Le carnet du grincheux

Les jugements de cour vous rendront blanc ou noir écrivait Jean de la Fontaine dans sa fable les animaux malades de la peste honteusement pillée des fabliaux d'Ésope.

J'écris cela parce que pense réellement que nous avons dépassé un cap dans le non-droit régnant dans notre beau pays. Je répète à l'envi que notre belle démocratie est indigne d'une république bananière, j'en ai encore eu la preuve en tombant sur une délibération de la CNIL datée du 3 juillet 2014. La CNIL, c'est le bidule Théodule qui s'intitule commission nationale de l'informatique et des libertés. Des libertés à sens unique.

En effet, la CNIL est un machin qui emmerde — et je pèse mes mots — les prestataires informatiques des professionnels de santé parce qu'il est devenu interdit d'installer un serveur informatique chez un praticien pour garder les données informatiques concernant ses propres patients (radiographies, historiques…) sauf à obtenir une habilitation de la sécurité sociale française que le monde nous envie sans la vouloir chez lui. Je vous rassure, en dehors de deux ou trois grands acteurs, je n'ai vu personne obtenir le précieux sésame. Nous sommes tous hors la loi et nous l'assumons en étant de dangereux contrevenants. Ayant reçu un courrier recommandé à ce propos de la part d'un gros du secteur voulant me faire peur pour me voler ma clientèle, mon civisme m'a imposé de me dénoncer moi-même. J'attends les gendarmes avec une certaine impatience.

Ainsi, la CNIL a cédé à un puissant lobby pour d'obscures raisons qui sont tout sauf techniques. Lorsque j'ai dû la saisir pour demander des rectifications sur des informations erronées circulant sur le compte de mon entreprise, je n'ai même pas obtenu de réponse. J'émettais donc depuis quelques temps des doutes certains sur l'impartialité de la CNIL et sa façon de traiter les dossiers qui lui sont confiés.

Aujourd'hui, je n'ai plus aucun doute à ce sujet. Je jette en patûre à votre sagacité la délibération suivante.

Commission Nationale de l'Informatique et des Libertés

Délibération n°2014-290 du 3 juillet 2014

Délibération n° 2014-290 du 3 juillet 2014 autorisant l’URSSAF ILE-DE-FRANCE à généraliser le traitement automatisé de données à caractère personnel ayant pour finalité la prévention et la détection des fraudes en matière de recouvrement des cotisations et contributions sociales.(Demande d’autorisation n° 1293349/3)

Etat: VIGUEUR

La Commission nationale de l'informatique et des libertés,
Saisie par l’URSSAF ILE-DE-FRANCE d’une demande d’autorisation concernant la généralisation d’un traitement automatisé de données à caractère personnel ayant pour finalité la prévention et la détection des fraudes en matière de recouvrement des cotisations et contributions sociales;
Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 25-I-3° et 25-I-5° ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu les délibérations n°2008-382 du 6 novembre 2008 et n°2011-88 du 24 mars 2011 autorisant la mise en œuvre par l'URSSAF de Paris – région parisienne d'un traitement automatisé de données à caractère personnel, à titre expérimental, ayant pour finalité la prévention et détection des fraudes en matière de recouvrement des cotisations et contributions sociales;
Vu le dossier et ses compléments ;
Sur la proposition de Mme. Marie-France MAZARS, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,

