mardi 9 août 2011

Fichier centralisé des allocataires sociaux : quel rôle pour la CNIL ?

Dans une interview publiée dans le Journal du Dimanche du 6 août 2011, le Ministre du Transport - Thierry Mariani - a indiqué son souhait de voir la mise en oeuvre d'un fichier des allocataires sociaux afin de lutter contre la fraude, notamment, aux prestations et autres allocations familiales. Cette annonce a été l'occasion d'un nouveau débat politique, où de nombreuses voix se sont fait entendre. Sauf une. Celle de la Commission nationale à l'informatique et aux libertés (CNIL).

Files
Source : Horrgakx sur flick (cc)

Suite à l'annonce de Thierry Mariani, le lendemain, le Ministre du Travail - Xavier Bertrand - confirmait la mise en oeuvre de ce fichier avant la fin de l'année 2011. Le surlendemain, c'était au tour de Roseline Bachelot - Ministre des Solidarités - d'annoncer la mise en oeuvre de ce fichier. Une dépêche d'American Press (AP) annonçait surtout que le cadre juridique était d'ores et déjà existant et que le fichier avait reçu l'aval de la Commission nationale à l'informatique et aux libertés.

En effet, l'article 138 de la loi n°2006-1640 du 21 décembre 2006 de financement de la sécurité sociale pour 2007 a créé un article L. 114-12-1 au Code de la sécurité sociale prévoyant la création du "Répertoire National Commun de la Protection Sociale" (RNCPS).

Le RNCPS, une volonté de parlementaires ...

D'où provient cet article ? Il convient de noter tout d'abord qu'il ne figurait pas dans le corps du projet de loi de financement de la sécurité sociale pour 2007 (PLSS2007) tel que déposé sur le bureau de l'Assemblée nationale le 11 octobre 2006.

Il provient d'un amendement parlementaire déposé par 3 députés UMP (Pierre Morange, Jean-Pierre Door et Jean-Michel Dubernard) le 23 octobre 2006. Les députés justifiaient ainsi leur proposition :
"La Mission d’Evaluation et de Contrôle de la Sécurité Sociale (MECSS) présidée par Pierre MORANGE et Jean-Marie LE GUEN a proposé, dans un rapport de Jean-Pierre DOOR de novembre 2005, la création d’un fichier interbranche des assurés, avec trois ambitions : une qualité de service renforcée, se traduisant notamment par la simplification des démarches et procédures ; une productivité accrue pour les différents régimes ; une efficacité nouvelle pour le contrôle du versement des prestations et la lutte contre les fraudes"
En effet, dans ledit rapport de novembre 2005, le passage suivant apparaît :
"La coopération interbranche trouverait utilement à s'appliquer dans la création d'un fichier d'identification des assurés interbranches ou dans l'utilisation d'une base de données existante (fisc, fichier INSEE...). Cette suggestion formulée par un gestionnaire de caisse réduirait les erreurs d'identification, les risques de fraudes, et garantirait l'interopérabilité des systèmes d'information de chaque branche. Il ne faut pas sous-estimer sa difficulté de mise en place, qui exigera le respect de l'exigence de confidentialité. Cependant, il semble assez pertinent que le régime général puisse, sous réserve des dispositions relatives à la protection des données personnelles, disposer et utiliser un identifiant unique correspondant à chaque assuré. À signaler que la nouvelle COG de la CNAF prévoit la création d'un répertoire national de branche. Compte tenu de ces retards, le chemin vers l'interbranche sera donc long."

Les débats parlementaires autour de cet amendement ont été plutôt laconiques à l'Assemblée nationale. Au Sénat, les représentants du Groupe Communiste furent alors les seuls à s'exprimer en défaveur de cette disposition.

... sans consultation préalable de la CNIL ...

Mais un sujet apparaissait alors : le fait que la CNIL ait été oubliée dans le cadre de la préparation de ce texte. Venant d'une initiative parlementaire, l'amendement n'avait pas été discuté au préalable avec la CNIL. Dans le rapport établi au Sénat, on apprend même qu'elle était plutôt réticente au texte :
"Le présent article permet de franchir une étape supplémentaire avec la création d'un répertoire unique. La Cnil, non consultée, estime cette disposition sujette à caution et prématurée."

