Décret n° 2017-334 du 14 mars 2017 relatif aux traitements de données à caractère personnel pour la mise en œuvre des échanges d'informations entre organismes de sécurité sociale en vue de prévenir la perte d'autonomie des personnes âgées




Décret n° 2017-334 du 14 mars 2017 relatif aux traitements de données à caractère personnel pour la mise en œuvre des échanges d'informations entre organismes de sécurité sociale en vue de prévenir la perte d'autonomie des personnes âgées

NOR: AFSS1631536D
Version consolidée au 16 août 2017


Le Premier ministre,
Sur le rapport de la ministre des affaires sociales et de la santé,
Vu le code de la sécurité sociale, notamment son article L. 115-2-1 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié, pris pour l'application de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu l'avis de la Caisse nationale de l'assurance maladie des travailleurs salariés en date du 25 octobre 2016 ;
Vu l'avis de la Caisse nationale des allocations familiales en date du 8 novembre 2016 ;
Vu l'avis de la Caisse nationale d'assurance vieillesse des travailleurs salariés en date du 9 novembre 2016 ;
Vu l'avis de la Commission nationale de l'informatique et des libertés en date du 12 janvier 2017 ;
Le Conseil d'Etat (section sociale) entendu,
Décrète :

Est autorisée la mise en œuvre, par les caisses d'assurance retraite et de la santé au travail (CARSAT), la Caisse nationale d'assurance vieillesse des travailleurs salariés (CNAVTS) et les caisses générales de sécurité sociale (CGSS) des départements d'outre-mer, de traitements de données dénommés " échanges d'informations pour la prévention de la perte d'autonomie ". Ces traitements ont pour finalité la prévention de la perte d'autonomie des personnes de cinquante-cinq ans et plus grâce à un accès facilité aux prestations et avantages sociaux servis par les organismes chargés de la gestion d'un régime obligatoire de sécurité sociale, ainsi qu'à leur offre de services de proximité adaptés à une population ciblée en raison de son risque de perte d'autonomie précoce.

Ces traitements ont également pour finalité de réaliser des statistiques destinées à suivre l'évolution de la situation des assurés concernés et à mesurer l'efficacité des actions de prévention qui leur sont proposées.

Les traitements autorisés par l'article 1er peuvent porter sur les catégories de données suivantes :

1° Les données d'identification de l'assuré :

a) Le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) de chaque assuré social et, le cas échéant, celui ou ceux qui lui auraient été précédemment attribués ou, pour les personnes en instance d'attribution d'un numéro d'inscription au répertoire national d'identification des personnes physiques, un numéro identifiant d'attente (NIA) attribué par la Caisse nationale d'assurance vieillesse des travailleurs salariés à partir des données d'état civil, pour l'ensemble des organismes ;

b) Le nom de famille, le nom d'usage, les prénoms ;

c) Le sexe ;

d) L'année de naissance ;

e) Le code INSEE de la commune, les adresses postale et électronique et le numéro de téléphone ;

2° Les données relatives à la situation familiale de l'assuré : marié, partenaire d'un pacte civil de solidarité, concubin, séparé, divorcé, veuf, célibataire ;

3° Les données relatives aux droits à l'assurance maladie et à l'accès aux soins :

a) Le bénéfice de la couverture maladie universelle complémentaire ou de l'aide au paiement d'une complémentaire santé ;

b) L'adhésion à un organisme d'assurance maladie complémentaire ;

c) L'existence sur les douze derniers mois d'une ou plusieurs hospitalisations, leur date et leur durée, et les modes de traitement au sens retenu pour la tarification de la sécurité sociale ;

d) L'existence d'un accident du travail ou d'une maladie professionnelle dans les douze derniers mois ;

e) Le bénéfice sur les douze derniers mois d'indemnités journalières de plus de quatre-vingt-dix jours ;

f) La reconnaissance en affection de longue durée ;

g) L'absence sur les douze derniers mois de montants remboursés d'actes, prestations, médicaments ou produits de santé ;

h) L'absence de médecin traitant déclaré ;

4° Les données relatives aux droits et prestations en matière de retraite :

a) Le bénéfice d'une pension d'invalidité ;

b) Une inaptitude au travail ;

c) Le bénéfice d'une pension de réversion ;

d) Le bénéfice d'un des minima vieillesse ;

e) Le bénéfice du minimum contributif ;

5° Les données relatives aux droits et prestations servies par les organismes débiteurs des prestations familiales :

a) Le bénéfice d'aides au logement ;

b) Le bénéfice de l'allocation adulte handicapé ;

c) Le bénéfice du revenu de solidarité active ;

d) Le bénéfice de la prime d'activité ;

6° En matière de prestations d'action sociale, les données relatives au bénéfice d'une aide au retour à domicile après hospitalisation ;

7° Les autres données relatives à des facteurs de risque de perte d'autonomie précoce :

a) Le bénéfice d'une exonération de la contribution sociale généralisée ;

b) L'inscription à Pôle emploi ;

c) Le nombre total de trimestres cotisés ;

d) Le bénéfice de pensions de retraite versées par différents régimes ;

e) La date d'entrée en jouissance de la pension de retraite ;

f) La date de paiement de la pension de retraite ;

g) Le montant de base annuelle des ressources du foyer ;

h) Le montant de base annuelle des ressources par unité de consommation ;

8° Les données de gestion, notamment celles permettant d'assurer la traçabilité des actions effectuées dans le traitement.

Lorsque l'un des organismes chargés de la gestion d'un régime obligatoire de sécurité sociale mentionnés à l'article L. 115-2-1 du code de la sécurité sociale souhaite proposer un service à destination d'assurés sociaux susceptibles de présenter un risque de perte d'autonomie, cet organisme sélectionne dans ses bases de données les personnes à identifier en raison des facteurs de risque de perte d'autonomie précoce qu'elles présentent dans son domaine de compétence.

Il transmet au service dénommé observatoire régional des situations de fragilité de l'organisme mentionné à l'article 1er territorialement compétent la liste de ces personnes et leurs facteurs de risques de perte d'autonomie ainsi que celle des autres informations les concernant dont il souhaite avoir connaissance pour identifier au mieux les personnes susceptibles d'être intéressées par le service qu'il souhaite proposer.

A partir des données mentionnées au 1° de l'article 2, l'observatoire régional des situations de fragilité sollicite chacun des autres organismes chargés de la gestion d'un régime obligatoire de sécurité sociale mentionnés à l'article L. 115-2-1 du code de la sécurité sociale détenant les informations dont l'organisme demandeur mentionné au premier alinéa souhaite avoir connaissance.

Lorsque les organismes sollicités par l'observatoire régional des situations de fragilité lui ont communiqué les informations demandées, celui-ci les transmet à l'organisme demandeur.

A partir des informations complémentaires ainsi reçues, l'organisme demandeur identifie les personnes les plus susceptibles de présenter un risque de perte d'autonomie précoce que le service qu'elle offre peut contribuer à prévenir et les contacte pour leur proposer d'en bénéficier.

Ont accès aux données mentionnées à l'article 2 les agents des observatoires régionaux des situations de fragilité des caisses mentionnées au premier alinéa de l'article 1er, chargés en leur sein de la mise en œuvre des traitements prévus au même alinéa.

Sont destinataires des seules données mentionnées à l'article 2 strictement nécessaires à l'exercice de leurs missions, dans la limite du besoin d'en connaître, les agents nommément désignés et habilités par l'autorité compétente des organismes chargés de la gestion d'un régime obligatoire de sécurité sociale mentionnés à l'article L. 115-2-1 du code de la sécurité sociale.

Ont accès aux données mentionnées à l'article 2, à l'exception de celles mentionnées aux a, b et e du 1°, les agents des observatoires régionaux des situations de fragilité des caisses d'assurance retraite et de la santé au travail exerçant des fonctions statistiques.

Les données mentionnées à l'article 2 sont conservées par l'observatoire régional des situations de fragilité le temps nécessaire pour répondre à l'organisme demandeur mentionné au premier alinéa de l'article 3, et au plus trente jours. Elles sont conservées par l'organisme demandeur précité pendant une durée maximale de vingt-quatre mois afin de lui permettre de suivre l'évolution de la situation des assurés concernés.

Pour la finalité mentionnée au deuxième alinéa de l'article 1er, les données mentionnées à l'article 2, à l'exception de celles mentionnées aux a, b et e du 1°, peuvent être conservées par l'observatoire régional des situations de fragilité dans un environnement logique séparé pendant une durée maximale de cinq ans.

Les personnes auxquelles les données mentionnées à l'article 2 se rapportent sont informées de l'existence et de la mise en œuvre des traitements autorisés par l'article 1er ainsi que des modalités d'exercice de leurs droits d'accès et de rectification des données les concernant par la diffusion d'une information sur les sites internet respectifs des organismes chargés de la gestion d'un régime obligatoire de sécurité sociale.

Les droits d'accès et de rectification des données, prévus aux articles 39 et 40 de la loi n° 78-17 du 6 janvier 1978 susvisée, s'exercent auprès du directeur de celle des caisses mentionnées au premier alinéa de l'article 1er à laquelle la personne concernée est rattachée, ou, pour les personnes dont la retraite est gérée par un autre régime, de celle de ces caisses dans le ressort de laquelle se situe leur domicile.

Le droit d'opposition prévu par l'article 38 de la loi du 6 janvier 1978 susvisée ne s'applique pas aux traitements dont la création est autorisée par l'article 1er du présent décret.


Conformément aux dispositions de l'article 34 de la loi du 6 janvier 1978 susvisée, les responsables des traitements prennent les mesures nécessaires pour préserver la sécurité des données tant à l'occasion de leur recueil que de leur consultation, de leur communication ou de leur conservation.


En application des dispositions du IV de l'article 26 de la loi du 6 janvier 1978 susvisée, le responsable de chacun des traitements de données autorisés sur le fondement du présent décret adresse à la Commission nationale de l'informatique et des libertés, préalablement à sa mise en œuvre, un engagement de conformité aux dispositions du présent décret dans les conditions fixées à l'article 8 du décret du 20 octobre 2005 susvisé.


La ministre des affaires sociales et de la santé et la secrétaire d'Etat chargée des personnes âgées et de l'autonomie sont chargées, chacune en ce qui la concerne, de l'exécution du présent décret, qui sera publié au Journal officiel de la République française.


Fait le 14 mars 2017.


Bernard Cazeneuve

Par le Premier ministre :


La ministre des affaires sociales et de la santé,

Marisol Touraine


La secrétaire d'Etat chargée des personnes âgées et de l'autonomie,

Pascale Boistard