Formule les observations suivantes :
Par délibération n°2002-382 du 6 novembre 2008, la Commission a autorisé l’Urssaf de Paris-région parisienne à mettre en œuvre, à titre expérimental, pendant 24 mois, un traitement automatisé de données à caractère personnel ayant pour finalité la prévention et la détection des fraudes en matière de recouvrement des cotisations et contributions sociales, sur le fondement des articles 25-I-3° et 25-I-5° de la loi relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978 modifiée.
Le traitement a pour objectif d’identifier le plus en amont possible, les situations et les comportements susceptibles de présenter un risque sérieux pour le recouvrement des cotisations et contributions sociales, et de participer en collaboration avec les pouvoirs publics à la lutte contre la fraude et le travail illégal.
Le dispositif mis en place par l’Urssaf consiste, dans un premier temps, à collecter des données à caractère personnel relatives aux personnes physiques dirigeants d’entreprises ayant fait l’objet d’un procès-verbal d’infraction ou d’une condamnation pénale pour infractions telles que le travail illégal, l’établissement de fausses déclarations de paiement des cotisations, ainsi que de condamnations civiles comme l’interdiction de gérer et la faillite personnelle.
Ces données sont ensuite rapprochées de celles du fichier des entreprises nouvellement immatriculées sur la base du nom et du prénom des dirigeants, de leur date et lieu de naissance, et le cas échéant, de leur adresse professionnelle et personnelle.
A l’issue du rapprochement, et après analyse au cas par cas des données par une cellule spécialisée dédiée à la lutte contre la fraude, l’Urssaf répertorie les dirigeants et/ou les entreprises ayant fait l’objet de l’une des six situations suivantes : liquidation judiciaire, interdiction de gérer, faillite personnelle, travail dissimulé, production de fausses attestations de paiement des cotisations, déclarations de salaires minorées ou atypiques, déclarations uniques d’embauche non suivies d’effet.
Une fois les vérifications opérées par cette cellule, un fichier des cotisants présentant un profil à risque est constitué et alimenté par l’Urssaf.
L’expérimentation préalablement autorisée a ensuite été reconduite, pour une nouvelle période de deux ans, par délibération n°2011-088 du 24 mars 2011.
Le bilan de l’expérimentation menée au cours des deux années écoulées (2011-2013) transmis à la Commission révèle, qu’au 22 mars 2013, le rapprochement décrit précédemment a permis de collecter des données relatives à 21 569 entreprises et 8 913 personnes physiques ayant fait l’objet d’un procès verbal de travail illégal, d’un faillite personnelle ou d’un interdiction de gérer.
Il ressort de l’analyse des données collectées que 75% des intéressés sont à la tête d’une ou deux entreprises et que 25% d’entre eux possédaient plus de deux entreprises. Une centaine de dirigeants gèrent plus de vingt entreprises, l’un deux se trouvant même responsable de quatre-vingt sociétés.
A l’appui de ce bilan, l’Urssaf sollicite aujourd’hui la généralisation du traitement mis en œuvre à titre expérimental dans les mêmes conditions que celles autorisées le 24 mars 2011.

