Le PNDS... parer au risque du non-recours aux droits ? D. n° 2017-351, 20 mars 2017, création, traitement de données à caractère personnel ’portail numérique des droits sociaux’
Le 21 mars 2017, par Geneviève Koubi,
La création de téléservices, de services à distance, de services en ligne, de portails numériques à destination des citoyens, des administrés, des usagers, des bénéficiaires de prestations diverses s’amplifie. La numérisation des relations sociales se déploie largement dans tous les secteurs, qu’il s’agisse des rapports avec l’administration, à l’exemple de bien des dispositions intégrées dans le Code des relations entre le public et l’administration, qu’il s’agisse des modalités de protection de la santé comme le prévoient nombre de dispositions spécifiques aux traitements automatisés de données de santé à caractère personnel dans le Code de la santé publique, qu’ils s’agisse désormais, comme le décret n° 2017-351 du 20 mars 2017 portant création du traitement de données à caractère personnel dénommé « portail numérique des droits sociaux » ( [1]), l’institue, de l’accès aux droits sociaux.
Créé pour permettre « aux personnes de consulter leurs droits aux prestations sociales, de simuler les prestations sociales auxquelles ils sont susceptibles d’avoir droit, de recevoir des informations sur leurs droits et d’engager des démarches auprès des organismes assurant la gestion de leurs prestations sociales » [2], ce portail numérique des droits sociaux (PNDS) concerne logiquement les assurés sociaux.
Adossé à un traitement de données à caractère personnel comme la plupart des téléservices mis en œuvre par les administrations, ce portail exige de l’usager des procédures particulières d’identification et d’authentification [3], alors même que le « non recours aux droits » [4] est, pour une part, dépendant de ce qu’il est convenu de désigner comme « la fracture numérique » tant les informations sont rarement dispensées et les démarches à effectuer incomprises, ce qui peut générer des difficultés incitant alors les intéressés à renoncer à leurs droits et prestations auxquels ils pouvaient prétendre.
Dans le rapport annuel pour 2016 du Défenseur des droits, il était ainsi signalé que nombreuses sont les personnes « qui n’ont pas d’accès Internet ou éprouvent des difficultés à accomplir des démarches administratives sur Internet » [5]. Plus encore, il y était relevé que, « dans une société organisant la solidarité par la mise en place de systèmes complexes de cotisations et de prestations sociales, les exigences administratives de tel ou tel organisme sont susceptibles de détériorer considérablement et brutalement les conditions de vie des personnes » [6].
C’est donc sans tenir compte de ces observations qu’a été « autorisée la création d’un traitement de données à caractère personnel dénommé « portail numérique des droits sociaux » (PNDS) et mis en œuvre par la Caisse centrale de la mutualité sociale agricole, responsable du traitement » [7]. La Commission nationale de l’informatique et des libertés (CNIL), dans son avis n° 2017-016 du 26 janvier 2017 sur le projet de décret relatif à ce portail numérique des droits sociaux note, sans commentaires particuliers que la mise en œuvre du traitement a été confiée à la Caisse centrale de la mutualité sociale agricole (CCMSA). Ce choix non explicité laisse pourtant perplexe.
L’article 2 du décret donne la liste des « « données utilisées par le traitement ». Ce sont :
d’abord (1°), « Les données issues du répertoire national commun de la protection sociale mentionné à l’article L. 114-12-1 du code de la sécurité sociale : / a) L’identification de l’assuré social qui se connecte et des autres membres de son foyer : i) Le numéro d’inscription au Répertoire national d’identification des personnes physiques - NIR - et celui ou ceux qui lui auraient été précédemment attribués ou, pour les personnes en instance d’attribution d’un numéro d’inscription au Répertoire national d’identification des personnes physiques, un numéro identifiant d’attente - NIA - ; ii) Les noms de famille, et, le cas échéant, le nom d’usage, et les prénoms ; iii) Le sexe ; iv) La date et le lieu de naissance ; v) Les coordonnées postales, téléphoniques et électroniques ; / b) Les données et informations centralisées de rattachement de la personne qui se connecte et des autres membres de son foyer : i) Les données de rattachement aux régimes de base et aux régimes complémentaires le cas échéant ; ii) Les coordonnées postales, téléphoniques et électroniques des régimes de base et complémentaires ; iii) L’état du dossier de demande de prestations ; iv) Les données relatives aux périodes d’ouverture de droits ; »
