Délibération n° 2012-310 du 13 septembre 2012 portant avis sur un projet de décret relatif à la déclaration annuelle des données sociales (demande d'avis n° 1566406)

Chemin :




Article
ELI: Non disponible



Sur la finalité du traitement


Le présent traitement a vocation à permettre aux organismes et administrations destinataires de la DADS d'accomplir leurs missions.
La commission considère la finalité poursuivie comme déterminée, explicite et légitime.


Sur la nature des données traitées


L'article D. 133-9-1 du code de la sécurité social, tel que mentionné à l'article 1 er du projet de décret, prévoit que les déclarations regroupées dans la DADS sont les suivantes :
― les déclarations énumérées à l'article L. 133-5-4, notamment la déclaration relative à l'emploi obligatoire des travailleurs handicapés, mutilés de guerre et assimilés pour les informations mentionnées au 1° de l'article R. 5212-1 ;
― les déclarations et formalités suivantes :
― la déclaration des rémunérations versées aux salariés prévue par l'article R. 243-14, destinée aux organismes chargés du recouvrement des cotisations du régime général de sécurité sociale ;
― l'attestation d'activité salariée relative à l'ouverture du droit aux prestations en nature de l'assurance maladie et produite en application de l'article R. 313-2 du code de la sécurité sociale ;
― la déclaration annuelle des rémunérations prévue par l'article 6 bis du décret n° 70-1277 du 23 décembre 1970 portant création d'un régime de retraites complémentaire des assurances sociales en faveur des agents non titulaires de l'Etat et des collectivités publiques ;
― la déclaration annuelle des rémunérations prévue par l'article 6 du décret n° 2007-173 du 7 février 2007 relatif à la Caisse nationale de retraites des agents des collectivités locales ;
― la déclaration prévue par l'article 4 du décret n° 50-783 du 24 juin 1950 destinéee au Fonds spécial des pensions des ouvriers des établissements industriels de l'Etat ;
― la déclaration prévue par l'article 3 du décret n° 85-885 et du décret n° 85-886 du 12 août 1985, destinée aux fonds nationaux de compensation du supplément familial de traitement ;
― la déclaration mentionnée à l'article 15 du décret n° 2004-569 du 18 juin 2004 relatif à la retraite additionnelle de la fonction publique ;
― la déclaration annuelle des salaires adressée à la Caisse nationale des barreaux français par les employeurs d'avocats salariés ;
― la déclaration prévue par l'article 8 du décret n° 2007-1796 du 19 décembre 2007 relatif à la cotisation et à la contribution dues pour la couverture des charges de pensions et allocations temporaires d'invalidité des fonctionnaires de l'Etat, des magistrats et des miliaires détachés ainsi que des agents des offices ou établissements de l'Etat dotés de l'autonomie financière ;
― la déclaration annuelle des salaires adressée par les employeurs de personnel navigant professionnel de l'aéronautique civile à la caisse mentionnée à l'article L. 426-5 du code de l'aviation civile ;
― la déclaration relative au bonus exceptionnel versé en application de l'article 3 de la loi n° 2009-594 du 27 mai 2009 pour le développement économique des outre-mer.
Les données collectées via ces déclarations sont celles listées dans l'arrêté du 31 décembre 2011 pris en application du décret n° 85-1343 du 16 décembre 1985 et sur lequel la commission s'est prononcée par une délibération n° 2011-350 du 10 novembre 2011.
La commission considère que le contenu de la DADS est pertinent au regard de la finalité poursuivie. Toute modification ultérieure de l'arrêté du 31 décembre 2011, et donc des données collectées, sera soumise pour avis à la commission.


Sur la durée de conservation des données


L'article D. 133-9-3 du code de la sécurité sociale, tel que mentionné à l'article 1er du projet de décret, prévoit que les données des déclarations ne sont conservées que pendant le temps nécessaire à leur traitement, sans que ce délai puisse excéder trois mois.
La commission considère que cette durée de conservation est pertinente au regard de la finalité poursuivie par le traitement.


