Délibération n° 2020-153 du 18 novembre 2020 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion du régime de prestations familiales en faveur des travailleurs indépendants » présenté par la Caisse d'Assurance Maladie, accident et maternité des Travailleurs Indépendants (CAMTI).
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la Convention franco-monégasque de sécurité sociale du 28 février 1952, modifiée ;
Vu la Recommandation R(86) du Conseil de l’Europe du 23 janvier 1986 relative à la protection des données à caractère personnel utilisées à des fins de sécurité sociale ;
Vu la loi n° 644 du 17 janvier 1958 sur la retraite des travailleurs indépendants, modifiée ;
Vu la loi n° 1.048 du 28 juillet 1982 instituant un régime de prestations sociales en faveur des travailleurs indépendants, modifiée ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 1.493 du 8 juillet 2020 instituant un régime de prestations familiales en faveur des travailleurs indépendants ;
Vu l’Ordonnance Souveraine n° 1.812 du 30 mai 1958 portant application de la loi n° 644 du 17 janvier 1958, modifiée, susvisée ;
Vu l’Ordonnance Souveraine n° 7.488 du 1er octobre 1982, modifiée, fixant les modalités d’application de la loi n° 1.048 du 28 juillet 1982, modifiée, susvisée ;
Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’Ordonnance Souveraine n° 8.200 du 24 juillet 2020 portant application de la loi instituant un régime de prestations familiales en faveur des travailleurs indépendants ;
Vu l’arrêté ministériel n° 2009-382 du 31 juillet 2009 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la délibération n° 2016-187 du 14 décembre 2016 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre de la modification du traitement automatisé d’informations nominatives ayant pour finalité « Suivi des assurés télétravailleurs relevant de la CCSS » présentée par la Caisse de Compensation des Services Sociaux de Monaco ;
Vu la demande d’avis reçue le 24 juillet 2020 concernant la mise en œuvre par la Caisse d’Assurance Maladie, accident et maternité des Travailleurs Indépendants d’un traitement automatisé d’informations nominatives ayant pour finalité « Gestion du régime de prestations familiales en faveur des travailleurs indépendants » ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée à la Caisse d’Assurance Maladie, accident et maternité des Travailleurs Indépendants le 23 septembre 2020, conformément à l’article19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 18 novembre 2020 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La Caisse d’Assurance Maladie, accident et maternité des Travailleurs Indépendants (CAMTI) est un organisme de droit privé investi d’une mission d’intérêt général au sens de l’arrêté ministériel n° 2009-382 du 31 juillet 2009.
Ainsi, le traitement d’informations nominatives objet de la présente délibération est soumis à l’avis de la Commission conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité « Gestion du régime de prestations familiales en faveur des travailleurs indépendants ».
Les personnes concernées sont d’une part les allocataires et leurs ayants droit et d’autre part les attributaires.
Ses fonctionnalités sont les suivantes :
- la constitution des dossiers ;
- la détermination des droits aux prestations ;
- la vérification et le paiement des prestations ;
- l’envoi des décomptes des prestations ;
- la campagne annuelle de contrôle du respect des conditions d’ouverture de droit, portant notamment sur la scolarité de l’enfant et sur l’activité du conjoint/autre parent de l’enfant ;
- la réalisation de statistiques.
La Commission constate ainsi que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le traitement dont s’agit est tout d’abord justifié par le respect d’une obligation légale à laquelle est soumis le responsable de traitement.
La Commission constate ainsi que la loi n° 1.493 du 8 juillet 2020 institue un régime de prestations familiales en faveur des travailleurs indépendants.
Le traitement est par ailleurs justifié par un motif d’intérêt public puisque « le versement de ces prestations par la CAMTI s’inscrit dans le cadre de la mission d’intérêt général de cet organisme ».
Enfin, le traitement est justifié par la réalisation d’un intérêt légitime poursuivi par le responsable de traitement qui ne méconnaît ni l’intérêt, ni les droits et libertés fondamentaux de la personne concernée.
