitations à des groupes d'utilisateurs identifiés. Par plate-forme, un administrateur central de sécurité effectue lui-même le paramétrage de ces habilitations, ou délègue ces tâches aux administrateurs régionaux selon la hiérarchie des contrôles d'habilitation demandée. Cet administrateur central dispose de moyens d'audit et de contrôle pour vérifier la bonne qualité de l'ensemble de ces informations. Des garde-fous existent pour se prémunir d'une erreur de manipulation dans l'attribution des profils.
Les mesures de sécurité décrites par les responsables de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée.
La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.
La commission rappelle par ailleurs que, conformément aux dispositions du décret n° 2010-112 du 2 février 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, les téléservices envisagés doivent se conformer aux exigences prévues dans le référentiel général de sécurité (RGS).
Sur les dispositions modifiant le code de l'action sociale et des familles et le code du travail :
La commission relève que les dispositions modifiant le code de l'action sociale et des familles et le code du travail introduites à l'article 8 du projet de décret n'appellent pas d'observation particulière de sa part, dès lors qu'il ne s'agit que de modifications rédactionnelles mineures.


La présidente,

I. Falque-Pierrotin