Responsable du traitement	l’URSSAF ILE-DE-FRANCE est un organisme de droit privé chargé d’une mission de service public, membre du réseau national des Urssaf, elle est rattachée à l’Agence centrale des organismes de sécurité sociale (ACOSS) qui pilote le réseau. L’Urssaf a pour principale mission de collecter les cotisations et contributions des acteurs économiques dont l’activité est implantée en Ile de France. Les cotisations collectées par les Urssaf permettent de financer les prestations de sécurité sociale.
Sur la finalité	La finalité du traitement est la prévention et la détection des fraudes en matière de recouvrement des cotisations et contributions sociales. Les données issues du rapprochement réalisé par l’Urssaf sont examinées par une cellule spécialisée dédiée à la lutte contre la fraude. A l’issue des vérifications opérées par cette cellule, un fichier des cotisants présentant un profil à risque est constitué et alimenté par l’Urssaf. L’inscription dans le fichier des cotisants à risque conduit l’Urssaf à prendre des décisions sur les suites à donner à certains dossiers après examen détaillé de chaque situation. Parmi les actions menées figurent : l’apposition d’un code spécifique sur les comptes des cotisants concernés permettant d’une part, d’empêcher les interventions amiables habituellement réalisées auprès des débiteurs et, d’autre part, d’assurer un suivi des comptes concernés ; la saisine du parquet et des tribunaux ; le contrôle des cotisations des entreprises. La Commission prend acte qu’aucune décision automatique ne sera prise et que les mesures envisagées ne sont nullement dérogatoires aux règles de droit commun.
Sur les données traitées	Les données à caractère personnel enregistrées et traitées sont les suivantes: Données relatives aux entreprises et dirigeants présentant l’une des situations suivantes : liquidation judiciaire, interdiction de gérer, faillite personnelle, travail dissimulé, production de fausses attestations de paiement des cotisations, déclarations de salaires minorées ou atypiques, déclarations uniques d’embauche non suivies d’effet ; Coordonnées des entreprises concernées, à savoir : raison sociale, adresse, n° Siren, n° Siret, n° de compte Urssaf ; Coordonnées des dirigeants, à savoir : nom patronymique, nom d’usage, prénom, civilité, date et lieu de naissance, adresse personnelle ; Montant, période et la nature des créances de l’Urssaf à l’égard des entreprises concernées ; Procédures engagées et jugements rendus à l’encontre des entreprises concernées et le cas échéant, de leurs dirigeants. Liquidation judiciaire : date du jugement définitif ; Interdiction de gérer ou faillite personnelle : date à laquelle la mesure d’interdiction de gérer ou de faillite personnelle cesse de produire ses effets ; Procès verbal de travail dissimulé : date du jugement définitif sanctionnant le délit de travail dissimulé ; à défaut, date de transmission du dossier au parquet ; Fausses attestations de paiement des cotisations : date de production de l’attestation litigieuse; Déclaration de salaires minorée ou atypique : date de production de la déclaration litigieuse ; Déclaration unique d’embauche (DUE) non suivie d’effet: date de production de la déclaration litigieuse. Les données collectées sont croisées avec une base de données comportant la raison sociale des entreprises, leur adresse de domiciliation et leur numéro d’identification. Ce croisement permet de tracer les dirigeants coupables de faits délictueux et ayant pour siège une adresse de domiciliation commerciale. La Commission rappelle que l’inscription d’un dirigeant sur le fichier des cotisants à risque ne peut résulter que de motifs objectifs opposables à la personne concernée, faisant abstraction de tout jugement de valeur ou d’une appréciation sur son comportement et représentant un certain niveau de gravité. La Commission a pris acte que, par principe, un seuil minimum de 100 euros de cotisations et contributions non recouvrées conditionne l’inscription au fichier (ce seuil est apprécié au moment où l’Urssaf a eu connaissance de l’une des six situations répertoriées). Toutefois, un jugement d’interdiction de gérer ou de faillite personnelle rendu à l’encontre du dirigeant ou l’admission d’une créance Urssaf en non valeur (c'est-à-dire lorsque les chances de recouvrement sont irrémédiablement compromises) constituent des exceptions au principe de non inscription. Elle prend également bonne note du fait que les personnes physiques ayant formellement contesté les créances dues à l’Urssaf ou en cours de procédure amiable ou judiciaire ne sont pas inscrites dans le fichier des cotisants à risque. Leur inscription ne peut intervenir qu’une fois le différend tranché et les voies de recours épuisées. Cependant, le dirigeant visé peut être inscrit au fichier en cas de créance contestée dans deux cas de figure : en cas d’interdiction de gérer ou de faillite personnelle prononcées par jugement ou bien en cas de procès verbal de travail dissimulé. Elle constate que des mesures ont été prises pour pallier tout risque d’homonymie (collecte de la date et du lieu de naissance des personnes physiques). Enfin, une interconnexion avec le fichier des entreprises ayant pour siège une société commerciale dont l’objet est la domiciliation commerciale fait apparaître un risque de non recouvrement de cotisations plus élevé (notamment du fait des pratiques de sociétés domiciliées se dispensant d'établir leurs déclarations, ou en minorant leur montant. La Commission relève que les données sont conservées pendant une durée de cinq années. Le point de départ du délai de conservation diffère selon le motif d’inscription dans le fichier: Données relatives aux entreprises et dirigeants présentant l’une des situations suivantes : liquidation judiciaire, interdiction de gérer, faillite personnelle, travail dissimulé, production de fausses attestations de paiement des cotisations, déclarations de salaires minorées ou atypiques, déclarations uniques d’embauche non suivies d’effet ; Coordonnées des entreprises concernées, à savoir : raison sociale, adresse, n° Siren, n° Siret, n° de compte Urssaf ; Coordonnées des dirigeants, à savoir : nom patronymique, nom d’usage, prénom, civilité, date et lieu de naissance, adresse personnelle ; Montant, période et la nature des créances de l’Urssaf à l’égard des entreprises concernées ; Procédures engagées et jugements rendus à l’encontre des entreprises concernées et le cas échéant, de leurs dirigeants. Liquidation judiciaire : date du jugement définitif ; Interdiction de gérer ou faillite personnelle : date à laquelle la mesure d’interdiction de gérer ou de faillite personnelle cesse de produire ses effets ; Procès verbal de travail dissimulé : date du jugement définitif sanctionnant le délit de travail dissimulé ; à défaut, date de transmission du dossier au parquet ; Fausses attestations de paiement des cotisations : date de production de l’attestation litigieuse; Déclaration de salaires minorée ou atypique : date de production de la déclaration litigieuse ; Déclaration unique d’embauche (DUE) non suivie d’effet: date de production de la déclaration litigieuse. La Commission relève que l’Urssaf s’est engagée à mettre en œuvre des procédures de mise à jour et de suppression des informations des données pour effacer du fichier les enregistrements correspondant à des faits commis depuis plus de cinq ans ou lorsqu’une décision de justice vient annuler la sanction à l’origine de l’inscription.
Sur les destinataires	Ont accès au fichier des cotisants (en consultation et pour mise à jour) les agents composants la cellule spécialisée dédiée à la lutte contre la fraude. Un représentant du Directeur de l’Urssaf dispose d’un profil administration , lui permettant de consulter et de mettre à jour la base, ainsi que de gérer les habilitations. Sont également habilités à accéder au fichier en consultation seule : les cadres supérieurs chargés du recouvrement, les cadres supérieurs chargés du contrôle, les inspecteurs assermentés chargés de la lutte contre le travail illégal et les responsables de centres d’accueil. En outre, une mention automatique (dite mention PARA ) est reportée sur les comptes des cotisants gérés par les agents Urssaf habilités, autres que ceux précédemment visés (gestionnaires de comptes, rédacteurs juridiques, conseillers, contrôleurs, etc.) pour les alerter de l’enregistrement du cotisant sur le fichier recensant les entreprises et les dirigeants présentant un profil à risques. Cette mention n’est assortie d’aucune précision sur le motif de l’inscription.
Sur l’information et le droit d’accès	Les cotisants sont informés, au moment de la collecte des informations les concernant, par une mention apposée sur les formulaires, précisant: Toute fraude ou fausse déclaration pourra faire l’objet d’un traitement informatique spécifique . La Commission prend acte que les personnes seront également informées par la publication d’un nouvel acte réglementaire dans le Bulletin Officiel du Ministère chargé de la Sécurité sociale, et par un affichage de ce même acte dans les locaux de l’Urssaf où sont reçus les cotisants.. Le droit d’accès et de rectification défini au chapitre VII de la loi s’exercera auprès de l’URSSAF ILE-DE-FRANCE - Correspondant Informatique et Libertés, 22-24, rue de Lagny, 93100 – Montreuil-sous-Bois.
Sur les mesures de sécurité	La Commission prend acte que les membres de la cellule spécialisée dédiée à la lutte contre la fraude sont physiquement installés au siège de l’Urssaf et que leurs postes de travail sont protégés par des mots de passe individuels. Elle relève que l’accès au fichier des cotisants à risque n’est possible qu’après identification de l’utilisateur. Les connexions et tentatives de connexion font l’objet d’un traçage. Le responsable de traitement utilise un système de signalement trimestriel, sur support papier ou en pièce jointe cryptée d’un courrier électronique, des dirigeants ayant fait l’objet d’une interdiction de gérer, ou déclarés en faillite personnelle, pour permettre une action rapide du Parquet face à de nouveaux agissements frauduleux commis par ces derniers. La Commission prend acte que les agents ayant accès au traitement et à l’information tirée de ce traitement sont tous tenus au secret professionnel. Enfin, une actualisation des autorisations d’accès à la base de données est réalisée deux fois par an afin notamment de désactiver les droits des agents ayant quitté l’Urssaf ou ayant changé de fonction. Les mesures de sécurité décrites par le responsable de traitement sont conformes à l’exigence de sécurité prévue par l’article 34 de la loi du 6 janvier 1978 modifiée. La Commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.

