Délibération n° 2016-294 du 29 septembre 2016 portant avis sur un projet de décret portant création, par la direction de la sécurité sociale, du « Répertoire de gestion des carrières unique » (demande d'avis n° 1932021)

JORF n°0052 du 3 mars 2018
texte n° 56



Délibération n° 2016-294 du 29 septembre 2016 portant avis sur un projet de décret portant création, par la direction de la sécurité sociale, du « Répertoire de gestion des carrières unique » (demande d'avis n° 1932021)

NOR: CNIX1805882X
ELI: Non disponible


La Commission nationale de l'informatique et des libertés,
Saisie par la direction de la sécurité sociale d'une demande d'avis relative à la mise en œuvre d'un traitement de données à caractère personnel ayant pour finalité la création du Répertoire de gestion des carrières unique ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de la sécurité sociale, notamment ses articles L. 161-17-1-2 et L. 114-12 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment les dispositions du 1° du I de son article 27 ;
Vu la loi n° 84-575 du 9 juillet 1984 portant diverses dispositions d'ordre social, notamment son article 1er ;
Vu la loi n° 2010-1330 du 9 novembre 2010 portant réforme des retraites et notamment son article 9 ;
Vu la loi n° 2014-40 du 20 janvier 2014 garantissant l'avenir et la justice du système de retraites ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Après avoir entendu Mme Laurence DUMONT, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie par la direction de la sécurité sociale, rattachée au ministère des affaires sociales, de la santé et des droits des femmes et au ministère des finances et des comptes publics, d'une demande d'avis relative à la mise en œuvre, par la Caisse nationale d'assurance vieillesse des travailleurs salariés (CNAV), du Répertoire de gestion des carrières unique (RGCU).
Dans la mesure où ce traitement automatisé a vocation à être mis en œuvre par une personne morale de droit public et qu'il porte sur des données parmi lesquelles figure le numéro d'inscription des personnes au Répertoire national d'identification des personnes physiques (NIR), il y a lieu de faire application des dispositions prévues à l'article 27-I (1°) de la loi du 6 janvier modifiée, prévoyant que la création du traitement doit intervenir par décret en Conseil d'Etat pris après avis motivé et publié de la commission.
Sur les finalités du traitement :
La loi du 9 janvier 2010 portant réforme des retraites a institué un répertoire de gestion des carrières unique ayant pour objectif de rassembler, au sein d'un unique traitement, l'ensemble des informations relatives à la carrière d'un assuré social, quels qu'aient été ses régimes d'affiliation pendant cette carrière. Ce traitement permettra ainsi d'avoir une vision transversale et actualisée de la carrière de la personne.
Le RGCU a vocation à remplacer le Système national de gestion des carrières (SNGC), créé en 1998 par la CNAV pour regrouper les données de carrière de ses assurés sociaux. Bien que cette base de données ait progressivement été étendue aux autres régimes d'assurance vieillesse, notamment pour faciliter la gestion des carrières multi-régimes, le SNGC, devenu obsolète, présente des lacunes eu égard aux nouveaux enjeux de l'inter-régimes et aux exigences en matière de performance et de sécurité, ce qui justifie qu'il soit remplacé par un outil plus adapté.
Le traitement dont la commission a été saisie pour avis, tel que précisé par le projet de décret, vise ainsi à permettre aux organismes chargés des régimes de retraite obligatoires et aux services de l'Etat chargés de la liquidation des pensions (organismes et services contributeurs), de disposer d'une base de données unique, rassemblant l'ensemble des données de carrière des assurés sociaux, et plus précisément à leur permettre :


- de mettre en commun les données relatives à la carrière de chaque assuré en vue d'assurer la complétude et la cohérence de ces données et de simplifier les démarches des assurés ;
- de simplifier la détermination et le contrôle des droits aux prestations d'assurance vieillesse ;
- de disposer, pour les organismes chargés de la gestion d'un régime d'assurance vieillesse obligatoire qui en font la demande auprès de la caisse mentionnée à l'article L. 222-1, des données relatives à la carrière nécessaires à la liquidation ;
- pour ces mêmes organismes, qui en font la demande auprès de la caisse mentionnée à l'article L. 222-1, de disposer de services de calcul de durée d'assurance à partir des données collectées dans le cadre du présent traitement ;
- d'informer les assurés sur leur situation, de leur fournir une estimation du montant de leurs pensions et de mettre en œuvre les droits dont ils disposent en application L. 161-17 du code de la sécurité sociale ;
- de produire des statistiques.