À cet effet, la Commission constate que « dans le cadre de la mise en œuvre de la loi, un formulaire a été adressé aux travailleurs indépendants afin de recueillir les données utiles pour la constitution des dossiers » et que « Ces informations permettent de déterminer les foyers éligibles au versement de prestations familiales et d’en déterminer le type et le montant ».
Elle considère donc que le traitement est justifié, conformément aux dispositions de l’article 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations nominatives traitées
Les informations nominatives traitées sont :
- identité : nom (usage et de naissance), prénoms, nationalité, date et lieu de naissance, sexe, date de décès ;
- situation de famille : situation familiale (célibataire, divorcé, marié, veuf) et composition familiale du foyer, mode de garde des enfants ;
- n° d’assuré social : caisse d’allocation familiale d’origine en cas de transfert d’affiliation, n° d’immatriculation, n° allocataire du régime d’origine en cas de transfert d’affiliation (n° CAF et/ou NIR) ;
- adresses et coordonnées : adresse personnelle et professionnelle, adresse électronique, numéro de téléphone ;
- formation, diplômes, vie professionnelle : statut des enfants (crèche, scolaire, étudiants, apprenti), classes et établissements fréquentés, activité professionnelle de l’autre parent ;
- caractéristiques financières : ressources du foyer, renseignements bancaires (RIB), droits ouverts, historique des paiements de prestations (décomptes), défaut de paiement des cotisations CAMTI, Indu de prestations familiales ;
- logs de connexion : logs des administrateurs et des utilisateurs.
Les informations relatives à l’identité, à la situation de famille, au n° d’assuré social, aux adresses et coordonnées ont pour origine les personnes concernées ainsi que les traitements ayant respectivement pour finalité « Gestion du domaine de recouvrement des cotisations » et « Gestion des prestations médicales ».
Les informations relatives à la formation, aux diplômes et à la vie professionnelle ont pour origine les personnes concernées, l’établissement fréquenté ou la Direction de l’Éducation Nationale, de la Jeunesse et des Sports.
Les caractéristiques financières ont pour origine les personnes concernées et le Système d’information des Caisses Sociales.
Enfin, les logs de connexion ont pour origine le Système d’information.
La Commission considère ainsi que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
- Sur l’information préalable des personnes concernées
L’information préalable des personnes concernées s’effectue par le biais d’une mention sur le document de collecte ainsi que par le biais d’une rubrique propre à la protection des données accessible en ligne.
Ces documents n’ayant pas été joints à la demande d’avis, la Commission rappelle que l’information préalable des personnes concernées doit comporter l’ensemble des mentions prévues à l’article 14 de la loi n° 1.165 du 23 décembre 1993.
- Sur l’exercice du droit d’accès, de modification et de mise à jour
Le droit d’accès s’exerce par un accès en ligne, par courrier électronique, par voie postale ou sur place, auprès du Délégué à la Protection des Données des Caisses Sociales de Monaco ou du Service des Prestations Familiales des Caisses Sociales de Monaco.
S’agissant de l’exercice du droit d’accès par voie électronique, la Commission considère qu’une procédure devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-116 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.
Sous cette condition, la Commission constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.
V. Sur les destinataires et les personnes ayant accès au traitement
- Sur les destinataires
Le responsable de traitement indique que les Caisses d’allocations familiales françaises et italiennes, ainsi que le Service des Prestations Médicales de l’État, au titre de la coopération inter-organisme, sont destinataires des informations à des fins de coordination des dispositifs notamment pour éviter les situations de double droit (transfert d’affiliation).
Il précise par ailleurs que les banques sont destinataires des coordonnées bancaires pour le paiement des prestations.
La Commission considère que ces transmissions sont conformes aux exigences légales.
- Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement sont :
- les services Immatriculation, Contentieux, et Agence Comptable : consultation des données concernant les travailleurs indépendants et leurs ayants droit ;
- le Service Recouvrement des cotisations : consultation des données concernant les travailleurs indépendants et leurs ayants droit ; inscription et modification des données relatives au travailleur indépendant, à l’exception de l’adresse personnelle ;
- les services Prestations Médicales et Prestations Familiales : consultation des données concernant les travailleurs indépendants et leurs ayants droit, inscription et modification des données relatives aux ayants droit et attributaires et de l’adresse personnelle du travailleur indépendant ;
- le service informatique des Caisses Sociales : tous droits dans le cadre de la maintenance.
La Commission considère que ces accès sont justifiés.
VI. Sur les interconnexions et rapprochements
Le responsable de traitement indique que le présent traitement fait l’objet d’une interconnexion avec trois traitements ayant respectivement pour finalité :
- « Gestion du domaine de recouvrement des cotisations » ;
- « Gestion des prestations médicales » ;
- « Gestion des prestations familiales ».
Il indique en outre que ce traitement fait l’objet de rapprochements avec trois traitements ayant respectivement pour finalité :
- « Téléservices aux assurés » ;
- « Gestion du personnel et production de statistiques sur les utilisations de la messagerie et de l’internet » ;
- « Gestion des accès aux systèmes d’information opérés par les caisses sociales ».
La Commission constate que ces traitements sont légalement mis en œuvre.
Elle relève toutefois à la lecture du dossier qu’un nouveau téléservice a été créé durant la crise sanitaire COVID-19 et en raison des mesures de confinement afin de permettre « aux assurés d’envoyer des documents directement via leur Espace Personnel ».
Ce traitement n’ayant pas fait l’objet de formalité auprès de la CCIN, la Commission demande au responsable de traitement de le lui soumettre dans les plus brefs délais.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
La Commission rappelle néanmoins que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Elle rappelle également que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
De plus, les communications électroniques doivent être sécurisées en tenant compte de la nature des informations transmises.
VIII. Sur la durée de conservation
Le responsable de traitement indique que les informations relatives à l’identité, à la situation de famille, aux adresses et coordonnées, à la formation, aux diplômes et à la vie professionnelle ainsi que les caractéristiques financières sont conservées 5 ans après le décès du dernier ayant-droit.
À cet égard, la Commission relève que dans sa délibération n° 2016-187 du 14 décembre 2016, elle s’était prononcé favorablement sur cette durée de conservation après avoir pris note des précisions de la Caisse de Compensation des Services Sociaux de Monaco qui avait indiqué « qu’afin de déterminer le moment à partir duquel les informations pourraient perdre leur forme nominative, il convenait également de prendre en considération la situation des ayants droit d’un assuré décédé et de la nécessité pour la Caisse de disposer des éléments permettant de déterminer les droits des ou de l’ayant(s) droit de cet assuré en application de la Convention franco-monégasque de sécurité sociale ».
Elle prend acte par ailleurs que le « n° d’assuré social (matricule) constitue une clé unique » du système d’information des Caisses Sociales et « ne fait donc pas l’objet d’une épuration ».
Enfin, le responsable de traitement précise que les logs de connexion sont conservés 1 an.
La Commission considère ainsi que ces durées de conservation sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Considère qu’une procédure relative au droit d’accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations.
Rappelle que :
- l’information préalable des personnes concernées doit comporter l’ensemble des mentions prévues à l’article 14 de la loi n° 1.165 du 23 décembre 1993 ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;
- les communications électroniques doivent être sécurisées en tenant compte de la nature des informations transmises.
Demande au responsable de traitement de lui soumettre dans les plus brefs délais le traitement lié au téléservice mis en place pendant la crise du COVID-19 afin de permettre « aux assurés d’envoyer des documents directement via leur Espace Personnel ».
À la condition de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par la Caisse d’Assurance Maladie, accident et maternité des Travailleurs Indépendants (CAMTI) du traitement automatisé d’informations nominatives ayant pour finalité « Gestion du régime de prestations familiales en faveur des travailleurs indépendants ».
Le Président de la Commission de
Contrôle des Informations Nominatives.