ensuite (2°), « Les données issues de la déclaration sociale nominative prévu par l’article L. 133-5-3 du code de la sécurité sociale, des systèmes d’information des caisses de sécurité sociale, de Pôle emploi et de la direction générale des finances publiques : / a) Les données relatives à l’existence de comptes en ligne activés auprès des organismes de protection sociale et de Pôle emploi ; / b) Les informations relatives au dernier montant de prestation versé à l’assuré ou à un tiers pour chaque prestation dont l’assuré bénéficie ; / c) Les informations relatives aux ressources ; / d) Les données relatives aux prestations servies par les organismes de protection sociale et par Pôle emploi : i) Les situations d’exonération de participation financière de l’assuré aux dépenses de santé ; ii) Le médecin traitant et ses coordonnées ; iii) La situation maritale ; iv) La situation au regard du handicap ; v) Le quotient familial ; vi) Le type de logement, le statut d’occupation et le lien de parenté de l’assuré ou de l’occupant avec le propriétaire ; vii) Le montant du loyer déclaré ; viii) Le numéro d’allocataire CAF ; ix) La durée d’assurance tous régimes confondus ; x) L’identifiant Pôle emploi ; xi) La nature des allocations dont bénéficie l’assuré ;
puis (3°), « Des données issues du traitement automatisé de données à caractère personnel dénommé « Système d’information du compte personnel d’activité (SI-CPA) », prévu par l’article R. 5151-2 du code du travail, relatives aux droits inscrits sur les différents comptes constituant le compte personnel d’activité ; »
mais encore (4°), « Les données relatives à la traçabilité des accès : a) L’adresse IP de l’usager ; b) Les données de connexion de l’usager au dispositif d’identification et d’authentification mentionné à l’article 3, parmi lesquelles son identifiant spécifique au titre de ce dispositif ; c) Les dates et heures de connexion de l’usager au portail numérique des droits sociaux… »
Certes, encore une fois, c’est « dans la limite de leur besoin d’en connaître », qu’ont accès aux données, les agents de la caisse centrale et des organismes de la mutualité sociale agricole « chargés de l’assistance téléphonique aux usagers du « portail numérique des droits sociaux » » [8]. L’assistance téléphonique ainsi envisagée dénote d’une réflexion spécifique quant aux difficultés que peut générer un tel portail pour les assurés sociaux. C’est toujours « dans la limite de leur besoin d’en connaître », qu’ont « accès au numéro d’inscription au répertoire national d’identification des personnes physiques et à l’identifiant France Connect de l’assuré, les autres agents de la caisse centrale et des organismes de la mutualité sociale agricole dont les missions le justifient au regard de la mission conférée à cette caisse centrale et à ces organismes » [9].
Certes, comme le remarque la CNIL, « le traitement envisagé est destiné à tous les assurés sociaux et a vocation à constituer un point d’entrée centralisé aux plateformes des organismes sociaux leur permettant, d’une part, d’accéder à des informations générales sur les prestations et droits dans les domaines de la santé, de la retraite, du chômage, du logement, de la solidarité et de la famille et, d’autre part, de consulter les informations relatives à leur situation ». Mais une fois de plus, tout se jouera à travers des traitements automatisés de données à caractère personnel… centralisés.
Notes :
[1] JO 21 mars 2017.
[2] Selon la « notice » qui le présente au Journal officiel, en répétant les dispositions de l’article 1er dudit décret.
[3] Ce, « au moyen du téléservice d’identification et d’authentification mis en œuvre par la direction interministérielle des systèmes d’information et de communication de l’Etat - DINSIC -, dénommé "FranceConnect" », D. n° 2017-351 du 20 mars 2017, art. 3. Pourtant, la CNIL avait dans son avis n° 2015-254 du 16 juillet 2015 sur le projet d’arrêté portant création d’un traitement de données à caractère personnel par la direction interministérielle des systèmes d’information et de communication d’un téléservice dénommé "FranceConnect", avait retenu que l’utilisation du dispositif FranceConnect devait être facultative (JO 6 août 2015). Or, en l’espèce, « aucun dispositif alternatif à l’identification via FranceConnect n’est envisagé » (avis n° 2017-016 du 26 janvier 2017 sur le projet de décret relatif au portail numérique des droits sociaux, JO 21 mars 2017).
[4] V. entre autres, P. Warin, « Mieux informer les publics vulnérables pour éviter le non-recours », Informations sociales, 2013, n° 178, p. 52 ; D. Roman, « Les enjeux juridiques du non-recours aux droits », RDSS 2012, p. 603 ; ODENORE, L’envers de la "fraude sociale" : le scandale du non-recours aux droits sociaux, 2012.
[5] Rapport annuel du Défenseur des droits pour 2016, p. 21.
[6] Id., p. 27.
[7] D. n° 2017-351 du 20 mars 2017, art. 1er.
[8] D. n° 2017-351 du 20 mars 2017, art. 4, al. 2.
[9] D. n° 2017-351 du 20 mars 2017, art. 4, al. 3.