Sur les destinataires des données


L'article D. 133-9-2 du code de la sécurité sociale, tel que mentionné à l'article 1er du projet de décret, prévoit que les destinataires des données sont, selon leurs compétences respectives, les administrations et organismes suivants :
― la direction générale des finances publiques ;
― la direction générale du travail ;
― l'Institut national de la statistique et des études économiques ;
― le service des retraites de l'Etat ;
― les organismes mentionnés aux articles L. 215-1, L. 215-5 et L. 752-4 chargés de la gestion de l'assurance vieillesse du régime général de sécurité sociale ;
― les organismes chargés de la gestion du risque maladie de la sécurité sociale ;
― les organismes chargés de la tarification du risque d'accident du travail du régime général de sécurité sociale ;
― les organismes chargés du recouvrement des cotisations et des contributions sociales ;
― l'institution de retraite complémentaire des agents non titulaires de l'Etat et des collectivités territoriales ;
― la Caisse nationale de retraites des agents des collectivités locales ;
― le fonds spécial des pensions des ouvriers des établissements industriels de l'Etat ;
― les fonds nationaux du supplément familial de traitement ;
― l'établissement de retraite additionnelle de la fonction publique ;
― la caisse de retraite du personnel navigant professionnel de l'aéronautique civile ;
― la caisse de prévoyance et de retraite du personnel de la Société nationale des chemins de fer ;
― l'organisme gestionnaire du régime additionnel de retraite des personnels enseignants et de documentation mentionnés aux articles L. 914-1 du code de l'éducation et L. 813-8 du code rural et de la pêche maritime ;
― la Caisse nationale des barreaux français ;
― la caisse d'assurance vieillesse, invalidité et maladie des cultes ;
― l'institution mentionnée à l'article L. 5312-1 du code du travail ;
― le Centre national de la fonction publique territoriale ;
― l'association mentionnée à l'article L. 5214-1 du code du travail ;
― l'Agence de services et de paiement.
L'arrêté du 31 décembre 2011 pris en application du décret n° 85-1343 du 16 décembre 1985 précise, pour chacun de ces organismes, les données dont ils sont destinataires.
Ces destinataires n'appellent pas d'observations de la part de la commission.


Sur l'information et les droits des personnes


Les personnes concernées sont informées, conformément à l'article 32 de la loi du 6 janvier 1978 modifiée, par publication sur le site de la CNAV de l'arrêté ou de l'acte réglementaire y afférent. En outre, l'employeur doit informer ses salariés lorsqu'il met en œuvre la dématérialisation des DADS.
Par ailleurs, l'article D. 133-9-4 du code de la sécurité sociale, tel que mentionné à l'article 1er du projet de décret, prévoit que les droits d'accès et de rectification s'exercent auprès des administrations et organismes destinataires prévus à l'article D. 133-9-2 du code de la sécurité sociale.
Ces modalités d'exercice des droits des personnes apparaissent satisfaisantes.


Sur les mesures de sécurité


Les mots de passe permettant l'authentification des utilisateurs sont conformes à la doctrine de la commission.
Des mesures de protection physique des infrastructures utilisées par le traitement ont été mises en place.
Les échanges de données vers et depuis le portail web permettant de réaliser les DADS sont chiffrés au moyen du protocole https, qui permet de garantir la confidentialité des données échangées.
De plus, les échanges de données réalisés entre la CNAV et le GIP MDS ont lieu par le biais d'une ligne spécialisée et sont également chiffrés au moyen du protocole https.
Le routage des données vers les destinataires des données se fait par le biais d'interconnexions directes au réseau privé de la CNAV, ou à d'autres réseaux ministériels privés ou bien par le biais de liaisons spécialisées.
Les supports de stockage sont gérés par un sous-traitant lié par des clauses de confidentialité et les modalités techniques de conservation des données permettant de limiter très fortement les risques de compromission de données ; les supports de sauvegardes sont quant à eux détruits après usage.
Les opérations de consultation, création, suppression et mise à jour sont journalisées et les journaux sont conservés pendant douze mois. Les DADS sont quant à elle conservées pendant trois mois.
La commission considère que ces mesures de sécurité sont satisfaisantes.


Liens relatifs à cet article

Cite: