Portail numérique des droits sociaux dans le cadre du CPA : publication du décret
Le décret relatif à la mise en œuvre d'un traitement de données à caractère personnel dénommé « portail numérique des droits sociaux » (PNDS) a été publié au JO du 21 mars 2017.
Par Valérie Michelet - Le 27 mars 2017.
Pris en application de l'article L5151-6 du Code du travail, le décret n° 2017-351 du 20 mars 2017 autorise la création d'un traitement de données à caractère personnel pour donner aux assurés un accès centralisé à leurs droits sociaux mis en œuvre par la Caisse centrale de la mutualité sociale agricole (CCMSA).
L'article L5151-6 du Code du travail prévoit en effet que chaque titulaire d'un compte d'activité (CPA) a accès à une plateforme de services en ligne qui lui fournit, notamment, une information sur ses droits sociaux et la possibilité de les simuler.
Pour en savoir plus voir Fiche 5-2 - Système d'information du compte personnel d'activité (accès abonné)
Finalités du portail numérique des droits sociaux (PNDS)
Le portail numérique des droits sociaux (PNDS) poursuit un double objectif de :
- simplification d'accès aux prestations sociales ;
- de lutte contre le non-recours aux droits sociaux.
Le traitement est destiné à tous les assurés sociaux et a vocation à constituer un point d'entrée centralisé aux plateformes des organismes sociaux leur permettant :
- d'une part, d'accéder à des informations générales sur les prestations et droits dans les domaines de la santé, de la retraite, du chômage, du logement, de la solidarité et de la famille ;
- d'autre part, de consulter les informations relatives à leur situation.
Plus précisément, le PNDS permettra aux assurés :
- de consulter leurs droits aux prestations sociales - de simuler les prestations sociales auxquelles ils sont susceptibles d'avoir droit ;
- de recevoir, des organismes qui les gèrent, des informations sur leurs droits ;
- d'engager des démarches auprès des organismes assurant la gestion de leurs prestations sociales.
Modalités de connexion au portail numérique des droits sociaux (PNDS)
Le portail n'est accessible que par le dispositif de connexion FranceConnect
Sur l'absence d'alternative au dispositif de connexion FranceConnect, la commission informatique et liberté (CNIL) dans sa délibération n° 2017-016 du 26 janvier 2017 attire l'attention du ministère sur le fait que le dispositif FranceConnect doit demeurer facultatif et, par conséquent, que les personnes qui ne souhaiteraient pas utiliser un tel dispositif ne devraient pas être privées du bénéfice de services tels que ceux proposés par le PNDS. Aussi, elle invite le ministère à prévoir un processus alternatif permettant aux personnes de bénéficier des services du PNDS.
Nature des données traitées
Les informations traitées dans le cadre du PNDS sont relatives aux assurés sociaux ainsi qu'aux membres de leur foyer. Il s'agit des données :
- issues du répertoire national commun de la protection sociale (dont l'identification de l' assuré, son nom de famille, son sexe, ses date et lieu de naissance) ;
- issues de la déclaration sociale nominative (DSN), des systèmes d'information des caisses de sécurité sociale, de Pôle emploi et de la direction générale des finances publiques (dont des informations relatives aux ressources et aux prestations servies par les organismes de protection sociale et par Pôle emploi) ;
- issues du traitement automatisé de données à caractère personnel dénommé « Système d'information du compte personnel d'activité (SI-CPA) » relatives aux droits inscrits sur les différents comptes constituant le compte personnel d'activité (CPA) ;
- relatives à la traçabilité des accès (adresse IP de l'usager ; données de connexion de l'usager au dispositif d'identification et d'authentification, parmi lesquelles son identifiant spécifique au titre de ce dispositif ; dates et heures de connexion de l'usager au portail numérique des droits sociaux).
Seules sont enregistrées dans le traitement les informations portant sur l'identifiant FranceConnect, le NIR et les données de connexion (dates et heures de connexion, adresse IP). Les autres données sont uniquement accessibles en consultation.
Concernant les informations relatives aux ressources issues de la direction générale des finances publiques (DGFIP) et de la déclaration sociale nominative (DSN) sont affichées sur le PNDS.Le ministère a indiqué que dans la première version du portail, les données relatives aux ressources ne concerneront que les informations détenues par la branche famille et par Pôle emploi, et ne seront pas issues de la DGFIP, ni de la DSN.
Certaines données pourront également être renseignées directement par les assurés pour réaliser des simulations. Ces données ne feront pas l'objet d'un enregistrement.
Durée de conservation des données
L'identifiant FranceConnect et le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) sont conservés dans le traitement projeté pendant une durée d'un an après la dernière connexion de l'usager concerné.
Les données de « traces » et de « traces de contact » sont conservées pendant une durée ne pouvant excéder un mois après l'achèvement des opérations de pilotage et de gestion technique des incidents.
A l'expiration de ces durées, les données sont définitivement détruites.
Destinataires des données
Chaque usager du PNDS a accès exclusivement à l'ensemble des données qui le concernent, après identification et authentification au moyen du téléservice France Connect.
Les agents de la CCMSA ont accès aux données du PNDS.
Pour la gestion du portail, les agents habilités de la CCMSA auront accès :
- aux données relatives au NIR,
- à l'identifiant France Connect
- aux données de connexion.
La CNIL a été informée de la mise en place d'une plateforme téléphonique afin d'accompagner les usagers dans l'utilisation du service. Dans ce cadre, des conseillers auront accès aux informations visées par le décre, cet accès se limite à une simple consultation sans possibilité de modification ni suppression.
Information des personnes
Les personnes concernées sont informées au moyen d'une information figurant sur le portail numérique des droits sociaux :
- de la mise en œuvre du traitement,
- de l'identité de son responsable,
- des catégories de destinataires des données et de leur durée de conservation,
Les droits d'accès et de rectification prévus aux articles 39 et 40 de la loi du 6 janvier 1978 modifiée s'exercent auprès de chacun des organismes auxquels les personnes sont rattachées. Le droit d'opposition ne s'applique pas au traitement dont la création est autorisée par l'article 1er du présent décret.
A cet égard, la CNIL dans sa délibération n° 2017-016 du 26 janvier 2017 constate que le NIR, l'identifiant France Connect et les données de connexion sont enregistrées dans le traitement PNDS. Dans ces conditions, les personnes souhaitant avoir accès à ces données devront pouvoir exercer leurs droits auprès de la CCMSA.
Par ailleurs, concernant l'exclusion du droit d'opposition, dans la mesure où le traitement est facultatif, la CNIL relève que les personnes peuvent, en pratique, demander la fermeture de leur espace personnel sur le PNDS. Dès lors, elle s'interroge sur l'opportunité de prévoir l'exclusion du droit d'opposition.
Sécurité des données et traçabilité des actions
Le responsable du traitement autorisé prend les mesures nécessaires pour préserver la sécurité des données utilisées par le traitement.