Consultez notre étude 2010 — 2011 sur les sanctions relatives à la présence des députés !

Mission d’évaluation et de contrôle des lois de financement de la sécurité sociale

Séance du 17 février 2011 à 9h00

Résumé de la séance

Les mots clés de cette séance

  • CNIL
  • allocation
  • d'allocations familiales
  • fichier
  • fraude
  • interconnexion

La séance

Source

COMMISSION DES AFFAIRES SOCIALES

MISSION D'ÉVALUATION ET DE CONTRÔLE DES LOIS DE FINANCEMENT DE LA SÉCURITÉ SOCIALE

Jeudi 17 février 2011

La séance est ouverte à neuf heures dix.

(Présidence de M. Pierre Morange, coprésident de la mission)

La Mission d'évaluation et de contrôle des lois de financement de la sécurité sociale (MECSS) procède à l'audition de M. Philippe Gosselin, député de la Manche, membre du collège de la Commission nationale de l'informatique et des libertés (CNIL), et de M. Paul Hébert, chef du service des affaires juridiques.

PermalienPhoto de Philippe Gosselin

Je vous prie de bien vouloir excuser l'absence de M. Alex Türk, président de la CNIL, retenu par une réunion plénière. Cela fait deux ans, pour ma part, que je suis chargé du secteur qui vous intéresse.

Sans être une des missions confiées par le législateur à la CNIL, la lutte contre la fraude est au nombre de ses préoccupations. À aucun moment, la Commission n'a souhaité favoriser la rétention d'informations, ni ériger des barrières infranchissables en arguant de la législation ou de la réglementation en vigueur.

Un ensemble de dispositions nouvelles a été adopté depuis la loi de financement de la sécurité sociale pour 2006. La CNIL a toujours accompagné ces évolutions, même si elle conserve une sensibilité qui n'est pas sans lien avec le contexte de sa création, en 1978 : un certain laisser-aller, source de vives inquiétudes, existait alors en matière de fichiers et d'interconnexion.

En dépit de cette sensibilité, la CNIL n'a jamais constitué un frein, ni exercé de blocage, que ce soit dans le cadre du système de déclaration des fichiers, qui représente l'essentiel de son activité, ou dans le cadre des autorisations qu'elle délivre. Le collège de la CNIL et ses services ont fait leur l'objectif de lutte contre la fraude.

Si des difficultés semblent encore exister, dans certains cas, c'est peut-être que les fondements législatifs de l'intervention de la CNIL manquent de clarté. Comme son président aime à le rappeler, la CNIL est ce que le législateur veut bien en faire : son rôle est d'appliquer la loi, et elle n'a pas la capacité de déterminer ses propres missions. Quand la loi autorise des contrôles supplémentaires et des interconnexions de fichiers, comme c'est le cas depuis quelques années, la CNIL applique naturellement ces dispositions.

De façon plus générale, on observe que la culture de la lutte contre la fraude se développe non seulement au sein de la CNIL mais aussi dans des organismes tels que la Caisse nationale d'allocations familiales (CNAF), la Caisse nationale d'assurance vieillesse des travailleurs salariés (CNAVTS) ou la Caisse centrale de la Mutualité sociale agricole (MSA), sans doute sous l'influence d'un certain nombre de parlementaires et sous celle de la MECSS. Plusieurs affaires de fraudes patentes ont par ailleurs défrayé la chronique et incitent à la prudence.

Sans chercher à exempter la CNIL de toute critique, je ne voudrais pas qu'on la perçoive comme « un empêcheur de tourner en rond ». Depuis trois ans que j'y siège, j'ai pu constater son souci de bien faire, et j'ai le sentiment que certains organismes s'abritent un peu facilement derrière ses préconisations en les présentant comme un obstacle à l'adoption des mesures de lutte contre la fraude.

PermalienPhoto de Pierre Morange

Dans un récent rapport, la Cour des comptes évoque, en effet, une interprétation particulière de votre doctrine, qui serait utilisée comme un frein à la mise en oeuvre de certaines dispositions législatives visant à lutter contre la fraude sociale, notamment en matière d'interconnexion de fichiers. Les mesures concernées sont pourtant conformes aux préceptes de la CNIL, laquelle exige le respect de la confidentialité et l'existence d'une mission d'intérêt général.

Existe-t-il une doctrine écrite qui permettrait de régler ces difficultés une fois pour toute, et d'éviter la lecture à géométrie variable pratiquée par certains acteurs ?

PermalienPhoto de Philippe Gosselin

Il n'y a pas de document précisant la position de la CNIL de façon claire, définitive et absolue : chaque demande constitue un cas spécifique. En revanche, une douzaine de délibérations, adoptées depuis 2008, forment une sorte de jurisprudence. La plupart du temps, la Commission donne acte de la déclaration des traitements informatiques en délivrant des récépissés. Des milliers de récépissés sont délivrés chaque année. D'autres cas, plus complexes, donnent lieu à de nombreux échanges et à une sorte d'instruction à charge et à décharge. Il en va de même pour les décrets et arrêtés pris après avis de la CNIL.

Certains organismes ont encore du mal à s'y mettre, mais il faut reconnaître que la lutte contre la fraude est une préoccupation relativement récente. Dans certaines caisses d'allocations familiales ou au sein de la Mutualité sociale agricole, certains agents n'ont pas encore totalement adopté la culture de lutte contre la fraude : ils considèrent que leur mission est, avant tout, de permettre aux assurés de bénéficier de leurs droits. Il reste que la situation commence à évoluer : nos échanges avec certains administrateurs des caisses d'allocations familiales, des caisses primaires d'assurance maladie et des unions de recouvrement des cotisations de sécurité sociale et d'allocations familiales (URSSAF) montrent que la lutte contre la fraude devient une priorité, alors que ce n'était pas toujours le cas, notamment chez les représentants syndicaux, pour des raisons compréhensibles. Certains cas ayant défrayé la chronique, la lutte contre la fraude sociale est désormais considérée, sinon comme une priorité absolue, du moins comme une politique importante.

Je le répète avec force, la CNIL n'a pas pour philosophie de chercher à s'opposer à la politique de lutte contre la fraude, qu'elle soit de nature sociale ou non. Toutefois, elle doit appliquer la loi : il ne peut pas y avoir d'interconnexion ou de création de nouveaux fichiers pour lutter contre la fraude sans base légale. C'est une limite consubstantielle au contrôle que nous sommes chargés d'exercer.

PermalienPhoto de Pierre Morange

Vous prêchez des convaincus : le législateur mesure la place qui revient à la loi.

La lutte contre la fraude a longtemps fait l'objet d'une diabolisation, voire d'un terrorisme intellectuel. Aborder ce sujet revenait à s'exposer à la vindicte de certains représentants des branches assurantielles et des syndicats. J'ai pu le mesurer quand j'ai déposé des amendements tendant à permettre l'interconnexion des fichiers des organismes sanitaires et médico-sociaux.

Il a fallu un certain temps pour mieux faire admettre, sur le terrain, la nécessité de rendre compte aux Français de l'utilisation de leur argent au profit de la solidarité nationale. Il reste encore du travail à faire, et on ne peut pas se contenter d'être fataliste ; la situation économique actuelle rend encore plus nécessaire la rigueur dans la gestion des deniers publics.

J'en viens à un cas précis. Comment analysez-vous les retards, récemment dénoncés par la Cour des comptes, dans le croisement des fichiers des organismes sociaux et du ministère de l'intérieur, notamment le fichier AGDREF (Application de gestion des dossiers des ressortissants étrangers en France) qui centralise les données concernant l'identité et la régularité du séjour des ressortissants étrangers en France ?

PermalienPhoto de Philippe Gosselin

C'est un exemple typique de dossier enlisé dans les sables.

Un décret du 29 mars 1993 offrait un premier fondement juridique. Cependant, il a fallu le modifier pour tenir compte de la loi du 24 août 1993 relative à la maîtrise de l'immigration et aux conditions d'entrée, d'accueil et de séjour des étrangers en France qui a imposé aux organismes chargés de la gestion d'un régime obligatoire de sécurité sociale de vérifier que les assurés étrangers satisfont aux conditions de régularité de leur situation en France. La CNIL a été saisie une première fois en décembre 1996 par le ministère de l'intérieur, et à nouveau en 1998 et en 1999. Pour être franc, il ne semble pas que les différents ministres de l'intérieur aient fait preuve d'un grand empressement à cette époque. Un nouveau dossier a été déposé en février 2001, puis des échanges d'informations et des demandes de compléments ont suivi. Parmi les organismes sociaux sollicités, seule la Caisse nationale d'allocations familiales a clairement manifesté un intérêt. La CNIL a rendu un avis favorable le 27 juin 2002, soit neuf ans après la parution du décret.

Si je suis entré dans le détail, c'est pour vous montrer que la CNIL n'a jamais cherché à exercer un blocage. Ce sont les organismes sociaux qui n'ont pas manifesté le souhait de bénéficier du dispositif, exception faite de la Caisse nationale d'allocations familiales. Les ministres de l'intérieur successifs n'ont pas non plus fait preuve de beaucoup d'allant.

La délibération de 2002 précisait que, conformément au droit commun, les ressortissants étrangers devaient être informés de la possibilité d'un rapprochement des fichiers ; que l'identité des caisses d'allocations familiales (CAF) de rattachement des allocataires ne devait pas être automatiquement transmise aux services préfectoraux ; que le ministère devait apporter des réponses suffisamment précises et explicites pour dispenser les caisses d'allocations familiales de se rapprocher des services préfectoraux concernés.

Malgré l'avis favorable rendu en 2002, le nouveau décret modifiant le précédent n'est jamais paru. On ne saurait en faire le reproche à la CNIL.

En 2009, le ministère de l'immigration a signalé que le dispositif d'interrogation du fichier par la Caisse nationale d'allocations familiales n'avait pas été mis en oeuvre, et indiqué, dans un courrier en date du 28 avril de la même année, que cette question serait désormais prioritaire. Le dossier semble avoir été relancé : un fichier AGDREF 2 (application de gestion des dossiers des ressortissants étrangers en France), succédant au projet GREGOIRE, est aujourd'hui en cours de finalisation. Le 10 février 2011, la CNIL s'est prononcée sur ce traitement qui doit permettre des échanges de données entre le fichier AGDREF et les systèmes informatiques des organismes de sécurité sociale et de Pôle emploi. Elle attend désormais les « dossiers de formalité » qui seront présentés par ces organismes. Si tout s'est accéléré, c'est que la volonté politique est là. Encore une fois, la CNIL n'était pas à l'origine des blocages constatés.

PermalienPhoto de Pierre Morange

Cette affaire apporte aussi la démonstration de l'efficacité de la MECSS, qui s'est beaucoup intéressée à cette question. Avez-vous une idée du calendrier de publication des décrets d'application ?

PermalienPaul Hébert, chef du service des affaires juridiques de la CNIL

Nous n'avons pas d'éléments plus précis à notre connaissance.

PermalienPhoto de Philippe Gosselin

Beaucoup de temps s'est déjà écoulé depuis 1993… Les responsabilités étaient sans doute partagées, mais il y a certainement eu une volonté de ne pas faire une priorité de la lutte contre la fraude. Depuis quelques années, sous l'influence de la MECSS, mais aussi parce que l'environnement a changé, nous n'en sommes plus là. Sans me lancer dans un plaidoyer pro domo, j'observe que ce dossier illustre de manière emblématique que la CNIL a fait tout ce qu'il fallait mais qu'elle n'a pu rendre un avis favorable qu'en 2002, avant de devoir statuer une seconde fois.

PermalienPhoto de Dominique Tian

Pour avoir eu l'occasion de m'entretenir longuement avec la CNIL dans le cadre de la mission d'information sur les fraudes massives subies par l'Unédic, j'ai l'impression que la situation a évolué : la CNIL n'en est plus au stade des déclarations de principe.

Est-elle allée, pour autant, dans le sens d'une plus grande simplicité et d'une plus grande lisibilité ? Si l'on en croit les observations formulées par Mme Rolande Ruellan, alors présidente de la sixième chambre de la Cour des comptes, qui a travaillé en appui de notre mission et qui a aussi remis un rapport sur votre institution, on peut en douter : elle estime que vos avis sont souvent difficiles à comprendre et que leur interprétation peut se révéler délicate, y compris pour des magistrats de la cour – on peut donc imaginer ce qu'il en est pour d'autres acteurs.

Dans son audition du 16 septembre 2010, M. Bertrand Fragonard, que l'on ne peut considérer comme le plus radical en matière de lutte contre la fraude, nous a fait part des difficultés qu'il avait rencontrées, lorsqu'il dirigeait la Caisse nationale d'allocations familiales, pour convaincre la CNIL d'établir des interconnexions. Il existe, selon lui, une volonté manifeste de ne pas les autoriser.

D'autres auditions nous ont permis de constater, par ailleurs, que les acteurs sociaux peuvent aisément tirer parti des incertitudes planant sur l'appréciation exacte des décisions et des avis de la CNIL pour s'opposer aux interconnexions ou à la délivrance de documents : il leur est facile d'invoquer la notion de secret professionnel ou l'absence d'autorisation. La CNIL compte-t-elle rendre des avis plus simples, plus compréhensibles et plus facilement applicables ?

PermalienPhoto de Philippe Gosselin

Rien n'interdit, dans la loi ayant créée la CNIL, adoptée en 1978 et modifiée en 2004, les interconnexions de fichiers. Il n'y a pas de blocage de principe. La CNIL a, en revanche, une position assez ferme sur l'utilisation de certains numéros d'identification, tels que le numéro d'inscription au répertoire national d'identification des personnes physiques, le NIR, qui permet d'accéder à de nombreuses informations – en particulier le lieu de naissance, en France ou à l'étranger. Il y a, sur ce point, une différence avec le système belge.

Si la CNIL a des préventions contre l'utilisation d'un numéro unique et le croisement systématique de tous les fichiers, ce n'est pas une lubie : le législateur lui a confié pour mission de veiller au respect de la vie privée.

J'en viens à la clarté de nos délibérations. Nous avons peut-être le tort de vouloir bien faire : au lieu de nous limiter à émettre une autorisation ou un refus, nous expliquons le cheminement suivi et il nous arrive de formuler des préconisations, voire des réserves, qui ont éventuellement une portée obligatoire. Ces éléments sont peut-être mal compris, et je veux bien croire que nous pourrions faire preuve d'encore plus de pédagogie, mais il ne faudrait pas que certains organismes, parce que cela les arrange, s'abritent derrière la prétendue complexité d'un avis de la CNIL pour ne pas porter à son terme la démarche attendue d'eux.

Que chacun balaie devant sa porte : il se peut que certaines délibérations suscitent des difficultés, notre souci de bien faire conduisant à donner des clefs de lecture au lieu de répondre simplement par « oui » ou par « non », mais il faudrait aussi que les organismes mettent plus d'entrain pour répondre aux souhaits du pouvoir législatif et du pouvoir réglementaire.

Je rappelle, en outre, que l'essentiel de l'activité de la CNIL ne consiste pas à se prononcer sur des demandes d'autorisation, mais à délivrer des récépissés : de nombreux fichiers sont constitués sur une base déclarative. Il suffit de se conformer au cadre normatif.

PermalienPaul Hébert, chef du service des affaires juridiques de la CNIL

Il n'y a délibération qu'en cas de demande d'autorisation, et la réponse de la CNIL est très claire : elle accepte ou refuse la demande. Sauf erreur de ma part, la CNIL n'a jamais interdit d'interconnexion de fichiers.

Nos avis sont peut-être plus difficiles à lire parce qu'ils sont motivés de manière circonstanciée, sur la base de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

Les caisses nationales ont entrepris de désigner des correspondants « informatique et libertés », ce qui est très positif. Nous disposons ainsi d'interlocuteurs uniques, au fait de la matière. La préparation des dossiers, si complexes soient-ils, en est facilitée, ainsi que les échanges ultérieurs.

PermalienPhoto de Pierre Morange

La Cour des comptes a appelé notre attention sur l'empilement des dispositions normatives. Que penseriez-vous d'une disposition qui autoriserait, de manière générale, l'interconnexion des fichiers dans le cadre de la lutte contre la fraude sociale ?

PermalienPhoto de Philippe Gosselin

À titre personnel, je ne verrais pas d'objection à ce que l'on précise, au plan législatif, que la CNIL participe à la grande oeuvre commune qu'est la lutte contre la fraude. Cela permettrait peut-être de clarifier la situation, puisque chacun voit bien, y compris les membres du collège de la CNIL, la nécessité d'avancer sur cette question. Nous prendrions acte de l'évolution du cadre général, sans difficulté particulière.

Je suis plus réservé, en revanche, sur l'établissement d'un principe général d'interconnexion. La lutte contre la fraude est déjà une des finalités en considération desquelles nous nous prononçons, mais il me semble difficile d'en faire un principe général. Je vois mal, en effet, comment concilier un tel principe avec le fondement de la loi de 1978, à savoir le respect de la vie privée.

On peut sans doute faire mieux qu'aujourd'hui, mais sans aller jusqu'à la constitution d'un fichier unique regroupant toutes les informations disponibles, telles que les données de nature sociale, les fichiers de police, ou encore les permis de conduire et les cartes d'identité. Je grossis le trait à dessein, car ce n'est pas ce que vous proposez, mais constituer un fichier qui ressemblerait au « Big Brother » du roman 1984 de George Orwell poserait des risques sérieux d'atteinte à la vie privée. Même la banque de données Carrefour de la sécurité sociale de Belgique ne va pas si loin.

Au regard du principe de respect de la vie privée, je ne suis d'ailleurs pas certain que le Conseil constitutionnel accepterait l'instauration d'un principe général d'interconnexion.

Vous trouverez peut-être ma réponse un peu tiède, mais elle entrouvre la porte – sans doute plus que vous ne le pensiez.

PermalienPhoto de Pierre Morange

Vous défendez effectivement une option pragmatique consistant à améliorer de façon constante la loi. La MECSS, pour sa part, est bien consciente que nous ne sommes pas en 1984…

PermalienPhoto de Philippe Gosselin

Il y avait quatre autorités administratives indépendantes en France quand j'étais étudiant, et aujourd'hui près d'une cinquantaine. Certains s'interrogent sur leur utilité, mais j'observe avec satisfaction que la CNIL n'est pas remise en cause – même si elle peut certainement progresser sur certains points, notamment en matière de lisibilité de son action. Je note aussi que de nombreux parlementaires s'intéressent à nous. Notre travail ne laisse donc pas indifférent.

PermalienPhoto de Dominique Tian

La Cour des comptes a exprimé des critiques sur certains remboursements de frais mais aussi formulé des reproches sur la qualité des avis rendus, et notamment sur leur lisibilité.

J'appuierai mon propos sur un exemple figurant dans la liasse que vous nous avez fait parvenir. Les demandes n° 252.873 et n° 253.080 portaient sur le projet de liaisons automatisées envisagé par la Caisse nationale d'assurance maladie des travailleurs salariés et la caisse d'allocations familiales en matière d'allocation de parent isolé (API). Le service de cette prestation est un grave sujet de préoccupation pour nous, car elle fait l'objet de nombreuses fraudes. Aux demandes qui lui étaient faites, la CNIL a répondu que les Caisses primaires d'assurance maladie (CPAM) « transmettront la liste des assurés sociaux connus comme relevant du régime R 660, afin que les CAF indiquent en retour, pour chacun d'eux, la période de versement de l'allocation sur les deux dernières années »…

Si je comprends bien, la CNIL raisonne par allocataire et par versement. Ne pensez-vous pas que l'on pourrait aller plus loin et plus vite ? On nous dit souvent que la CNIL acquiesce sur le principe, mais assortit sa réponse de telles restrictions que son approbation équivaut à un refus, les modalités qu'elle impose étant en réalité inapplicables.

PermalienPhoto de Philippe Gosselin

Il faut raisonner au cas par cas : on ne peut pas systématiquement considérer telle ou telle catégorie d'allocataires comme des fraudeurs potentiels. Certaines précautions s'imposent donc. Des améliorations sont envisageables, mais elles ne concernent pas que la CNIL : indépendamment de toute interconnexion des fichiers, il revient aussi aux caisses d'allocations familiales et à la Mutualité sociale agricole de renforcer leurs contrôles.

PermalienPhoto de Pierre Morange

Il y a deux problèmes : celui de la lisibilité, et celui du traitement au cas par cas. En imposant des contrôles individuels, la CNIL prive de toute efficacité le cadre législatif que nous avons adopté, notamment pour la branche Famille. C'est une grande satisfaction pour nous d'apprendre que la CNIL est prête à des évolutions.

PermalienPhoto de Philippe Gosselin

Les mentalités ont changé. J'en veux pour preuve qu'au cours des deux dernières années, la plupart des autorisations données et des avis rendus par la CNIL l'ont été à l'unanimité des membres du collège. Sans doute devra-t-elle faire oeuvre plus pédagogique et pour cela renforcer ses échanges – déjà très fréquents – avec la Caisse nationale d'allocations familiales et la Mutualité sociale agricole. Mais, je le redis, beaucoup tient à ce que pendant très longtemps la lutte contre la fraude sociale n'a pas été considérée comme prioritaire dans notre pays.

S'agissant du document de la Cour des comptes, auquel vous avez fait référence, je noterai qu'il ne s'agit pas de son rapport définitif mais d'un relevé d'observations provisoires. La Cour n'y met pas en cause l'indemnité perçue par le président de la CNIL – qui n'a rien que de normal – mais son fondement juridique, qu'elle juge inadéquatement assuré. Comment, par ailleurs, reprocher au président de la CNIL, qui vient y travailler plusieurs jours par semaine, de se loger pour cela à l'hôtel ?

PermalienPhoto de Pierre Morange

Ce qui nous intéresse au premier chef est d'avoir la certitude que la CNIL ne mettra pas d'obstacle à ce que l'échange d'informations sur les dossiers se fasse de manière systématique et non au cas par cas. Pour parvenir à ce résultat, de nouvelles dispositions législatives ou réglementaires vous paraissent-elles nécessaires ?

PermalienPhoto de Philippe Gosselin

Sous réserve de vérification, je pense que le cadre légal actuel doit permettre une plus grande clarté. Mais en aucun cas une évolution ne pourra se traduire par une autorisation d'interconnexion générale de tous les fichiers comprenant le numéro de sécurité sociale (NIR).

PermalienPhoto de Pierre Morange

Soit, mais qu'en est-il de l'allocation de parent isolé spécifiquement évoquée par notre rapporteur ?

PermalienPhoto de Philippe Gosselin

Je ne vois pas de difficulté particulière à réexaminer les dispositions pratiques de traitement de ces informations dans l'optique d'améliorer l'efficacité du système. Si, alors, des difficultés d'ordre légal apparaissent, il reviendra au législateur d'en tirer les conclusions nécessaires.

PermalienPaul Hébert, chef du service des affaires juridiques de la CNIL

La CNIL reçoit de nombreuses demandes d'avis et d'autorisations d'organismes variés, et nous avons des réunions régulières avec les services de la Délégation nationale à la lutte contre la fraude. En précisant très souvent dans ses délibérations qu'aucune décision ne peut avoir pour seul fondement le rapprochement automatisé de données à caractère personnel, la CNIL ne fait que dire le droit. Ainsi, le répertoire national commun de la protection sociale, le RNCPS, peut être une aide à la décision, mais la CNIL ne souhaite pas que son utilisation se substitue à la décision humaine : si le rapprochement des données révèle une anomalie, il revient à une cellule spécialisée, dans chaque organisme considéré, de définir si une sanction doit être prise.

PermalienPhoto de Philippe Gosselin

Et, je le redis, se pose aussi la question des moyens que chaque organisme consacre à la lutte contre la fraude.

PermalienPhoto de Dominique Tian

La manière dont vous décrivez les choses correspond exactement ce que d'autres interlocuteurs nous ont indiqué : les avis rendus par la CNIL ne sont positifs qu'en trompe l'oeil, car assortis de restrictions qui les rendent, en pratique, inapplicables.

PermalienPaul Hébert, chef du service des affaires juridiques de la CNIL

Sans doute la CNIL doit-elle se faire plus pédagogue, mais il ne lui revient pas de passer outre un principe énoncé dans la loi. Il lui appartient singulièrement de vérifier le respect de l'article 10 de la loi du 6 janvier 1978 précitée, selon lequel aucune décision produisant des effets juridiques à l'égard d'une personne ne peut être prise sur le seul fondement d'un traitement automatisé de données. Le législateur modifiera cet article s'il lui sied.

PermalienPhoto de Philippe Gosselin

La question ne concerne pas la seule CNIL : qu'il n'y ait pas de sanction automatique est un principe général de notre droit. En appelant au contrôle individuel des situations, la commission ne fait qu'appliquer la loi. Indépendamment des commentaires que suscite la rédaction de ses avis, la difficulté tient au hiatus entre la mission confiée à la CNIL et celles qui incombent aux organismes sociaux.

PermalienPhoto de Pierre Morange

Il est indispensable de renforcer l'efficacité du dispositif de lutte contre la fraude. À cette fin, il est impératif que la décision soit prise à titre individuel mais que l'échange d'informations soit automatique.

PermalienPhoto de Dominique Tian

Vous semblez considérer que la banque de données Carrefour de la sécurité sociale de Belgique n'est pas sans défauts. Or, ayant étudié sur place son fonctionnement, j'ai eu le sentiment que la Belgique était en avance sur nous en ce domaine. Ce dispositif permet en effet des vérifications faciles grâce à un système sécurisé, tout en évitant aux usagers des démarches multiples – et la Commission nationale de la protection de la vie privée belge n'y a rien trouvé à redire.

PermalienPhoto de Philippe Gosselin

Les situations diffèrent. En premier lieu, à l'inverse de ce qui s'est passé en France, la banque de données Carrefour a été créée avant qu'une législation relative aux données personnelles soit adoptée en Belgique, cette législation a donc pris en compte les dispositifs existants. Ensuite, le numéro belge d'identification unique des citoyens et des entreprises recense des données moins fournies que le numéro de sécurité sociale en France – par exemple, ce numéro ne permet pas de déterminer si un individu est né en Belgique ou à l'étranger. Par ailleurs, la CNIL a pour doctrine que l'usage du numéro de sécurité sociale doit être cantonné à la sphère sociale ; si l'on souhaitait en venir à l'équivalent de la banque de données belge, il faudrait élargir cet usage. Enfin, un dispositif de ce genre, avec un identifiant unique, n'est pas sans risques : qui l'alimente en données ? Qui le contrôle ? Comment le sécuriser ?

En résumé, je ne crois pas que le mécanisme adopté par la Belgique soit entièrement transposable en France. En revanche, le répertoire national commun de la protection sociale créé en décembre 2009 et encore balbutiant pourrait avoir les effets attribués au système Carrefour en Belgique. Il est intéressant de prendre connaissance de ce qui se pratique ailleurs, mais il faut tenir compte de la diversité des approches culturelles.

PermalienPhoto de Dominique Tian

En appréciant les multiples usages de la banque de données Carrefour, qui permet, par une clé d'accès unique – une pièce d'identité à caractère social – les relations entre les assurés sociaux et un ensemble de guichets de sécurité sociale et de services administratifs, ce dont les usagers sont fort aise, j'ai eu le sentiment que nous étions à des années-lumière de la Belgique. Et il ne me semble pas que les libertés publiques soient particulièrement menacées dans ce pays.

PermalienPhoto de Philippe Gosselin

Nous pourrions faire figurer sur une carte unique des données utiles à des administrations différentes, à condition que ces informations soient segmentées : elles devraient être répertoriées sur des puces différentes, de manière que ce qui figure sur la puce « A » ne puisse être accessible qu'à l'organisme « A ». Des évolutions sont possibles : ainsi, on pourrait profiter du passage prévu au permis de conduire électronique, dans deux ans, pour inclure d'autres éléments dans ce nouveau document, sans pour autant remettre en cause ni la sécurité juridique ni le droit légitime au respect de la vie privée.

La CNIL ne juge pas en opportunité ; elle respecte le cadre légal et réglementaire qui lui a été fixé. Elle doit sans aucun doute s'évertuer à rédiger des délibérations plus immédiatement lisibles pour répondre aux reproches qui lui ont été faits à ce sujet mais il ne faut pas attendre d'elle plus que le respect des missions que la loi lui a confiées. La CNIL ne peut perdre son âme en trahissant la loi de 1978.

PermalienPhoto de Dominique Tian

Au regard de l'approche retenue par la directive européenne relative à la protection des données à caractère personnel, certains ont le sentiment que la CNIL souhaite, pour justifier son existence, que les choses soient le plus compliqué possible.

PermalienPhoto de Philippe Gosselin

L'argument est un peu facile, si je puis me permettre, et c'est faire à la CNIL un faux procès. Certaines critiques lui ont été adressées, dont j'ai pris acte. Il n'empêche que chacun s'accorde à reconnaître qu'elle a sa raison d'être – c'est notamment le cas du récent rapport d'information parlementaire sur les autorités administratives indépendantes, cosigné par M. Christian Vanneste, pourtant peu suspect d'être favorable à la multiplication de ces organismes. Siégeant au collège de la CNIL, je suis convaincu que la commission ne cherche pas à compliquer les choses. Mais il se trouve qu'elle intéresse beaucoup le législateur, si bien qu'au fil des textes, depuis deux ou trois ans, des amendements successifs sont venus brouiller ses missions, au point que la CNIL peine parfois à savoir exactement ce qui est attendu d'elle. Peut-être serait-il judicieux de remettre les textes à plat pour déterminer les attentes du législateur.

De même, s'il apparaît nécessaire de mieux coordonner l'action de la CNIL et certaines directives européennes, il revient à la représentation nationale de préciser ce qu'elle souhaite. La CNIL, dont le président a présidé plusieurs années le groupe de travail européen mis en place par l'article 29 de la directive européenne du 24 octobre 1995 sur la protection des données personnelles, a beaucoup apporté à l'Union européenne en ce domaine. Toutefois, les approches sont différentes selon que l'on adopte le point de vue continental ou le point de vue anglo-saxon, le droit anglo-saxon considérant comme des données commerciales ce que la France tient pour des données personnelles. On sait que la commissaire européenne chargée de ce secteur a une vision de ce dossier qui diffère de la vision française, et aussi que certains pays de l'Est de l'Europe ont fait d'autres choix que le nôtre. Ce débat, qui a trait aussi à l'influence de la jurisprudence de la Cour européenne des doits de l'homme, dépasse la CNIL. Mais, dans tous les cas, la commission prendra naturellement acte de la volonté du législateur.

La séance est levée à dix heures vingt-cinq.