La Commission nationale de l’informatique et des libertés,

Saisie par la ministre des solidarités et de la santé d’une demande d’avis concernant un projet de décret modifiant le décret n° 2019-969 du 18 septembre 2019 relatif à des traitements de données à caractère personnel portant sur les ressources des assurés sociaux;

Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;

Vu le projet de la loi de financement de la sécurité sociale pour 2020, notamment son article 52, tel qu’adopté par l’Assemblée nationale en lecture définitive le 26 novembre 2019 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 8-I-4-a) ;

Vu le décret n° 2012-53 du 17 janvier 2012 relatif au répertoire national commun de la protection sociale (RNCPS) ;

Vu le décret n° 2018-466 du 11 juin 2018 modifiant le décret n° 2017-351 du 20 mars 2017 portant création du traitement de données à caractère personnel dénommé portail numérique des droits sociaux (PNDS) ;

Vu le décret n° 2019-341 du 19 avril 2019 relatif à la mise en œuvre de traitements comportant l’usage du numéro d’inscription au répertoire national d’identification des personnes physiques ou nécessitant la consultation de ce répertoire ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-969 du 18 septembre 2019 relatif à des traitements de données à caractère personnel portant sur les ressources des assurés sociaux ;

Vu l’arrêté du 16 juin 2017 portant création par la direction générale des finances publiques d’un traitement automatisé de données à caractère personnel de gestion du prélèvement à la source mis en œuvre par les collecteurs n’entrant pas dans le champ de la déclaration sociale nominative ou versant des revenus de remplacement (PASRAU) ;

Vu la délibération n° 2019-072 du 23 mai 2019 portant avis sur un projet du décret relatif à la création de traitements de données à caractère personnel relatifs aux ressources des assurés sociaux ;

Sur la proposition de M. Alexandre LINDEN, commissaire, et après avoir entendu les observations de M^me Nacima BELKACEM, commissaire du Gouvernement,

Émet l’avis suivant :

La Commission a été saisie par la ministre des solidarités et de la santé, sur le fondement de l’article 8-I-4°-a) de la loi du 6 janvier 1978 modifiée, pour avis sur un projet de décret modifiant le décret n° 2019-969 du 18 septembre 2019 relatif à des traitements de données à caractère personnel portant sur les ressources des assurés sociaux.

Sur la revalorisation différenciée des pensions de vieillesse :

L’article L. 161-23-1 du code de la sécurité sociale prévoit le principe de revalorisation annuelle des pensions de vieillesse servies par le régime général et les régimes alignés sur celui-ci (soit environ une trentaine de régimes différents, concernant environ vingt millions de personnes).

A cette fin, un quotient est calculé annuellement par l’Institut national de la statistique et des études économiques (INSEE) dans les conditions prévues par l’article L. 161-25 du même code. Ce coefficient unique s’aligne sur l’évolution de la moyenne annuelle des prix à la consommation (hors tabac) et s’applique à l’ensemble des régimes obligatoires de retraite.

Le projet de loi de financement de sécurité sociale 2019 pour l’année 2020 (ci-après PLFSS) introduit une exception à ce système de revalorisation unique.

En effet, l’article 52 du texte à venir, dans sa version résultant de l’adoption définitive par l’Assemblée nationale en lecture du 26 novembre 2019, prévoit qu’en 2020, la revalorisation des prestations de la retraite se fera de manière différenciée.

Plus concrètement, cette évolution se traduit par deux modifications essentielles : d’une part, à un taux unique se substituent plusieurs taux différents ; d’autre part, le calcul des taux de revalorisation prendra en compte le montant des prestations de touchées par les pensionnés indemnisés par la branche retraite, par opposition à un mode de calcul fondé sur un indice national unique.

La réforme projetée aura pour résultat de créer un système de revalorisation dégressif. De la sorte, les allocataires aux revenus les plus faibles verront leur retraite revalorisée à un taux plus important que les taux applicables aux personnes percevant des revenus de substitution plus importants.

Cette réforme aura un caractère ponctuel. En effet, et sous réserve de nouveaux changements de textes à venir, la rédaction actuelle de l’article L.161-23-1, précité, du code de la sécurité sociale sera maintenue pour les revalorisations devant intervenir pour l’année 2021 et les suivantes.

Aussi, pour mettre en œuvre la réforme, il apparaît nécessaire de mettre en place un traitement de données à caractère personnel permettant d’évaluer le montant des pensions versées aux bénéficiaires d’une retraite, en vue de leur attribuer un taux de revalorisation. Le projet de décret soumis à l’avis de la Commission répond à cet objectif.

La Commission estime que les finalités poursuivies par le traitement sont déterminées, explicites et légitimes, sous réserve toutefois de l’adoption définitive de l’article 52 du projet de LFSS.

Sur le fonctionnement du dispositif :

Afin d’atteindre les objectifs exposés, le projet de décret prévoit la création d’un traitement nouveau, dit calculateur CARI , et l’utilisation de deux dispositifs existants :

• le répertoire national commun de la protection sociale (RNCPS) ;
• le dispositif des ressources mensuelles (ci-après DRM et précédemment connu comme base ressources mensuelles ou BRM ) ;

Le projet fourni à la Commission prévoit que le traitement s’effectuera à l’aide des étapes suivantes :

• dans un premier temps, une requête est effectuée par la Caisse nationale d’assurance vieillesse (CNAV) dans le RNCPS pour identifier les bénéficiaires de pensions de retraite et les régimes de retraite auxquels ils sont affiliés. Les résultats de cette interrogation sont utilisés pour constituer un fichier d’appel ;
• dans un second temps, le fichier d’appel est utilisé pour interroger le dispositif DRM, et notamment PASRAU – base individus , pour identifier le montant des pensions de base et complémentaires versées par chaque régime à chacune des personnes concernées. Cette étape permet au calculateur CARI notamment d’additionner les différents montants que peut percevoir un individu affilié à plusieurs régimes de retraite à la fois ;
• afin de tenir compte des différents échéanciers de versement des pensions de retraite (mensuelles, mais aussi trimestrielles, semestrielles ou annuelles), l’interrogation du DRM s’effectue en deux étapes successives, avec une profondeur historique de trois mois et d’un mois, respectivement. Par la suite, une moyenne mensuelle des montants des pensions de retraite est calculée pour chaque bénéficiaire ;
• dans un trosième temps, un taux de revalorisation correspondant aux différentes règles de gestion identifiées, sera calculé pour chaque bénéficiaire en fonction de la moyenne obtenue. Une liste associant ce taux aux données d’identification de l’ensemble des personnes percevant des allocations de retraite, sera ainsi générée ;
• enfin, dans un quatrième temps, la CNAV se chargera de communiquer ce taux, à l’exception de toute autre donnée relative notamment aux revenus des personnes, aux différents organismes chargés de la gestion des régimes spécifiques de retraite.

Sur la nature des données :

Le ministère a indiqué que les données utilisées à des fins de constitution du fichier d’appel seront les nom, prénom, date de naissance, numéro d’identification au répertoire (NIR), date de son obtention, statut retraité, codes des organismes (national et gestionnaire) de rattachement, risque retraite ainsi que risque retraite complémentaire.

Pour rappel, la réglementation applicable considère la retraite comme un risque susceptible d’impacter les revenus d’activité d’une personne, au même titre que la maladie, l’invalidité ou l’incapacité professionnelle. Ce risque est considéré comme couvert lorsque la personne concernée réunit les conditions (âge, nombre des trimestres cotisés, etc.) nécessaires pour bénéficier des prestations. Les catégories de données risque retraite ainsi que risque retraite complémentaire visent à indiquer le statut des usagers à cet égard.

Une fois le fichier d’appel constitué, l’interrogation du DRM permettra à la CNAV d’obtenir deux éléments supplémentaires, à savoir le montant des pensions de retraite de base ainsi que le montant des pensions de retraite complémentaires.

Une fois le taux de revalorisation des retraites calculé, la CNAV communiquera aux organismes gestionnaires de chaque régime obligatoire spécifique l’ensemble des données d’identification précitées, les taux obtenus ainsi qu’une liste des autres organismes nationaux de la branche retraite déclarés au RNCPS pour l’individu concerné. Il est précisé que ces organismes ne seront destinataires que des données des personnes qui relèvent effectivement de leur périmètre respectif, d’une part, et sans aucune information relative au niveau des revenus de ces personnes.

La Commission considère que ces informations sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

Sur la durée de conservation des données :

Concernant la durée de conservation des données ainsi obtenues, ainsi que des données dérivées (les taux de revalorisation), les éléments fournis à la Commission indiquent que les données collectées via le RNCPS et la DRM seront conservées pendant une durée d’un an. Les éléments transmis aux organismes gestionnaires (notamment le taux de revalorisation) seront, eux, conservés pendant une durée de six mois.

Le ministère explique ce besoin de conservation par une finalité probatoire en cas de contestation ou de contentieux portant sur le calcul du taux.

La Commission estime que ces durées n’excèdent pas celles nécessaires au regard des finalités pour lesquelles elles sont traitées.

Sur les destinataires des données :

Il résulte des éléments fournis par le ministère que seule la CNAV sera destinataire du fichier d’appel obtenu en première étape du traitement projeté, à l’exclusion de tout autre organisme.

De même, les taux de revalorisation générés par le module CARI ne seront communiqués qu’aux organismes gestionnaires des retraites, et ce concernant uniquement la population des pensionnés pour lesquels ces organismes assument effectivement la gestion des prestations de retraite.

Dans la mesure où le traitement projeté entraîne une modification de certaines caractéristiques des traitements PASRAU – base individus et DRM – service de restitution , le ministère et la CNAV, responsables conjoints, ont mis à jour les analyses d’impact sur la protection des données (AIPD) élaborées pour ces deux traitements.

Eu égard aux mesures de sécurité déployées dans le cadre du dispositif DRM, ainsi qu’au caractère relativement peu sensible du taux de revalorisation produit par le module CARI et communiqué aux organismes gestionnaires (par opposition notamment aux données relatives aux revenus des personnes, figurant dans le DRM), ces AIPD ne font pas apparaître de risques résiduels importants pour les personnes concernées.

Selon les éléments communiqués par le ministère, seule une information collective des personnes concernées sera dispensée à travers les sites internet service-public.fr, securite-sociale.fr et cnav.fr, à l’exception de toute communication individuelle et personnalisée.

La Commission estime que ces modalités d’information sont conformes aux dispositions du c) de la partie 5 de l’article 14 du RGPD.

Sur les droits des personnes :

Concernant les traitements existants PASRAU – base individus et DRM – système de restitution , les droits d’accès et de rectification s’exerceront dans les conditions déterminées par le décret n° 2019-969 du 18 septembre 2019, précité.

Le droit d’accès aux données traitées dans le cadre du traitement nouveau (calculateur CARI) pourra être exercé auprès de la CNAV.

Etant donné le caractère ponctuel du traitement projeté, qui ne donnera lieu qu’à une communication unique du taux calculé lors de chacune de ses deux vagues , aucune procédure de rectification des données propre au dispositif CARI n’a été prévue.

Toutefois, les personnes concernées pourront exercer leur droit de rectification directement auprès des organismes gestionnaires concernés, en cas de nécessité de corriger ou de mettre à jour le taux transmis.

Le droit d’opposition ne s’applique pas au traitement CARI car le traitement est fondé sur une obligation légale.

La Commission prend acte de ces éléments qui n’appellent pas d’observations particulières.

Sur la sécurité des données :

La Commission prend acte de ce que le transfert des données nécessaires au module CARI puis du taux de revalorisation s’effectuera via le dispositif DGE, qui est un dispositif de gestion des échanges prévu par l’article R. 114-31 du code de la sécurité sociale et garantissant, entre autres, la confidentialité et la traçabilité des informations échangées, ainsi que la reconnaissance de l’émetteur et du destinataire des données échangées. Des protocoles cryptographiques, tels que TLS, assurent ces garanties de sécurité.

La Commission recommande d’utiliser la version de TLS la plus à jour possible.

Pour les organismes gestionnaires des retraites n’adhérant pas encore à ce dispositif, le transfert du taux de revalorisation s’effectuera via un outil dénommé CX, permettant également des échanges sécurisés. Néanmoins les garanties de sécurité offertes par cet outil n’ont pas été précisées par le ministère.

La Commission rappelle la nécessité de mettre en œuvre des conditions de sécurité effective, de haut niveau et de nature à garantir la confidentialité et la traçabilité des données ainsi que l’authentification des échanges, pour la mise à disposition de fichiers vers des destinataires extérieurs.

Le module CARI n’effectue qu’un calcul des taux de revalorisation, destinés aux différents organismes gestionnaires des retraites. Il n’est ainsi pas prévu d’accès à la base de données par les agents de la CNAV. Cependant des accès d’administration et de requêtage sont prévus.

À cet égard, la Commission rappelle que la politique de mots de passe adoptée par l’organisme doit être conforme aux préconisations de la délibération n° 2017-012 du 19 janvier 2017 portant adoption d’une recommandation relative aux mots de passe.

La Commission prend acte de ce que cette base de données est purgée à l’issue de la durée de conservation et que les fichiers archivés dans le dispositif DGE sont également supprimés à l’issue de cette durée. Elle recommande la mise en place d’outils de purge automatique, y compris pour les fichiers archivés dans l’outil CX.

Enfin, les autres mesures de sécurité n’appellent pas de remarques de la part de la Commission.

Sous réserve des précédentes observations, les mesures de sécurité décrites par le responsable de traitement semblent conformes à l’exigence de sécurité prévue par les articles 5.1.f et 32 du RGPD. La Commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.

Pour la Présidente,

La Vice-Présidente déléguée

Sophie LAMBREMON