La commission relève que ce traitement a également pour finalité de contribuer au pilotage du système de retraite en ce qu'il permet aux services de l'Etat placés sous l'autorité des ministres chargés de la sécurité sociale, de l'agriculture, du budget et de la fonction publique, de réaliser des statistiques et des projections.
La commission prend acte de ce que le projet de texte sera modifié pour que soit supprimée, des troisième et quatrième finalités, la précision « qui en font la demande auprès de la caisse mentionnée à l'article L. 222-1 », en ce que cette précision n'a pas lieu d'être.
Le répertoire est géré par la CNAV et alimenté par les régimes de retraite de base et complémentaires légalement obligatoires, par les services chargés de la liquidation des pensions et les organismes de protection sociale.
La commission considère que ces finalités sont déterminées, explicites et légitimes.
Sur la nature des données traitées :
Les données enregistrées dans le RGCU concernent les bénéficiaires de l'assurance vieillesse. Certaines de ces données sont enregistrées dans le RGCU et constituent les données de base du répertoire tandis que d'autres n'y sont pas enregistrées mais sont simplement communiquées par lui lorsqu'il est consulté. Le RGCU est alimenté par le SNGI s'agissant du NIR (ou du Numéro identifiant d'attente ou NIA) et des données communes d'identification.
Les données de carrière sont alimentées par les organismes de retraite et de protection sociale, par la Déclaration sociale nominative (DSN) ou la Déclaration annuelle des données sociales (DADS) et par Pôle emploi s'agissant des périodes de chômage.
Il incombe à chaque organisme et service contributeur du répertoire de s'assurer de la qualité, de l'exhaustivité et de la fiabilité des données qu'il transmet et met à jour.
Silencieux quant aux sources de collecte des données autres que le NIR (ou NIA) et des données d'identification, le projet d'acte réglementaire a vocation à être complété pour y intégrer les autres sources de collecte, par souci de transparence.
Les données enregistrées dans le répertoire portent sur :


- les données d'identification de l'assuré :
- le NIR, ou le NIA pour les personnes en attente d'attribution d'un NIR, attribué par la CNAV à partir des données d'état civil, et présent dans le Système national de gestion des identifiants (SNGI). La commission prend note de l'engagement du responsable de traitement d'intégrer le NIR (ou NIA) dans la catégorie des données communes d'identification de l'assuré, par souci de clarté ;
- les données communes d'identification de l'assuré : le nom de famille, le nom d'usage le cas échéant, et les prénoms, le sexe, la date et lieu de naissance, la date du décès le cas échéant ;


- les données d'affiliation et de rattachement aux régimes des retraites, ainsi que les dates de liquidation des pensions ;
- les données relatives à la carrière de l'assuré : les éléments de rémunération, l'assiette des cotisations à la charge des assurés, les revenus de remplacement, les montants de cotisations ou le nombre de points pris en compte pour la détermination des droits à pension, en mentionnant, s'il y a lieu, le fait générateur de cette prise en compte lorsqu'il a une incidence sur l'âge d'ouverture des droits ou le montant de la pension, les autres éléments susceptibles d'être pris en compte pour la détermination des droits à pension, y compris ceux non rattachés à une année donnée, les périodes de date à date susceptibles d'ouvrir droit à l'assurance vieillesse dans l'un des régimes de l'article L.161-17-1-2, les périodes permettant d'apprécier la complétude de la carrière (notamment les périodes d'inactivité et d'activité à l'étranger), les données relatives aux prolongations de carrière ;
- les données relatives aux enfants de l'assuré : le nombre d'enfants, le NIR (ou NIA) et données communes d'identification de chacun d'eux ainsi que la mention des droits à l'assurance vieillesse qu'il ouvre ;
- les données d'identification de l'employeur : cette catégorie de données renvoie au SIREN, NIC, numéro de cotisant et à l'identifiant interne régime qui correspond à l'identifiant, propre à chacun des organismes, affecté à l'entreprise en attente d'attribution de SIRET. La commission recommande que ces éléments soient mentionnés dans le projet d'acte réglementaire.


La commission est informée que la liste exhaustive des données collectées sera fixée ultérieurement, par voie d'arrêté ministériel.
La commission est informée que parmi les périodes d'inactivité figurent les périodes d'exécution de peine, mais celles-ci ne sont pas désignées en tant que telles. De même, lorsque la personne a été en activité durant la période d'exécution de peine, cette période est rattachée aux périodes de cotisation.
Seule la période de détention provisoire fait l'objet d'une mention particulière.
La commission s'interroge sur la nécessité de mentionner cette information dans le RGCU. En tout état de cause, elle recommande que l'information relative à la détention provisoire soit remplacée par un code ou une référence dont la signification ne serait connue que des personnes justifiant de la nécessité d'avoir accès à cette information au regard de leurs fonctions.
La commission considère que ces données sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées.
Sur la durée de conservation des données :
Le projet de décret énonce que les données du répertoire sont conservées jusqu'à l'extinction des prestations dont bénéficie l'assuré ou, le cas échéant, ses ayants droit.
Cette durée de conservation n'appelle pas d'observation de la part de la commission.
Sur les destinataires des données et les mises en relation du traitement :
Tel que précisé par le projet de décret examiné par la commission, les données du traitement sont accessibles aux personnes individuellement désignées et dûment habilitées, listées ci-après, dans la stricte limite des informations dont elles ont à connaître au regard de leurs fonctions :


- les agents des organismes chargés d'un régime obligatoire de sécurité sociale, ceux des caisses assurant le service des congés payés ainsi que ceux de l'agence Pôle emploi, en application des articles L. 114-12 et L. 114-12-1 du code de la sécurité sociale. Ces agents ont accès à l'intégralité des données du répertoire, aux données de carrière nécessaires à la liquidation de la pension de vieillesse ainsi qu'aux services de calcul de la durée d'assurance le cas échéant ;
- les agents de l'Union des institutions et services de retraites, groupement d'intérêt public. Ces agents ont accès à l'intégralité des données du répertoire en vue de délivrer l'information relative à la situation des assurés et au montant estimé de leurs droits, ainsi que l'information prévue par l'article L. 161-17 du code de la sécurité sociale ;
- les agents exerçant des activités statistiques au sein des organismes contributeurs et des services de l'Etat, placés sous l'autorité respective des ministres chargés de la sécurité sociale, de l'agriculture, du budget et de la fonction publique. Ces agents ont accès à l'intégralité des données de l'usager, à l'exception du NIR (ou NIA), de ses nom de famille, nom d'usage et prénoms. S'agissant des informations concernant les enfants des assurés, le responsable de traitement s'engage à ne donner accès qu'aux informations relatives au nombre d'enfants et d'exclure l'accès aux données d'identification. Cet accès aux données a pour objectif de réaliser les statistiques des régimes de retraite obligatoires et des services de l'Etat chargés de la liquidation des pensions.


La commission relève que l'article R. 161-69-12-III du projet de texte portant sur la liste des destinataires des données ne renvoie qu'à l'article R. 161-69-8-I (6°) relatif à la finalité des statistiques élaborées par les organismes contributeurs. Il conviendrait de renvoyer également à l'article R. 161-69-8-II relatif à la finalité statistique réalisée par les services de l'Etat. La commission prend acte de l'engagement du responsable de traitement à modifier l'acte réglementaire en ce sens.
Sous ces réserves, la commission considère que ces destinataires présentent un intérêt légitime à accéder aux données du présent traitement, dans la limite de leurs attributions et sous réserve que les données effectivement accessibles présentent un lien direct et nécessaire avec leurs fonctions.
Sur l'information des personnes et sur les droits d'accès, de rectification et d'opposition des personnes :
L'information découlant de l'article 32 de la loi du 6 janvier 1978 modifiée est délivrée par les régimes de retraite de base et complémentaires légalement obligatoires ainsi que par les services de l'Etat chargés de la liquidation des pensions, aux assurés sociaux. L'obligation d'information sera intégrée à la convention conclue entre la CNAV et les organismes.
Les droits d'accès et de rectification s'exercent par voie postale ou par voie électronique, notamment via le portail des organismes.
En revanche, le droit de rectification portant sur les données de carrière de l'assuré s'exerce auprès du ou des organismes de rattachement.
La commission note que le traitement envisagé écarte l'application du droit d'opposition, en application des dispositions du dernier alinéa de l'article 38 de la loi du 6 janvier 1978 modifiée. Afin d'améliorer la qualité de l'information délivrée aux personnes concernées, la commission recommande que l'éviction du droit d'opposition soit inscrite dans le projet de décret et prend acte de ce que le responsable de traitement s'est d'ores et déjà engagé à y procéder.
La commission considère que ces modalités d'information des personnes sont satisfaisantes.
Sur la sécurité des données et la traçabilité des actions :
Le traitement RGCU est une base de données accessible par les applications métiers, par les agents des organismes.
Constatant que le traitement consiste en une centralisation des données issues de nombreux traitements, la commission regrette qu'une architecture décentralisée, à l'image de ce qui a été élaboré pour le Répertoire national commun de la protection sociale (RNCPS), n'ait pas été retenue. Le nombre de personnes concernées ainsi que la quantité et la nature des données qu'il conserve confèrent à ce traitement un enjeu de sécurité certain. Aussi, la commission recommande que soit réalisée une analyse de risques en matière de vie privée.
Le RGCU reprendra les données issues du SNGC, ce traitement étant déjà mis en oeuvre par le même organisme, la CNAV. Dès lors, la question de la protection des données lors de la migration est du seul ressort de la CNAV.
L'alimentation de masse sera effectuée via le Dispositif de gestion des échanges (DGE), ou, à défaut, par transfert sécurisé par lots point à point. Concernant l'alimentation « unitaire », sa sécurité et son intégrité seront assurées par l'utilisation du standard InterOPS. DGE et InterOPS sont des mécanismes d'échanges qui ont été visés par la commission par le passé.
Les échanges entre la DSN et le RGCU s'effectueront à partir de l'outil RGCU, selon une norme d'échange spécifique qui reste à établir. La commission n'est donc pas en mesure de se prononcer sur la sécurité de ces échanges. C'est pourquoi elle demande à être destinataire des choix techniques qui seront opérés.
Une traçabilité des flux, des accès et des données est prévue dans l'outil, permettant de conserver une trace des flux entrants et sortants du système RGCU, des accès aux différents services de l'outil ainsi que de connaître l'origine des données du RGCU.


Pour la présidente :

La vice-présidente déléguée,

M.-F. Mazars