Dans ces conditions, la Commission autorise l’URSSAF ILE-DE-FRANCE à mettre en œuvre le traitement de données à caractère personnel ayant pour finalité la prévention et la détection des fraudes en matière de recouvrement des cotisations et contributions sociales.

La Présidente
I. FALQUE-PIERROTIN

 

Date de la publication sur legifrance: 24 juillet 2014

Visiblement, ce texte qui est un véritable scandale parce qu'il prévoit des suspections de fraude ou de risques accrus de la part d'une entreprise privée (l'URSSAF Île-de-France), sans existence légale et sans délégation de service publique ne gêne personne. Comme ne dérange personne le fait que l'état français crache sur son propre droit lorsqu'il y a intérêt. Mais circulez donc, il n'y a rien à voir.

Aujourd'hui, la cour d'appel de Limoges doit rendre son délibéré dans une affaire qui oppose un justiciable au RSI, le RSI ayant eu ordre de prouver son existence légale. Je suis prêt à parier, même si j'aimerais bien avoir tort qu'il n'en sortira rien. Il y a tellement d'argent en jeu que le plaignant pourrait bien avoir gain de cause sans que le RSI ne soit déchu de sa capacité à ester en justice. Match nul et surtout pas de vague. Nous aurions ainsi la confirmation qui nous manque pour déclarer ouvertement que ce pays est fichu.