Décret n° 2015-1119 du 4 septembre 2015 autorisant les traitements de données à caractère personnel mis en œuvre par les organismes gestionnaires du régime social des indépendants et de la Mutualité sociale agricole pour la gestion de la relation avec leurs ressortissants


JORF n°0206 du 6 septembre 2015 page 15679
texte n° 7




Décret n° 2015-1119 du 4 septembre 2015 autorisant les traitements de données à caractère personnel mis en œuvre par les organismes gestionnaires du régime social des indépendants et de la Mutualité sociale agricole pour la gestion de la relation avec leurs ressortissants

NOR: AFSS1510866D
ELI: https://www.legifrance.gouv.fr/eli/decret/2015/9/4/AFSS1510866D/jo/texte
Alias: https://www.legifrance.gouv.fr/eli/decret/2015/9/4/2015-1119/jo/texte


Publics concernés : ressortissants et bénéficiaires potentiels du régime social des indépendants (RSI), ressortissants et bénéficiaires potentiels de la Mutualité sociale agricole (MSA), leurs éventuels mandataires, agents des organismes du RSI et de la MSA.
Objet : création de traitements de données à caractère personnel pour la gestion, par les agents des caisses locales et nationales du régime social des indépendants et de la Mutualité sociale agricole, de leurs relations avec leurs ressortissants respectifs.
Entrée en vigueur : le texte entre en vigueur le lendemain de sa publication.
Notice : le décret vise à autoriser la création et la mise en œuvre de traitements de données à caractère personnel par le régime social des indépendants et la Mutualité sociale agricole, afin de leur permettre de mieux renseigner leurs assurés respectifs, dès le premier contact, quel que soit le risque sur lequel porte leur question ou réclamation. Le décret identifie les finalités des traitements, les données utilisées dans ce cadre ainsi que leurs destinataires. Chaque responsable de traitement devra présenter à la CNIL un engagement de conformité aux dispositions du présent décret avant la mise en œuvre de son traitement particulier.
Références : le décret peut être consulté sur le site Légifrance (http :// www. legifrance. gouv. fr).
Le Premier ministre,
Sur le rapport de la ministre des affaires sociales, de la santé et des droits des femmes et du ministre de l'agriculture, de l'agroalimentaire et de la forêt, porte-parole du Gouvernement,
Vu le code rural et de la pêche maritime ;
Vu le code de la sécurité sociale ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu l'avis de la Commission nationale de l'informatique et des libertés en date du 19 mars 2015 ;
Vu l'avis du conseil d'administration de la Caisse nationale du régime social des indépendants en date du 7 avril 2015 ;
Vu l'avis du conseil central d'administration de la Mutualité sociale agricole en date du 15 avril 2015 ;
Le Conseil d'Etat (section sociale) entendu,
Décrète :


Est autorisée la mise en œuvre de traitements de données à caractère personnel dénommés « gestion de la relation client (GRC) », par les organismes nationaux et locaux du régime social des indépendants et de la Mutualité sociale agricole, qui ont pour finalités :
1° D'assurer le suivi des échanges avec les ressortissants des régimes concernés ;
2° De contribuer à la gestion des demandes et des réclamations et à leur suivi ;
3° De contribuer à la gestion des organismes des régimes concernés ou de leurs sous-traitants, notamment s'agissant des tâches de leurs agents, y compris pour la gestion des calendriers et alertes ;
4° De contribuer au suivi des campagnes de prévention, de communication, et aux enquêtes de satisfaction ;
5° De constituer une base documentaire à la disposition des agents regroupant l'ensemble des informations permettant de répondre aux demandes les plus simples des assurés ;
6° De permettre des interconnexions avec d'autres traitements utilisés par les organismes ;
7° De produire des statistiques sur la gestion de la relation du régime concerné avec ses ressortissants, à partir de données préalablement anonymisées.