Le Sénateur Jean-Jacques Jegou affirmera ainsi lors des débats que "dans cette affaire on met la charrue devant les boeufs" en n'ayant point eu d'échanges avec la CNIL.

D'où l'idée qui surgit alors de soumettre le décret d'application à un avis conforme de la CNIL. En séance, Xavier Bertrand - Ministre à l'époque - prend un engagement : "Pour apporter les garanties nécessaires, je suis d'accord pour prévoir que l'avis conforme de la CNIL sera sollicité. Je ne peux pas faire plus !"

Seulement, le Conseil constitutionnel invalidait cette obligation au motif que le Parlement n'avait pas les pouvoirs d'imposer un tel avis conforme au Gouvernement (même avec son accord).

Le texte est alors publié au Journal officiel du 22 décembre 2006. Une première modification de l'article intervient par l'article 111 de la loi n° 2007-1786 du 19 décembre 2007 de financement de la sécurité sociale pour 2008, une seconde (purement formelle) par l'article 14 de la loi n° 2008-126 du 13 février 2008 relative à la réforme de l'organisation du service public de l'emploi et une dernière par l'article 7 de la loi n° 2010-1330 du 9 novembre 2010 portant réforme des retraites.

Donc, sur le fond, la création du RNCPS a été immortalisée par la loi de financement de la sécurité sociale de 2007 adoptée à la fin de l'année 2006.

Il faudra attendre le Journal officiel du 18 décembre 2009 (soit 3 années plus tard) pour voir paraître le décret n° 2009-1577 du 16 décembre 2009 relatif au Répertoire national commun de la protection sociale. Ce texte est la deuxième - et nécessaire étape - destinée à la création dudit fichier.

Préalablement à sa publication, la CNIL avait rendu le 30 avril 2009 un avis argumenté sur le texte demandant quelques aménagements. Mais le principe ayant été acté par la loi, la CNIL ne pouvait donc pas critiquer la mise en place d'un tel fichier centralisé.

Pour autant, malgré l'engagement formel du Ministre de l'époque de solliciter un avis conforme, on aurait pu imaginer que - malgré la censure du Conseil constitutionnel - le principe soit respecté.

Dans son avis, la CNIL recommandait un élément important. Le projet de décret renvoyait à un arrêté le soin de déterminer notamment la liste des prestations sociales concernées, mais sans prévoir de consultation préalable de la CNIL. Technique déjà éprouvée (on a connu la même chose avec les arrêtés sur la conservation des données de connexion).

... Jusqu'à la fin ?

Mais la CNIL voit clair dans ce petit jeu et estime ainsi que l'arrêté prévu par le décret "devrait lui être soumis pour avis afin de donner son plein effet au dernier alinéa de l’article L114-12-1 du Code de la sécurité sociale qui dispose que c’est le décret pris après avis de la CNIL qui fixe le contenu du répertoire". Cette obligation n'a pas été reprise dans le décret finalement publié au Journal officiel, le Gouvernement - Xavier Darcos étant alors Ministre du Travail - s'étant néanmoins engager à "seulement (...) lui adresser le projet d’arrêté".

A ce jour, l'arrêté en question n'a pas été publié au Journal officiel. Seule sa publication permettra alors de mettre en oeuvre ce fameux fichier centralisé. A noter que l'arrêté devra préciser la liste "des risques, droits et prestations entrant dans le champ du RNCPS".

Sa publication sera donc décisive de la portée du fichier et de son interconnexion. Et on comprend alors les souhaits de la CNIL à voir ce texte lui être préalablement soumis pour avis.

Peut être alors que Xavier Bertrand, actuel Ministre du Travail et donc chargé de ce dossier, se souviendra des engagements pris par lui devant la Haute Assemblée de solliciter un avis conforme de la CNIL sur le dispositif ce qui devrait, normalement, inclure également le fameux arrêté.

Certes, il "ne peut pas faire plus", mais ça serait déjà beaucoup.

Aucun commentaire: