Décret n° 2017-351 du 20 mars 2017 portant création du traitement de données à caractère personnel dénommé « portail numérique des droits sociaux »


JORF n°0068 du 21 mars 2017
texte n° 20




Décret n° 2017-351 du 20 mars 2017 portant création du traitement de données à caractère personnel dénommé « portail numérique des droits sociaux »

NOR: AFSS1701589D
ELI: https://www.legifrance.gouv.fr/eli/decret/2017/3/20/AFSS1701589D/jo/texte
Alias: https://www.legifrance.gouv.fr/eli/decret/2017/3/20/2017-351/jo/texte


Publics concernés : assurés sociaux.
Objet : création d'un traitement de données à caractère personnel dénommé « portail numérique des droits sociaux ».
Entrée en vigueur : le texte entre en vigueur le lendemain de sa publication.
Notice : le décret autorise la création d'un traitement de données à caractère personnel pour donner aux assurés un accès centralisé à leurs droits sociaux. Ce traitement est mis en œuvre par la Caisse centrale de la mutualité sociale agricole.
Il permettra aux personnes de consulter leurs droits aux prestations sociales, de simuler les prestations sociales auxquelles ils sont susceptibles d'avoir droit, de recevoir des informations sur leurs droits et d'engager des démarches auprès des organismes assurant la gestion de leurs prestations sociales.
Références : le décret peut être consulté sur le site Légifrance (www.legifrance.gouv.fr).


Le Premier ministre,
Sur le rapport de la ministre des affaires sociales et de la santé,
Vu le code de la sécurité sociale ;
Vu le code rural et de la pêche maritime ;
Vu le code du travail, notamment son article L. 5151-6 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27 ;
Vu l'avis du conseil d'administration de la Caisse Centrale de la mutualité sociale agricole en date du 4 janvier 2017 ;
Vu l'avis de la Commission nationale de l'informatique et des libertés en date du 26 janvier 2017 ;
Le Conseil d'Etat (section sociale) entendu,
Décrète :


Est autorisée la création d'un traitement de données à caractère personnel dénommé « portail numérique des droits sociaux » (PNDS) et mis en œuvre par la Caisse centrale de la mutualité sociale agricole, responsable du traitement.
Ce traitement a pour finalité de donner aux personnes un accès centralisé à leurs droits sociaux et, à cette fin, de permettre à chacune :
1° De consulter ses droits aux prestations sociales ;
2° De simuler les prestations sociales auxquelles elle est susceptible d'avoir droit ;
3° De recevoir des organismes qui la gèrent des informations sur ses droits aux prestations sociales ;
4° D'engager des démarches auprès des organismes assurant la gestion de ses prestations sociales.


Les données utilisées par le traitement mentionné à l'article 1er sont les suivantes :
1° Les données issues du répertoire national commun de la protection sociale mentionné à l'article L. 114-12-1 du code de la sécurité sociale :
a) L'identification de l'assuré social qui se connecte et des autres membres de son foyer :
i) Le numéro d'inscription au Répertoire national d'identification des personnes physiques - NIR - et celui ou ceux qui lui auraient été précédemment attribués ou, pour les personnes en instance d'attribution d'un numéro d'inscription au Répertoire national d'identification des personnes physiques, un numéro identifiant d'attente - NIA - ;
ii) Les noms de famille, et, le cas échéant, le nom d'usage, et les prénoms ;
iii) Le sexe ;
iv) La date et le lieu de naissance ;
v) Les coordonnées postales, téléphoniques et électroniques ;
b) Les données et informations centralisées de rattachement de la personne qui se connecte et des autres membres de son foyer :
i) Les données de rattachement aux régimes de base et aux régimes complémentaires le cas échéant ;
ii) Les coordonnées postales, téléphoniques et électroniques des régimes de base et complémentaires ;
iii) L'état du dossier de demande de prestations ;
iv) Les données relatives aux périodes d'ouverture de droits ;
2° Les données issues de la déclaration sociale nominative prévu par l'article L. 133-5-3 du code de la sécurité sociale, des systèmes d'information des caisses de sécurité sociale, de Pôle emploi et de la direction générale des finances publiques :
a) Les données relatives à l'existence de comptes en ligne activés auprès des organismes de protection sociale et de Pôle emploi ;
b) Les informations relatives au dernier montant de prestation versé à l'assuré ou à un tiers pour chaque prestation dont l'assuré bénéficie ;
c) Les informations relatives aux ressources ;
d) Les données relatives aux prestations servies par les organismes de protection sociale et par Pôle emploi :
i) Les situations d'exonération de participation financière de l'assuré aux dépenses de santé ;
ii) Le médecin traitant et ses coordonnées ;
iii) La situation maritale ;
iv) La situation au regard du handicap ;
v) Le quotient familial ;
vi) Le type de logement, le statut d'occupation et le lien de parenté de l'assuré ou de l'occupant avec le propriétaire ;
vii) Le montant du loyer déclaré ;
viii) Le numéro d'allocataire CAF ;
ix) La durée d'assurance tous régimes confondus ;
x) L'identifiant Pôle emploi ;
xi) La nature des allocations dont bénéficie l'assuré ;
3° Des données issues du traitement automatisé de données à caractère personnel dénommé « Système d'information du compte personnel d'activité (SI-CPA) », prévu par l'article R. 5151-2 du code du travail, relatives aux droits inscrits sur les différents comptes constituant le compte personnel d'activité ;
4° Les données relatives à la traçabilité des accès :
a) L'adresse IP de l'usager ;
b) Les données de connexion de l'usager au dispositif d'identification et d'authentification mentionné à l'article 3, parmi lesquelles son identifiant spécifique au titre de ce dispositif ;
c) Les dates et heures de connexion de l'usager au portail numérique des droits sociaux.
Pour la finalité prévue au 2° de l'article 1er, les données énumérées aux 1°, 2° et 3° peuvent, à défaut, être renseignées par l'assuré.


Chaque usager s'identifie et s'authentifie au moyen du téléservice d'identification et d'authentification mis en œuvre par la direction interministérielle des systèmes d'information et de communication de l'Etat - DINSIC -, dénommé « FranceConnect ».


Chaque usager du portail numérique des droits sociaux a accès exclusivement à l'ensemble des données mentionnées à l'article 2 qui le concernent, après identification et authentification au moyen du téléservice mentionné à l'article 3.
Ont accès aux données mentionnées à l'article 2, dans la limite de leur besoin d'en connaître, les agents de la caisse centrale et des organismes de la mutualité sociale agricole chargés de l'assistance téléphonique aux usagers du « portail numérique des droits sociaux ». Ces agents sont individuellement désignés et dûment habilités par le directeur de leur organisme.
Ont accès au numéro d'inscription au répertoire national d'identification des personnes physiques et à l'identifiant France Connect de l'assuré, dans la limite de leur besoin d'en connaître, les autres agents de la caisse centrale et des organismes de la mutualité sociale agricole dont les missions le justifient au regard de la mission conférée à cette caisse centrale et à ces organismes par le premier alinéa de l'article 1er du présent décret. Ces agents sont individuellement désignés et dûment habilités par le directeur de leur organisme.


Les données prévues à l'article 2 sont accessibles mais ne sont pas conservées par le traitement, à l'exception :
1° Du numéro d'inscription au répertoire national d'identification des personnes physiques et de l'identifiant FranceConnect de l'assuré, qui sont conservés dans un environnement logique séparé le temps de l'utilisation du service et sont détruits douze mois après la dernière connexion ;
2° Des autres données relatives à la traçabilité des accès, prévues au 4° de l'article 2, qui sont enregistrées lors de l'utilisation du portail et peuvent faire l'objet d'une exploitation par la Caisse centrale de la mutualité sociale agricole à des fins de suivi statistique, pour les besoins du pilotage, et de gestion technique des incidents. La durée de conservation de ces données ne peut excéder un mois après l'achèvement de ces opérations de suivi ou de gestion technique.


Conformément aux dispositions de l'article 32 de la loi du 6 janvier 1978 susvisée, les personnes auxquelles les données mentionnées à l'article 2 se rapportent sont informées de la finalité poursuivie par le traitement, de l'identité de son responsable, des catégories de destinataires des données et de leur durée de conservation, au moyen d'une information figurant sur le portail numérique des droits sociaux.
Les personnes auxquelles les données mentionnées à l'article 2 se rapportent sont informées des modalités d'exercice de leurs droits d'accès et de rectification des données les concernant, prévus par les articles 39 et 40 de la loi du 6 janvier 1978 susvisée, au moyen d'une information figurant sur le portail numérique des droits sociaux.
Les utilisateurs du portail numérique des droits sociaux peuvent exercer leurs droits d'accès et de rectification des données, prévus aux articles 39 et 40 de la loi du 6 janvier 1978 susvisée, auprès de chacun des organismes auxquels ils sont rattachés.
Le droit d'opposition prévu par l'article 38 de la loi du 6 janvier 1978 susvisée ne s'applique pas au traitement dont la création est autorisée par l'article 1er du présent décret.


Conformément aux dispositions de l'article 34 de la loi du 6 janvier 1978 susvisée, le responsable du traitement autorisé par l'article 1er prend les mesures nécessaires pour préserver la sécurité des données utilisées par le traitement.


La ministre des affaires sociales et de la santé est chargée de l'exécution du présent décret, qui sera publié au Journal officiel de la République française.


Fait le 20 mars 2017.


Bernard Cazeneuve

Par le Premier ministre :


La ministre des affaires sociales et de la santé,

Marisol Touraine