Les données à caractère personnel utilisées par les traitements de données dont la création est autorisée par l'article 1er sont les suivantes :
1° Le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) et celui ou ceux qui lui auraient été précédemment attribués ou, pour les personnes en instance d'attribution d'un numéro d'inscription au répertoire national d'identification des personnes physiques, un numéro identifiant d'attente (NIA) attribué par la Caisse nationale d'assurance vieillesse des travailleurs salariés à partir des données d'état civil, pour l'ensemble des organismes ;
2° Les données d'identification des ressortissants du régime ou de leurs ayants droit : noms, prénoms, sexe, date et lieu de naissance ;
3° Les données relatives à leur affiliation à un régime de sécurité sociale, notamment au regard de la situation professionnelle, aux droits à l'assurance maladie, à la qualité d'assuré ou d'ayant droit et, le cas échéant, au bénéfice de la couverture maladie universelle ;
4° Les données relatives à la retraite ;
5° Les données relatives aux revenus perçus, y compris sous forme de prestations sociales, et aux cotisations versées ;
6° Les données relatives au bénéfice éventuel de l'action sanitaire et sociale ;
7° Les données relatives aux demandes et éventuelles réclamations formulées et à leur suivi ;
8° Les données relatives à l'identification des professionnels de santé et intervenants participant à la prise en charge de la personne et des mandataires agissant pour le compte de la personne ;
9° Les données permettant d'assurer la traçabilité des connexions, telles que celles relatives aux identifiants et mots de passe des utilisateurs, à leurs noms, prénoms et à ceux de leur supérieur hiérarchique direct, à leur organisme d'appartenance, aux dates, heures et durées de leurs connexions ainsi qu'aux actions effectuées dans le traitement.


Sont destinataires des données mentionnées à l'article 2 les agents nommément désignés et dûment habilités par l'autorité compétente :
1° Des caisses locales et de la Caisse nationale du régime social des indépendants, pour ce qui concerne les données relatives à la gestion de la relation entre le régime social des indépendants et ses ressortissants ;
2° Des caisses locales et de la caisse centrale de la Mutualité sociale agricole, pour ce qui concerne les données relatives à la gestion de la relation entre le régime de la mutualité sociale agricole et ses ressortissants ;
3° Des unions pour le recouvrement des cotisations de sécurité sociale et d'allocations familiales, pour ce qui concerne les données relatives à la gestion de la relation entre le régime social des indépendants et ses ressortissants ;
4° Des prestataires agissant pour le compte des organismes précités.
Chaque agent destinataire mentionné au présent article n'a accès qu'aux données qu'il est habilité à connaître.


Les données relatives à la retraite, notamment celles relatives aux pensions de retraite de base, aux pensions de retraite complémentaire, à la réversion, à l'invalidité, au capital décès et à l'historique des versements, sont conservées un mois.
Les données mentionnées au 9° de l'article 2 sont conservées six mois.
Les autres données mentionnées à l'article 2 sont conservées trois ans, à l'exception des données mentionnées aux 1° et 2° de cet article, qui sont conservées au-delà de ce délai dans la mesure nécessaire à la réalisation des finalités prévues à l'article 1er.


Les personnes auxquelles se rapportent les données mentionnées à l'article 2 sont informées de l'existence et de la mise en œuvre d'un traitement de données à caractère personnel les concernant destiné à la gestion de la relation client, autorisé en application de l'article 1er, de ses finalités, de l'identité du responsable, des destinataires des données et des modalités d'exercice des droits d'accès et de rectification prévus par les articles 39 et 40 de la loi du 6 janvier 1978 susvisée par la diffusion d'une information sur les sites internet respectifs des régimes mettant en œuvre de tels traitements.
Les droits d'accès et de rectification des données, prévus aux articles 39 et 40 de la loi du 6 janvier 1978 susvisée, sont exercés auprès de l'organisme local auquel le ressortissant du régime concerné est rattaché.
Le droit d'opposition prévu par l'article 38 de la loi du 6 janvier 1978 susvisée s'applique aux traitements de données dont la création est autorisée par le 4° de l'article 1er. Il ne s'applique pas aux traitements autorisés par les autres alinéas de cet article.


La personne responsable, au sein de chaque régime, du traitement de données autorisé par le présent décret, est, en ce qui concerne le régime social des indépendants, la Caisse nationale du régime social des indépendants, et, en ce qui concerne la Mutualité sociale agricole, la caisse centrale de la Mutualité sociale agricole.
En cette qualité, préalablement à la mise en œuvre du traitement, elles adressent à la Commission nationale de l'informatique et des libertés, en application des dispositions du IV de l'article 26 de la loi du 6 janvier 1978 susvisée, un engagement de conformité aux dispositions du présent décret dans les conditions fixées à l'article 8 du décret du 20 octobre 2005 susvisé.


La ministre des affaires sociales, de la santé et des droits des femmes et le ministre de l'agriculture, de l'agroalimentaire et de la forêt, porte-parole du Gouvernement, sont chargés, chacun en ce qui le concerne, de l'exécution du présent décret, qui sera publié au Journal officiel de la République française.


Fait le 4 septembre 2015.


Manuel Valls

Par le Premier ministre :


La ministre des affaires sociales, de la santé et des droits des femmes,

Marisol Touraine


Le ministre de l'agriculture, de l'agroalimentaire et de la forêt, porte-parole du Gouvernement,

Stéphane Le Foll