Délibération n° 2015-091 du 19 mars 2015 portant avis sur un projet de décret en Conseil d'Etat autorisant la création de traitements de données à caractère personnel mis en œuvre par le régime social des indépendants et par la mutualité sociale agricole pour la gestion de la relation avec leurs ressortissants (demande d'avis n° 15000720)
| Jurisdiction | France |
| Publication au Gazette officiel | JORF n°0206 du 6 septembre 2015 |
| Enactment Date | 19 mars 2015 |
| Record Number | JORFTEXT000031132529 |
| Court | COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTES |
| Date de publication | 06 septembre 2015 |
La Commission nationale de l'informatique et des libertés,
Saisie par la ministre des affaires sociales, de la santé et des droits des femmes d'une demande d'avis concernant un projet de décret en Conseil d'Etat autorisant la création de traitements de données à caractère personnel mis en œuvre par le régime social des indépendants et par la mutualité sociale agricole pour la gestion de la relation avec leurs ressortissants ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données :
Vu le code rural et de la pêche maritime ;
Vu le code de la sécurité sociale ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 27-1-1° et 29 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Après avoir entendu M. Alexandre LINDEN, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie, le 13 janvier 2015, et par saisine rectificative le 20 février 2015, par le ministère des affaires sociales, de la santé et des droits des femmes d'une demande d'avis concernant un projet de décret en Conseil d'Etat (ci-après « le projet ») autorisant les traitements de données à caractère personnel pour la gestion de la relation du régime social des indépendants (ci-après le « RSI ») et de la mutualité sociale agricole (ci-après la « MSA ») avec leurs ressortissants.
Ce projet vise à créer des traitements de données à caractère personnel permettant la gestion de la relation des organismes locaux et nationaux du RSI et de la MSA avec leurs ressortissants portant notamment sur le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR).
Le projet soumis à la commission est pris en application de l'article 27-1 (1°) et de l'article 29 de la loi du 6 janvier 1978 modifiée (ci-après « loi informatique et libertés »).
L'article 27-1 (1°) de la loi informatique et libertés prévoit que « sont autorisés par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés : les traitements de données à caractère personnel mis en œuvre pour le compte (…) d'une personne morale de droit public (…) qui portent sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques ».
L'article R.115-1 du code de la sécurité sociale prévoit que « Les organismes et administrations chargés de la gestion d'un régime obligatoire de base de sécurité sociale et, le cas échéant, les organismes habilités par la loi ou par une convention à participer à la gestion de ces régimes » sont autorisés à utiliser le NIR. Ces dispositions sont complétées par celles de l'article R. 115-2 qui précise que « l'autorisation donnée à l'article R. 115-1 vaut exclusivement pour les traitements mis en œuvre dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 » pour des finalités au nombre desquelles ne figurent pas la gestion de la relation avec les assurés sociaux.
Dès lors que ces traitements sont substantiellement différents de ceux qu'autorisent les dispositions réglementaires en vigueur, ils doivent être autorisés par décret en Conseil d'Etat pris après avis de la CNIL, en application de l'article 27-1 (1°) précité.
Sur la dénomination et les finalités des traitements :
L'article 1er du projet explicite le périmètre et les finalités des traitements mis en œuvre dans le cadre de la gestion de la relation par le RSI et la MSA avec leurs ressortissants.
Le projet est relatif à la mise en œuvre de traitements de données à caractère personnel dénommés « gestion de la relation client (GCR) » par les organismes locaux et nationaux du RSI et de la MSA, qui sont chacun responsable du traitement qu'ils mettent en œuvre.
La commission relève que le projet est accompagné d'un dossier de présentation du traitement envisagé par le RSI. Elle n'a cependant été destinataire d'aucun élément concernant le traitement envisagé par la MSA de sorte qu'elle ne peut se prononcer...
Pour continuer la lecture
SOLLICITEZ VOTRE ESSAI