Allez au contenu, Allez à la navigation



 

L'INTERCONNEXION DES FICHIERS ADMINISTRATIFS

Service des Affaires Européennes

Table des matières





NOTE DE SYNTHESE

L'adoption, lors de la discussion du projet de loi de finances pour 1999, d'un amendement permettant l'interconnexion des fichiers fiscaux et sociaux à l'aide du numéro de sécurité sociale a relancé dans notre pays le débat sur l'interconnexion des fichiers administratifs.

Confrontés à la même nécessité de lutter contre la fraude -fraude fiscale ou fraude aux prestations sociales- la plupart des pays développés ont également instauré des dispositifs de rapprochement de données.

On a donc analysé la législation applicable aux transferts de données nominatives entre administrations dans plusieurs pays étrangers représentatifs de traditions juridiques différentes : l'Allemagne, les Pays-Bas, le Portugal, le Royaume-Uni, l'Australie et la Nouvelle-Zélande.

Pour chacun de ces six pays, on a étudié les principales dispositions législatives régissant, d'une part, l'attribution d'un identifiant personnel unique et, d'autre part, les transferts de données entre administrations. Toutefois, dans la présente note de synthèse, on a choisi de mettre en évidence comment le rapprochement des données fiscales et sociales était effectué.

L'examen des législations étrangères permet de conclure que le principe général d'interdiction du transfert de données nominatives entre administrations n'empêche pas l'organisation d'opérations de rapprochement des données fiscales et sociales. Si les Pays-Bas et le Portugal sont les seuls pays dont les lois sur la protection des données personnelles ne posent pas le principe général de l'interdiction du transfert des données nominatives entre administrations, en fait, le Portugal est le seul où la loi ne régit pas avec précision le rapprochement des données fiscales et sociales.

1) A l'exception des lois néerlandaise et portugaise, les lois étrangères sur la protection des données personnelles posent le principe de l'interdiction de tout transfert d'informations entre administrations

a) Les lois néerlandaise et portugaise prévoient explicitement l'interconnexion des fichiers administratifs

Aux Pays-Bas, l'article 6a de la loi de 1988 sur les fichiers de données personnelles, qui résulte d'une modification entrée en vigueur le 1er janvier 1996, légitime l'utilisation de numéros personnels d'identification créés par la loi pour fournir des données à des tiers, dans la mesure où cette utilisation est prévue par une loi ou par un règlement d'administration publique.

Dans l'un de ses premiers articles, la loi portugaise de 1998 sur la protection des données personnelles définit l'interconnexion comme la " possibilité de mise en relation de données d'un fichier avec celles d'un ou de plusieurs fichiers qui sont gérés par un autre ou par d'autres responsables ou qui sont gérés par le même responsable, mais dans un autre but ". Plus loin, elle précise qu'une telle opération peut, dans certaines conditions (adéquation avec les objectifs recherchés, garanties pour les particuliers...), être autorisée par une loi ou par la Commission nationale de protection des données.

b) Les autres lois posent le principe de l'interdiction du transfert de données nominatives entre administrations

Cette interdiction est explicite en Australie. Elle est implicite en Allemagne, au Royaume-Uni et en Nouvelle-Zélande.

L'interdiction est explicite en Australie

La loi fédérale de 1988 sur la vie privée énonce les principes que les administrations et les organismes chargés d'une mission de service public doivent respecter lors du traitement des données personnelles. L'un de ces principes interdit aux gestionnaires de fichiers de diffuser les données qu'ils détiennent ou contrôlent.

L'interdiction est implicite en Allemagne, au Royaume-Uni et en Nouvelle-Zélande

En Allemagne et au Royaume-Uni, le principe de finalité, selon lequel les données personnelles ne peuvent être utilisées que pour servir l'objectif qui a justifié leur collecte, fait partie des principes fondamentaux contenus dans la loi générale sur la protection des données nominatives. Or, le respecter signifie interdire le transfert des données nominatives à des tiers.

En Nouvelle-Zélande, le fait que l'information doive être collectée directement auprès de la personne concernée fait partie des principes fondamentaux. Ce principe interdit également le transfert des données nominatives entre gestionnaires de fichiers.

* *

*

Cette interdiction générale n'empêche pas les rapprochements de données, réalisés automatiquement ou non, car les principes susmentionnés sont assortis d'exceptions. C'est ainsi que souvent une loi particulière autorise expressément ce que la loi générale sur la protection des données personnelles interdit.

2) Tous les pays étudiés, sauf le Portugal, ont adopté des dispositions législatives permettant le rapprochement des données fiscales et sociales

En Allemagne, aux Pays-Bas, au Royaume-Uni, en Australie et en Nouvelle-Zélande, des dispositions législatives autorisent le rapprochement des données fiscales et sociales, mais ces opérations sont organisées de façon assez différente dans ces cinq pays.

a) Aux Pays-Bas, plusieurs textes permettent le rapprochement des données fiscales et sociales par l'intermédiaire d'un identifiant personnel

Le rapprochement des données fiscales et sociales est prévu dans différents textes, notamment dans les textes régissant les différentes prestations sociales. Il s'effectue grâce au numéro d'identification sociale et fiscale.

La loi sur les impôts du Royaume le définit ainsi : " le numéro d'identification sociale et fiscale est le numéro sous lequel une personne physique est enregistrée auprès des services fiscaux ; ce numéro sert de numéro d'enregistrement aux assurés sociaux et aux bénéficiaires des prestations sociales pour l'exécution des dispositions relatives à la sécurité sociale ".

Initialement conçu pour les besoins internes de l'administration fiscale, ce numéro a vu son champ d'application s'étendre au domaine des prestations sociales, de sorte qu'actuellement, il est utilisé par exemple par les services sociaux municipaux, les services du ministère du Logement ou l'organisme responsable du financement des études lorsqu'une personne demande une allocation d'aide sociale, une allocation logement ou une bourse d'études. En règle générale, le service qui traite la demande peut, grâce au numéro d'identification sociale et fiscale, vérifier auprès d'autres organismes que les informations fournies par le demandeur correspondent à celles qu'il a données ailleurs.

b) La loi néo-zélandaise sur la protection des données autorise certains rapprochements de données, en particulier celui des données fiscales et sociales

La protection des données personnelles est régie par la loi de 1993 sur la vie privée, qui comporte notamment les règles applicables au rapprochement des données.

En effet, la loi néo-zélandaise autorise certains services administratifs ou organismes chargés d'une mission de service public à rapprocher leurs données. La liste des bénéficiaires de cette mesure est limitative, car elle reprend les services qui avaient été autorisés à effectuer des opérations de rapprochement par voie législative avant l'adoption de la loi de 1993.

Les administrations fiscale et sociale font partie des services autorisés à rapprocher leurs données, et l'un des principaux programmes de rapprochement vise à déterminer les personnes qui ont un emploi rémunéré et qui perçoivent une prestation à laquelle elles n'ont pas droit.

La loi de 1993, qui interdit l'attribution d'un numéro d'identification universel, n'exclut pas l'utilisation des numéros d'identification pour réaliser des opérations de rapprochement.

La loi soumet les services qui réalisent entre eux des opérations de rapprochement à des contraintes sévères : ils doivent conclure un accord écrit fixant les modalités du transfert de données, et tout programme de rapprochement doit faire l'objet d'un protocole très détaillé. Ils ne peuvent conserver les données communiquées plus de soixante jours, à moins qu'une anomalie n'ait été détectée et qu'une mesure de correction ne doive être prise.

La loi veille également à respecter les droits des particuliers, qui doivent être informés de la réalisation de telles opérations, par des campagnes d'information radiotélévisées par exemple. De plus, les anomalies détectées doivent leur être communiquées par lettre et, pendant un délai de cinq jours permettant aux personnes mises en cause de fournir des explications, aucune action ne peut être entreprise.

Le Commissaire à la vie privée, qui est l'organisme qui veille au respect de la loi sur la protection des données personnelles, contrôle étroitement les opérations de rapprochement : il reçoit copie des accords fixant les conditions des échanges d'informations, ainsi que des protocoles des programmes de rapprochement. Il peut demander aux services réalisant de tels programmes des informations très précises sur les opérations entreprises, et il doit consacrer une partie de son rapport annuel à cette question.

c) Des lois spécifiques régissent le rapprochement des données fiscales et sociales en Allemagne, au Royaume-Uni et en Australie

Le code social allemand autorise les organismes de sécurité sociale à transmettre les données personnelles qu'ils gèrent dans plusieurs cas limitativement énumérés, parmi lesquels " l'accomplissement d'une obligation légale consistant à fournir des informations ", notamment lorsque celles-ci permettent de " garantir le recouvrement de l'impôt ".

En Australie, la loi de 1990 sur le rapprochement des données fiscales et sociales autorise les échanges de données entre l'administration fiscale et les organismes attribuant des prestations sociales, le rapprochement de ces données entre elles et la communication des résultats de ce rapprochement à l'administration qui a fourni les données. La loi de 1990 décrit très précisément les différentes étapes des opérations de rapprochement et, tout comme la loi néo-zélandaise, les conditions dans lesquelles elles se déroulent. La loi de 1990 s'applique aux seules interconnexions effectuées par l'intermédiaire du numéro d'identification fiscale.

Les autres sont régies par les directives du Commissaire à la vie privée, qui, juridiquement, n'ont aucune valeur contraignante. Ces directives insistent sur le fait que seul l'intérêt public peut justifier des opérations de rapprochement et énumèrent les obligations que les responsables de ces opérations doivent respecter (information détaillée du Commissaire à la vie privée, durée de conservation limitée des données transmises, information des personnes concernées...). Elles sont en particulier utilisées lorsque, sur la base de la loi sur l'assiette de l'impôt sur le revenu, l'administration fiscale fournit des informations au ministère de la Sécurité sociale pour lui permettre d'appliquer la loi sur les pensions et prestations.

A l'image de l'Australie, le Royaume-Uni a adopté en 1997 la loi relative à l'administration de la sécurité sociale en matière de fraude, qui légitime certains flux d'informations entre administrations, dans la mesure où ils sont organisés dans le but de lutter contre la fraude. La loi autorise notamment l'administration fiscale à fournir des données personnelles aux administrations chargées de la gestion des cotisations et des prestations sociales lorsque le transfert est justifié par : la prévention, la détection, l'examen ou la poursuite des infractions relatives à la sécurité sociale, ou la vérification de l'exactitude des informations fournies par les assurés.

La loi a été complétée par un code de bonne conduite du ministère de la Sécurité sociale, qui précise notamment les durées de conservation des données transférées.

* *

*

Parmi les six pays étudiés, le Portugal est le seul qui n'ait jusqu'à maintenant pas adopté de dispositions législatives définissant précisément les possibilités de rapprochement des données fiscales et des données sociales.

ALLEMAGNE



Les fondements juridiques

En décembre 1983, la Cour constitutionnelle a, dans un jugement relatif au recensement de la population, proclamé un nouveau droit : " le droit d'autodétermination informationnelle ", qui est le droit, pour chaque individu, de décider de la communication et de l'emploi des informations relatives à sa personne. Si elle n'équivaut pas à une interdiction absolue de toute interconnexion, car la Cour constitutionnelle a souligné la nécessité de l'équilibre entre la protection de la vie privée et l'intérêt général, l'affirmation du droit d'autodétermination informationnelle limite beaucoup les possibilités d'interconnexion.

L'article 14 de la loi de 1990 sur la protection des données
oblige les organismes du secteur public à respecter le principe de finalité : les données personnelles ne peuvent être utilisées que pour la finalité pour laquelle elles ont été collectées. Le même article précise cependant qu'une règle de droit peut autoriser, explicitement ou non, un changement de finalité. La loi de 1990 précise par ailleurs que les transferts de données personnelles peuvent se faire de façon automatique, dans la mesure où la procédure utilisée est adaptée aux buts recherchés et sauvegarde les droits des intéressés.

Conformément à l'article 14, plusieurs lois autorisent des transferts d'informations entre administrations différentes. Dans le texte qui suit, on a pris l'exemple des lois sociales, c'est-à-dire des données personnelles qui sont traitées par les organismes de sécurité sociale.


I. L'IDENTIFIANT UNIQUE

L'utilisation d'un tel numéro d'identification est considérée comme anti-constitutionnelle.

II. L'INTERCONNEXION DES FICHIERS ADMINISTRATIFS

1) La loi sur l'aide sociale

Son article 117 autorise les bureaux d'aide sociale à contrôler " régulièrement au moyen de rapprochements de données effectués de façon automatique " que les bénéficiaires ne cumulent pas soit plusieurs prestations d'aide sociale d'origine différente, soit une prestation d'aide sociale avec une allocation de chômage, une pension de retraite, une rente pour accident du travail...

Pour réaliser ce contrôle, les bureaux d'aide sociale peuvent communiquer aux autres administrations certains renseignements, limitativement énumérés : nom et prénom, date et lieu de naissance, nationalité, sexe, adresse et numéro d'immatriculation sociale.

Le rapprochement est réalisé par les autres administrations qui en communiquent les résultats aux bureaux d'aide sociale. Une fois les vérifications faites, ces derniers ont l'obligation de restituer, d'effacer ou de rendre inaccessibles les données et leurs supports. Les bureaux d'aide sociale n'ont le droit d'utiliser les informations qui leur sont fournies que pour rechercher des cumuls illégaux.

Le même article oblige les administrations et les entreprises qui dépendent des collectivités territoriales à fournir aux bureaux d'aide sociale d'autres données (date et lieu de naissance, état civil et situation de famille, adresse, propriété d'un véhicule automobile, durée du bail et coût du loyer, montant des factures d'électricité, de gaz, d'eau...).

Le Délégué général à la protection des données, qui, en collaboration avec le ministère de la Santé, a élaboré le règlement permettant l'application de l'article 117 de la loi, a émis, de même que le ministère de la Justice, des doutes sur la constitutionnalité d'un fichier central des données sociales comportant toutes les données relatives aux bénéficiaires de l'aide sociale et permettant l'interconnexion avec d'autres fichiers.

2) Le code social

Les articles 68 à 76 du livre X du code social autorisent les organismes de sécurité sociale à transmettre des données sociales dans certains cas. Des règlements du ministère des Affaires sociales précisent dans quelles conditions ces transferts peuvent avoir lieu.

a) A la justice, à la police, aux autres forces de l'ordre et à toute personne faisant valoir un droit devant un tribunal administratif
D'après l'article 68, la transmission de certaines données sociales à la justice et aux différentes forces de l'ordre, ainsi qu'à toute personne faisant valoir devant un tribunal administratif un droit d'au moins 1.000 DEM (c'est-à-dire environ 3.000 francs) est justifiée dans la mesure où elle ne lèse aucun des intérêts légitimes de l'intéressé.

Les données susceptibles d'être transmises sont : le nom et le prénom de la personne, ses date et lieu de naissance, son adresse, ainsi que les noms et adresses de ses employeurs.

b) Pour l'accomplissement de missions sociales

L'article 69 autorise, de façon générale, la transmission de données sociales lorsque cette dernière permet :

- l'accomplissement par un organisme des missions que le code social lui impartit ou le déroulement d'un procès connexe ;

- la rectification de déclarations inexactes, lorsque lesdites déclarations fondent l'attribution de prestations.


L'article 69 justifie par exemple qu'un organisme qui gère l'assurance contre les accidents du travail communique à une caisse de retraite le montant de la rente qu'il verse à un assuré.

L'article 69 légitime également la transmission de certaines données sociales dans quelques cas particuliers. Il autorise ainsi une caisse de sécurité sociale à indiquer à un employeur si la prolongation ou le renouvellement d'un arrêt de travail est dû à la même maladie que celle qui a justifié l'arrêt de travail initial.

c) Pour le respect de la sécurité du travail

Aux termes de l'article 70, la transmission de données sociales afin d'atteindre cet objectif est justifiée dans la mesure où elle ne lèse aucun des intérêts légitimes de l'intéressé.

d) Pour l'accomplissement de certaines obligations légales

Selon l'article 71, la transmission des données sociales est justifiée lorsqu'elle est nécessaire à l'accomplissement d'une obligation légale consistant à fournir des informations lorsque celles-ci permettent par exemple la prévention des infractions pénales, de la fraude fiscale ou du travail au noir.

e) Pour la protection de la sécurité intérieure et extérieure

D'après l'article 72, cet objectif justifie la transmission de certaines données : les nom et prénom, éventuellement les noms utilisés précédemment, les date et lieu de naissance, les adresse actuelle et antérieure(s), ainsi que les noms et adresses des employeurs actuel(s) et antérieur(s).

f) Pour la réalisation d'un procès pénal

L'article 73 justifie la transmission des mêmes données que dans le cas précédent.

g) Pour faire valoir un droit à pension alimentaire

L'article 74 autorise la transmission de données sociales, que le litige soit ou non réglé par un tribunal, que le droit à pension découle d'une loi ou d'un contrat.

h) Pour la recherche et la programmation

Selon l'article 75, cet objectif justifie la transmission de données sociales, dans la mesure où aucun des intérêts légitimes de l'intéressé n'est lésé. Cette restriction est supprimée lorsque l'intérêt général l'emporte.

* *

*

Afin de lutter contre la perception frauduleuse de prestations sociales, le ministère du Travail et des affaires sociales avait envisagé de faire adopter un texte général sur le rapprochement des données sociales, qui aurait été inclus dans un chapitre du code social consacré à la protection des données personnelles.

Le Délégué fédéral à la protection des données et le ministère n'étaient pas d'accord sur le contenu du projet et le ministère a, malgré la désapprobation du Délégué, fait voter l'article 67e du livre X du code social, intitulé : " Collecte et transmission pour la lutte contre la perception injustifiée de prestations sociales et contre le travail illégal des étrangers ". Cet article élargit les compétences de l'Office fédéral du travail et des bureaux des douanes. Cette nouvelle disposition les charge en effet, dans le cadre de leur mission générale de lutte contre la perception injustifiée de prestations sociales et contre l'emploi illégal des étrangers, prévue à l'article 304 du livre III du code social, d'interroger les personnes qu'ils contrôlent sur :

- les catégories de prestations sociales perçues ;

- leur caisse d'assurance maladie ;

- les cotisations versées ;

- les travailleurs étrangers employés.

Les réponses obtenues peuvent être transmises par les organismes de sécurité sociale aux autorités qui sont compétentes pour faire cesser la fraude.

En 1995, les ministères du Travail et des Affaires sociales des Länder ont créé un groupe de travail sur l'amélioration de l'échange des données sociales. Dans ses conclusions, rendues à la fin de l'année 1997, le groupe priait le gouvernement fédéral de " faire le nécessaire pour permettre la réalisation d'un meilleur échange de données ". Le gouvernement fédéral n'a rien fait jusque maintenant, mais le Délégué fédéral et les délégués régionaux à la protection des données ont manifesté leur accord avec d'éventuels changements, dans la mesure où ils seraient nécessaires et adaptés au but recherché, et où les garanties fondamentales des individus seraient respectées.

PAYS-BAS



Les fondements juridiques

L'article 6a de la loi de 1988 sur les fichiers de données personnelles
, qui résulte d'une modification entrée en vigueur le 1er janvier 1996, légitime, dans certaines circonstances, l'utilisation d'identifiants personnels ainsi que l'interconnexion des fichiers de données.

En effet, il précise qu'un numéro personnel d'identification créé par la loi peut, si une loi le prévoit, être utilisé " dans un fichier de données personnelles " ou " à l'occasion de l'échange de données ", c'est-à-dire aussi bien pour les besoins internes du gestionnaire du fichier que pour fournir des données à des tiers.

Le projet de loi tendant à transposer la directive européenne 95/46 est actuellement examiné par le Parlement. En ce qui concerne l'utilisation des identifiants personnels, il reprend, à quelques mots près, la formulation de la loi de 1988.

Cette utilisation de l'identifiant personnel correspond au principe général posé par l'article 11 de la loi (et repris sous une formulation un peu différente par le projet de loi), selon lequel la fourniture de données à des tiers est légitime seulement lorsqu'elle est prescrite par la loi, à moins qu'elle ne " résulte de l'objectif de l'enregistrement " ou qu'elle n'ait lieu avec l'accord de la personne concernée.

La loi de 1990 sur les fichiers de police (1(*)) prévoit également explicitement leur interconnexion avec d'autres fichiers administratifs.

I. L'IDENTIFIANT UNIQUE

Les administration néerlandaises utilisent deux numéros d'identification :

- le numéro des registres communaux de population, dit numéro A ;

- le numéro d'identification sociale et fiscale, dit sofi-nummer.

1) Le numéro A

Il est défini dans la loi du 9 juin 1994 sur les données personnelles des fichiers municipaux, qui charge l'administration de chaque commune de constituer un fichier automatisé sur ses résidents, afin qu'elle puisse fournir certaines données à des administrations, nationales ou locales, ou à des organismes chargés d'une mission de service public. Ainsi, un apprenti conducteur demande à sa commune de remplir le formulaire nécessaire pour l'examen du permis de conduire.

Le numéro A est attribué par le ministère de l'Intérieur. Il ne doit comporter aucune information relative à la personne à laquelle il se rapporte.

2) Le numéro d'identification sociale et fiscale

Il a été institué pour les besoins internes de l'administration fiscale par l'article 47b de la loi sur les impôts du Royaume, c'est-à-dire de la loi qui comporte les règles communes à plusieurs impôts.

Cet article énonce à l'alinéa 3 : " le numéro d'identification sociale et fiscale est le numéro sous lequel une personne physique est enregistrée auprès des services fiscaux ; ce numéro sert de numéro d'enregistrement aux assurés sociaux et aux bénéficiaires des prestations sociales pour l'exécution des dispositions relatives à la sécurité sociale ".

II. L'INTERCONNEXION DES FICHIERS ADMINISTRATIFS

Elle est limitée par l'article 6a de la loi sur la protection des données. Entré en vigueur le 1er janvier 1996, cet article subordonne l'utilisation d'un numéro personnel d'identification créé par une loi à l'exécution d'une disposition législative prescrivant ou permettant l'emploi d'un tel numéro. L'article 6a de la loi prévoit aussi qu'un règlement d'administration publique puisse autoriser l'utilisation d'un numéro personnel d'identification.

Le projet de loi de transposition de la directive européenne 95/46 limite l'utilisation d'un numéro personnel d'identification créé par une loi à l'exécution de ladite loi ou à l'accomplissement des objectifs prévus par cette loi. Il prévoit également qu'un règlement d'administration publique puisse autoriser l'utilisation d'un tel numéro. Le projet ajoute que, dans les autres cas, l'autorité de contrôle devra procéder à un examen préalable de tous les projets prévoyant l'utilisation d'un numéro personnel d'identification pour d'autres fins que celles pour lesquelles le numéro à été conçu. L'autorité de contrôle procédera donc à un examen préalable de tous les projets d'interconnexion de fichiers.

1) L'interconnexion par la loi de 1994 sur les registres communaux

La loi de 1994 sur les registres communaux de population fixe comme objectif aux communes de fournir des données à un certain nombre d'organismes publics ainsi qu'à des organismes privés chargés par un règlement d'administration publique d'une mission de service public, dans la mesure où ces données sont nécessaires à l'accomplissement des tâches de ces organismes. Cette loi organise donc l'interconnexion des fichiers communaux avec ceux d'autres entités.

L'utilisation des données contenues dans les registres communaux de population est très encadrée par la loi de 1994.

Cette loi énumère en effet :

- le contenu précis des registres communaux ;

- les destinataires potentiels des informations qu'ils comportent ;

- les utilisations possibles de ces informations.

a) Les informations contenues dans les registres communaux de population

Les fichiers de la commune de résidence comportent :

- des données générales (état civil, nationalité, droit de séjour quand il s'agit d'un étranger, adresse, numéro d'identification sociale et fiscale de l'intéressé et de ses proches ...) ;

- des données dites particulières (les données nécessaires à l'exécution de la loi sur le passeport et de la loi électorale) ;

- des données dites administratives (relatives à l'inscription dans la commune, aux actes d'état civil sources des données générales, à l'acquisition de la nationalité néerlandaise...).

Les fichiers de la (ou des) commune(s) précédente(s) de résidence comportent :

- des données dites de référence (relatives au nom, à la naissance, au numéro A, au numéro d'identification sociale et fiscale ainsi qu'à la commune de résidence) ;

- des données dites administratives et liées aux précédentes.

b) Les destinataires potentiels des informations contenues dans les registres communaux

Par principe, les tiers n'ont pas accès à ces données. Toutefois, sur requête écrite et certifiée, la commune peut fournir des données générales et de référence à condition que le demandeur en ait besoin pour exécuter une règle générale obligatoire. En aucun cas, le numéro A ne peut être communiqué.

La loi prévoit par ailleurs, à l'article 99, la communication systématique de certaines informations, à certains destinataires qu'elle répartit en quatre groupes :

- les fonds de pension, les assureurs chargés du versement d'une pension de retraite, les fonds d'épargne et les fonds de préretraite ;

- les églises et autres communautés spirituelles ;

- les établissements d'enseignement, de soins et les services sociaux ;

- le Bureau central de généalogie.

Dans chacun de ces quatre cas, la fourniture d'informations est limitée aux seules données générales et de référence. Elle doit être justifiée par la mission du destinataire et ne peut avoir lieu qu'après signature d'un arrêté ministériel. De plus, les destinataires des données des registres communaux n'ont pas le droit de communiquer les informations reçues à des tiers.

Inversement, la loi de 1994 prévoit que les services du ministère de la Justice peuvent fournir aux administrations communales des données relatives aux titres de séjour des étrangers. Ces dispositions, combinées à celles de la loi sur les données personnelles qui concernent la fourniture d'informations à des tiers, ont permis de justifier les modifications apportées au début de l'année 1998 à la loi sur les étrangers : la loi alors adoptée, dite " loi du couplage ", a modifié un certain nombre de lois sociales, afin de lier le droit aux différentes prestations sociales à l'existence d'un titre de séjour régulier.

2) L'interconnexion par le numéro d'identification sociale et fiscale

Initialement conçu pour les besoins internes de l'administration fiscale, ce numéro a vu son champ d'application s'étendre au domaine des prestations sociales. Peu à peu, il est devenu une institution de lutte contre la fraude.

Ce numéro est en particulier utilisé par :

- les services du ministère du Logement lorsqu'une personne demande une allocation logement ;

- la banque nationale responsable du financement des études lorsqu'un jeune demande une bourse d'études ;

- les services sociaux municipaux lorsqu'une personne demande une allocation d'aide sociale.

Dans chacun de ces cas, le service qui traite la demande peut vérifier auprès d'autres organismes que les informations fournies par le demandeur correspondent à celles qu'il a données ailleurs.

Toutes ces dispositions résultent de la conjonction de différents textes, législatifs et réglementaires, sur la protection sociale, de la loi de 1994 sur les registres communaux et de l'arrêté du 26 mars 1996 relatif à l'emploi du numéro d'identification sociale et fiscale pour la fourniture des données issues d'un fichier personnel. De façon générale, ce texte autorise par exemple le ministre des Affaires sociales à utiliser ce numéro comme instrument de " surveillance et de dépistage " dans le cadre de plusieurs lois sur le travail, parmi lesquelles celle sur le travail des étrangers.

III. LE CAS PARTICULIER DES FICHIERS DE POLICE

La loi du 21 juin 1990 sur les fichiers de police prévoit qu'un fichier de police puisse être interconnecté avec d'autres fichiers lorsque cette opération est nécessaire à la bonne réalisation des missions de la police. Cette possibilité doit avoir été prévue dans le règlement du fichier concerné.

De plus, le règlement pris en février 1991 pour l'application de la loi de 1990 précise dans quelles conditions l'interconnexion est justifiée :

- elle peut être réalisée uniquement avec d'autres fichiers de police ou avec des fichiers d'établissements publics d'enseignement, de santé ou de services sociaux ;

- elle doit faire l'objet d'un procès-verbal conservé pendant deux ans et mentionnant le but et la date de l'opération, le demandeur, les données interconnectées, l'existence éventuelle de nouvelles données résultant de l'opération, et l'enregistrement éventuel de ces nouvelles données dans un fichier.

PORTUGAL



Les fondements juridiques

L'article 35 de la constitution
interdit explicitement l'attribution d'un numéro d'identification unique.

L'article 9 de la loi de 1998 sur la protection des données personnelles précise dans quelles circonstances l'interconnexion des fichiers est possible.

I. L'IDENTIFIANT UNIQUE

L'article 35 de la constitution, relatif à l'utilisation de l'informatique, énonce à l'alinéa 5 : " Il est interdit d'attribuer aux citoyens un numéro national unique. "

L'article 35 de la constitution a dû être modifié en septembre 1997 avant la transposition de la directive européenne 95/46. Cependant, la rédaction de l'alinéa 5 est restée inchangée.

II. L'INTERCONNEXION DES FICHIERS ADMINISTRATIFS

Elle est explicitement prévue à l'article 9 de la loi de 1998 sur la protection des données personnelles, alors que la loi de 1991 posait le principe de son interdiction, tout en assortissant cette interdiction d'exceptions.


Loi de 1991

---

Loi de 1998

---

Art. 24 : Interconnexion des données personnelles

1. L'interconnexion de fichiers automatisés, de bases et de banques de données personnelles est interdite, sauf dans les cas exceptionnels prévus par la présente loi.

2. L'attribution d'un même numéro afin d'interconnecter des fichiers automatisés de données personnelles contenant des informations à caractère policier, criminel ou médical n'est pas permise.


Art. 25 : Interconnexion de données publiques

L'interconnexion de fichiers automatisés, de bases et de banques de données contenant des données publiques peut être réalisée par des organismes qui poursuivent les mêmes buts spécifiques, dans la mesure où les fichiers dépendent du même responsable (...).

Art. 26 : Cas exceptionnels

La loi qui, dans des cas exceptionnels, permettra l'interconnexion de fichiers automatisés, de banques et de bases de données doit définir de façon explicite les catégories d'interconnexions autorisées ainsi que leur finalité.


La loi de 1998 définit à l'article 3 plusieurs concepts, parmi lesquels l'interconnexion des données, qu'elle considère comme la " possibilité de mise en relation de données d'un fichier avec celles d'un ou de plusieurs fichiers qui sont gérés par un autre ou par d'autres responsables ou qui sont gérés par le même responsable, mais dans un autre but ".

Art. 9 : Interconnexion de données personnelles

1. L'interconnexion de données personnelles qui n'est pas prévue par la loi doit être autorisée par la CNPD (2(*)), la demande ayant été formulée par le responsable (ou conjointement par les responsables) du traitement, dans les termes prévus à l'article 27.

2. L'interconnexion des données personnelles doit être proportionnée à la poursuite des finalités légales ou statutaires et aux intérêts légitimes des responsables des traitements ; elle ne doit pas entraîner de discrimination ou de limitation des droits, des libertés et des garanties des titulaires des données ; elle doit être entourée des mesures de sécurité adéquates et prendre en compte la nature des données qui font l'objet de l'interconnexion.

La loi 130-A/97 du 31 décembre 1997 relative au recensement électoral prévoit la création d'un fichier central informatisé à partir des fichiers tenus dans les différentes circonscriptions électorales. L'un des objectifs du texte consistant à éliminer les inscriptions injustifiées, la loi autorise l'interconnexion du fichier électoral avec les données de l'état civil.

Depuis l'entrée en vigueur de la loi de 1998, la CNDP n'a autorisé aucune interconnexion.

Elle a interdit, par une délibération rendue en mars 1999, un projet présenté par l'Association nationale des pharmacies. En effet, le nouveau système informatique envisagé par cette association supposait l'interconnexion de données gérées par les pharmacies, par le système national de santé, par l'ordre des médecins... Or, la CNPD a estimé que le projet ne répondait pas aux critères requis par l'article 9-2 de la loi de 1998, en particulier parce que l'Association nationale des pharmacies représente avant tout les intérêts économiques et professionnels des propriétaires de pharmacies et que le projet risquait de porter atteinte à la vie privée des citoyens.

ROYAUME-UNI



Les fondements juridiques

La loi de 1998 sur la protection des données
, reprenant la formulation de la loi de 1984, énumère, dans sa première annexe, les huit principes que le traitement des données doit respecter. Le deuxième principe énonce : " Les données personnelles ne seront obtenues qu'en vue de servir un ou plusieurs objectifs précis et licites, et ne seront pas traitées d'une façon qui soit incompatible avec ce ou ces objectif(s). " Comme par ailleurs la divulgation des données fait partie du traitement, le deuxième principe interdit la diffusion des données à des fins différentes de celles pour laquelle elles ont été enregistrées. Il interdit donc implicitement l'interconnexion.

Toutefois, d'après l'article 34 de la loi de 1984 (et l'article 35 de la loi de 1998), le principe de non-divulgation n'est pas applicable lorsqu'un texte législatif ou réglementaire, une décision de justice, une procédure judiciaire, ou la nécessité d'exercer un droit reconnu par la loi justifient la divulgation.

La loi de 1997 relative à l'administration de la sécurité sociale en matière de fraude
a modifié la loi de 1992 sur l'administration de la sécurité sociale de façon à autoriser des transferts d'informations entre administrations différentes. Ces transferts ne sont légitimes que s'ils sont organisés dans le seul but de lutter contre la fraude aux prestations sociales et aux cotisations sociales. Cette loi est entrée en vigueur le 1er juillet 1997.

I. L'IDENTIFIANT UNIQUE

La seconde partie de l'annexe 1 de la loi de 1998 indique que " les données personnelles qui comportent un identifiant général correspondant à la définition donnée par arrêté ministériel ne seront pas considérées comme ayant été traitées de façon équitable et loyale à moins d'avoir été traitées conformément aux conditions prescrites applicables aux identifiants généraux précisées dans cette définition ".

Le traitement des numéros d'identification devra donc être effectué selon des conditions plus strictes que celui des autres données.

Aucun texte réglementaire sur le traitement des identifiants uniques n'a encore été publié.

Actuellement, chaque résident dispose d'un numéro d'immatriculation au système national de santé, mais la gestion de ces numéros est très critiquée. Leur attribution semble effectuée dans des conditions assez laxistes permettant la fraude.

Compte tenu de la probable utilisation du numéro d'immatriculation au système de santé comme identifiant unique dans le futur, le Data Protection Registrar (autorité de contrôle de la loi sur la protection des données) plaide pour que ce numéro soit, par arrêté, désigné comme " identifiant général " et pour que son utilisation soit limitée aux seules administrations sociale et fiscale.

II. L'INTERCONNEXION DES FICHIERS ADMINISTRATIFS

La loi de 1997 relative à l'administration de la sécurité sociale en matière de fraude autorise, dans certaines circonstances, l'administration fiscale et les administrations responsables des passeports, de l'immigration, de l'émigration, du droit de la nationalité et des prisons, à fournir aux administrations chargées de la gestion des cotisations et des prestations sociales des données personnelles permettant aux secondes de détecter des fraudes.

1) Les objectifs légitimant la diffusion des données

Les seuls objectifs susceptibles de justifier le transfert de données personnelles d'une administration à une autre sont les suivants :

- la prévention, la détection, l'examen et la poursuite d'infractions relatives à la sécurité sociale ;

- la vérification de l'exactitude des informations fournies par les assurés et relatives aux prestations et aux cotisations de sécurité sociale, au numéro d'immatriculation ou à tout autre fait se rapportant à la sécurité sociale.

2) Les flux d'informations autorisés

a) De l'administration fiscale et de certains services du ministère de l'Intérieur vers le ministère de la Sécurité sociale

La loi de 1997 autorise, d'une part, l'administration fiscale (et ses éventuels prestataires de services) et, d'autre part, un certain nombre de services du ministère de l'Intérieur à fournir des données personnelles au ministère de la Sécurité sociale (et à ses éventuels prestataires de services).

Les services du ministère de l'Intérieur concernés par la loi de 1997 sont les services responsables des passeports, de l'immigration et de l'émigration, du droit de la nationalité et des prisons.

La loi prévoit qu'un texte réglementaire puisse compléter la liste des services susceptibles de fournir des informations au ministère de la Sécurité sociale, mais cette possibilité n'a pas encore été utilisée.

b) Entre le ministère de la Sécurité sociale et les collectivités locales

Les collectivités locales administrent deux prestations sociales, le housing benefit (prestation allouée aux détenteurs de très faibles revenus pour les aider à payer leur loyer), et le council tax benefit (prestation qui permet de couvrir tout ou partie de la council tax, c'est-à-dire l'impôt local prélevé sur les logements). Des échanges de données entre les collectivités locales et le ministère de la Sécurité sociale (dans les deux sens) peuvent être organisés.

c) Entre les collectivités locales et l'Audit Commission

Lorsque l'Audit Commission (3(*)) est chargée par le ministère de la Sécurité sociale de mener une enquête sur la gestion par certaines collectivités du housing benefit et du council tax benefit, ces dernières doivent lui fournir, à sa demande, les informations nécessaires à son enquête. A son tour, l'Audit Commission peut transmettre au ministère les données ainsi recueillies.

3) Les garanties

a) Les dispositions législatives

Seule la lutte contre la fraude peut légitimer les transferts d'informations et les flux d'informations autorisés sont strictement limités. C'est pourquoi, en juillet 1998, les services du Data Protection Registrar ont rappelé à l'ordre certaines collectivités locales qui avaient pris contact avec des employeurs et leur avaient demandé de leur fournir des informations relatives à la paye de leurs salariés. A la suite de ces incidents, le Data Protection Registrar a prié l'organe fédérateur des collectivités locales de préparer un code de bonne conduite à l'intention des responsables des collectivités.

De plus, les destinataires des informations sont précisés par la loi. Dans certains cas, les informations peuvent cependant être fournies à d'autres destinataires que ceux prévus par la loi :

- dans le cadre d'une procédure civile ou pénale qui se fonde sur la législation relative aux prestations sociales ;

- lorsque les informations transmises ont permis d'en modifier d'autres, les premières peuvent être divulguées ou utilisées pour servir n'importe quel objectif légitime justifiant l'utilisation des données modifiées.

Par ailleurs, la loi de 1992 sur l'administration de la sécurité sociale oblige le personnel du ministère de la Sécurité sociale (et de ses prestataires de service) à respecter la confidentialité des informations qui leur sont transmises. Le non-respect de ce devoir est constitutif de l'infraction de " diffusion non autorisée de données personnelles ".

b) Le code de bonne conduite du ministère de la Sécurité sociale

Le Data Protection Registrar avait, au moment de l'adoption de la loi de 1997, plaidé pour l'insertion dans la loi d'un code de bonne conduite, qui aurait eu valeur législative et aurait pu être appliqué par les tribunaux. Comme cette solution n'a pas été retenue, un code a été rédigé de façon volontaire par le ministère de la Sécurité sociale en concertation avec les services du Data Protection Registrar.

Ce code précise les possibilités de transfert d'informations. Il indique en particulier que l'administration ne peut en principe pas conserver plus de neuf mois les données qu'elle reçoit d'autres administrations. Dans le cas où le rapprochement des données fait apparaître des anomalies, la durée de conservation peut être portée à dix-huit mois. C'est seulement dans le cas où la procédure judiciaire le requiert que la durée de conservation peut dépasser dix-huit mois. Dans une telle hypothèse, tous les douze mois, il convient de vérifier la pertinence de la conservation.

Le Data Protection Registrar regrette que le code de conduite du ministère de la Sécurité sociale ne concerne pas les autres administrations susceptibles d'être impliquées dans les transferts d'informations.

* *

*

Depuis quelques années, la lutte contre la fraude aux prestations sociales est devenue une priorité nationale. La loi de 1997 fournit donc au Benefit Fraud Inspectorate, l'unité du ministère de la Sécurité sociale spécialisée dans la lutte contre la fraude, un instrument important. Dans le document intitulé " Sauvegarder la sécurité sociale ", qu'il a publié en mars 1999, le gouvernement insiste sur la nécessité de prévenir la fraude plutôt que de la détecter par des opérations d'interconnexion.

Cependant, le Welfare Reform Bill, qu'examine actuellement le Parlement, prévoit que l'agence chargée du versement des prestations compensatrices en cas de divorce (la Child Support Agency : CSA) puisse avoir accès aux données de l'administration fiscale. Dans l'hypothèse par exemple où un père n'effectue pas les versements de façon normale, la CSA pourrait alors les déduire à la source.

AUSTRALIE



Les fondements juridiques

La loi fédérale de 1988 sur la vie privée
(Privacy Act 1988) énonce à l'article 14 les onze principes que les administrations et les organismes chargés d'une mission de service public (4(*)) doivent respecter lorsqu'ils collectent, stockent utilisent ou divulguent des données personnelles.

Le neuvième de ces principes interdit aux gestionnaires de fichiers de diffuser des données qu'ils détiennent ou qu'ils contrôlent. Cette interdiction s'accompagne cependant de plusieurs exceptions, parmi lesquelles :

- le fait qu'une loi exige ou autorise la diffusion de certaines données personnelles ;

- le fait que la diffusion de certaines données soit " raisonnablement nécessaire " à l'application du droit pénal ou d'une loi imposant une amende, ou à la protection des finances publiques.

Dans certains cas, la loi autorise donc les transferts d'informations entre administrations différentes. C'est pourquoi elle précise à l'article 27 que l'autorité de contrôle, le Commissaire à la vie privée, doit examiner les projets de rapprochement de données susceptibles de porter atteinte à la vie privée des particuliers.

La loi de 1990 sur le rapprochement des données fiscales et sociales autorise les transferts d'informations entre l'administration fiscale et les services chargés du versement des prestations sociales. Comme le Commissaire à la vie privée a également été chargé du contrôle de l'application de la loi sur le rapprochement des données, il a mis en place une unité spécialisée dans ce domaine.

I. L'IDENTIFIANT UNIQUE

Le numéro d'identification fiscale (Tax file number : TFN) est le numéro attribué par l'administration fiscale aux particuliers et aux sociétés.

Les salariés doivent le communiquer à leurs employeurs et à leurs banques. S'ils ne le font pas, l'impôt sur le revenu est prélevé au taux marginal le plus élevé.

La communication du TFN constitue également la condition du versement de la plupart des prestations sociales.

II. L'INTERCONNEXION DES FICHIERS ADMINISTRATIFS

L'article 27 de la loi de 1988 sur la vie privée prévoit que le Commissaire à la vie privée procède à un contrôle préventif, de sa propre initiative ou sur requête du ministre concerné, des propositions de rapprochement ou d'interconnexion des données susceptibles de porter atteinte à la vie privée des particuliers et qu'il s'assure que tout est mis en oeuvre pour minimiser les conséquences négatives de telles propositions pour les particuliers.

1) Les interconnexions effectuées par l'intermédiaire du numéro d'identification fiscale.

La loi de 1990 sur le rapprochement des données fiscales et sociales autorise explicitement :

- les échanges de données entre l'administration fiscale et les administrations attribuant les prestations sociales ;

- le rapprochement de ces données entre elles ;

- la communication des résultats de ce rapprochement à l'administration qui a fourni les données.

La loi de 1990 s'applique uniquement aux interconnexions effectuées par l'intermédiaire du numéro d'identification fiscale.

Elle décrit très précisément les sept étapes que doit comporter chaque cycle de rapprochement. Elle précise que le nombre de ces cycles est limité à neuf par an, qu'il ne peut s'en dérouler qu'un à la fois et qu'un cycle ne peut se dérouler sur une période supérieure à deux mois.

La loi indique également que les résultats du rapprochement peuvent notamment justifier la suspension du versement d'une prestation, la modification de son taux, la récupération d'une prestation indûment versée...

2) Les autres interconnexions

Les autres interconnexions, qui s'appliquent aux cas où le numéro d'identification fiscale n'est pas utilisé dans le processus de rapprochement, ne sont pas régies par une loi, mais, dans la mesure où elles concernent plus de 5.000 personnes et sont effectuées pour combattre, directement ou non, une fraude, par les directives du Commissaire à la vie privée, qui n'ont aucune valeur contraignante. Les directives actuellement en vigueur datent de février 1998 et sont entrées en vigueur en avril 1998, mais de telles directives existent depuis 1992.

Ces directives insistent sur le fait que seules des raisons majeures liées à l'intérêt public peuvent justifier l'utilisation de données personnelles pour une finalité autre que celles pour laquelle elles ont été collectées.

De plus, le service ou l'organisme responsable de l'opération de rapprochement doit :

- estimer les coûts et les avantages de l'opération ;

- étudier la possibilité d'utiliser d'autres moyens pour obtenir les mêmes résultats ;

- publier des informations sur le programme de rapprochement (données concernées, utilisation des résultats...) ;

- communiquer au Commissaire à la vie privée une description du programme et une note justifiant l'opération de rapprochement (5(*)) ;

- informer les personnes dont les données sont utilisées ;

- vérifier les résultats du rapprochement avant de prendre une mesure susceptible de porter préjudice à quelqu'un ;

- ne prendre aucune mesure avant quatorze jours, ce délai permettant à l'intéressé de se justifier ;

- ne pas conserver les données après l'achèvement de l'opération de rapprochement.

Lorsque le responsable d'un service public considère qu'une opération de rapprochement doit être entreprise, mais qu'elle ne peut pas respecter les directives, il doit informer le Commissaire du projet envisagé et en expliquer les raisons.

Les services qui procèdent à des opérations de rapprochement sans que ces opérations relèvent du champ d'application des directives doivent en rendre compte au Commissaire lorsque ces opérations concernent plus de 1.000 personnes.

Les directives sont utilisées par exemple lors de la fourniture d'informations par l'administration fiscale au ministère de la Sécurité sociale, qui est organisée sur la base de la loi sur l'assiette de l'impôt sur le revenu. Cette loi autorise en effet l'administration fiscale à donner des informations au ministère de la Sécurité sociale pour l'application des lois sur les pensions et les prestations. Pour faciliter ces transferts d'informations, la loi de finances comporte, depuis 1991, des dispositions relatives au transfert hebdomadaire d'une bande magnétique permettant de repérer les versements de prestations sociales incorrects. Le service compétent du ministère de la Sécurité sociale détruit les données inutilisables pour le rapprochement dans les deux semaines. Celles qui sont utilisées mais qui ne sont pas rapprochées sont détruites dans les trois mois, et les autres dans l'année.

NOUVELLE-ZELANDE



Les fondements juridiques

La loi de 1993 sur la vie privée
(Privacy Act 1993), qui s'est substituée à la loi de 1991 sur le Commissaire à la vie privée, énonce à l'article 6 les douze principes que les administrations et les organismes chargés d'une mission de service public (6(*)) doivent respecter lorsqu'ils collectent, stockent, utilisent ou diffusent des données personnelles.

Le deuxième de ces principes précise que l'information doit être collectée directement auprès de la personne concernée, sauf dans certaines circonstances, parmi lesquelles :

- la nécessité de respecter la loi, ce qui inclut la prévention, la détection, l'investigation, la poursuite et la punition des infractions ;

- la protection des finances publiques ;

- les besoins d'une procédure judiciaire.

Dans les mêmes circonstances, le onzième de ces principes, relatif à la non-divulgation des données personnelles à des tiers ne trouve pas son application habituelle.

La loi de 1993 autorise donc les transferts d'informations entre administrations différentes dans certaines circonstances. Ceci justifie que cette loi :

- ait repris dans sa troisième annexe des dispositions antérieures relatives à des rapprochements de données qui avaient déjà été autorisés par voie législative ;

- prévoie que le Commissaire à la vie privée examine tout projet de loi comportant une autorisation de rapprocher des données entre deux administrations différentes ;

- consacre la totalité de sa dixième partie aux rapprochements des données qui résultent d'une autorisation législative.

I. L'IDENTIFIANT UNIQUE

La loi de 1993 définit à l'article 21 un identifiant unique comme un numéro d'identification :

(a) attribué à une personne par une agence pour les objectifs correspondant aux activités de l'agence ;

" (b) qui identifie uniquement cette personne pour ce qui concerne cette agence, mais, pour éviter tout risque de confusion, n'inclut pas un nom utilisé pour identifier cette personne
 ".

Par ailleurs, le douzième principe de la même loi limite l'utilisation des identifiants uniques. Il énonce en effet :

Une agence ne doit pas attribuer d'identifiant unique, à moins qu'un tel numéro ne soit nécessaire pour permettre à l'agence d'exécuter efficacement une ou plusieurs de ses missions ;

" Une agence ne doit pas attribuer un identifiant unique qui, à sa connaissance, a déjà été attribué par une autre agence, à moins que ces deux agences ne soient associées, au sens de l'article 8 de la loi de 1976 sur l'impôt sur le revenu ;

" Une agence qui attribue des identifiants uniques doit prendre toutes les mesures raisonnables pour s'assurer qu'ils ne sont attribués qu'aux personnes dont l'identité est clairement établie ;

" Une agence ne doit pas demander à une personne de révéler un identifiant unique, à moins que cette divulgation ne soit nécessaire pour l'accomplissement de l'un des objectifs qui ont justifié son attribution ou dans un but directement relié à l'un de ces objectifs
 ".

Les trois premiers alinéas ne s'appliquent qu'aux identifiants uniques attribués après le 1er juillet 1993, tandis que le quatrième s'applique dans tous les cas.

Le deuxième alinéa interdit implicitement l'attribution d'un numéro d'identification universel.

II. L'INTERCONNEXION DES FICHIERS ADMINISTRATIFS

La loi de 1993 interdit l'utilisation des identifiants uniques pour rapprocher des données. Dans sa quatrième annexe, elle énonce en effet : " A moins qu'une autre loi en dispose autrement, les identifiants uniques ne doivent pas être utilisés comme éléments d'un programme autorisé de rapprochement des données, sauf si leur utilisation est essentielle au succès du programme ".

Malgré ces dispositions, plusieurs programmes de rapprochement utilisent un identifiant unique. Cependant, si la loi qui crée un programme de rapprochement ne mentionne pas explicitement un tel emploi, celui-ci est interdit.

Huit lois adoptées en 1991, c'est-à-dire sous l'empire de la loi de 1991 sur le Commissaire à la vie privée, autorisaient des opérations de rapprochement de données. Elles ont été reprises dans la troisième annexe de la loi de 1993. Les rapprochements de données réalisés dans le cadre de ces huit lois doivent respecter les dispositions de la dixième partie de la loi de 1993, qui constituent une reprise des dispositions équivalentes de la loi de 1991. Par ailleurs, le Commissaire à la vie privée doit se prononcer sur tous les projets de loi comportant des dispositions susceptibles de permettre des rapprochements de données.

1) Les objectifs légitimant les transferts de données

La loi de 1993 définit les " programmes autorisés de rapprochements " comme ceux qui permettent la comparaison de données personnelles concernant au moins dix individus " dans le but de produire ou de vérifier les informations concernant un individu donné ".

De plus, elle autorise les organismes ou services participant à des programmes de rapprochement à prendre, sur la base des anomalies décelées, toute " mesure défavorable " contre une personne, étant entendu qu'elle définit comme telle " toute action susceptible d'affecter défavorablement les droits, prestations, privilèges, obligations ou intérêts de n'importe quelle personne identifiée (...) ". Elle donne comme exemples de " mesures défavorables " la suppression d'un versement, le refus d'une demande de versement, la modification du taux ou du montant d'un versement, la restitution d'un paiement excessif, tous ces versements étant effectués au titre de la loi sur la sécurité sociale ou de la loi sur la compensation des dommages d'origine accidentelle.

Les programmes de rapprochement doivent donc permettre d'identifier les personnes qui reçoivent des prestations auxquelles elles n'ont pas droit ou de déterminer l'éligibilité de quelqu'un à une prestation donnée.

2) Les flux autorisés

La loi n'autorise que certains services ou organismes limitativement énumérés à rapprocher leurs données. Il s'agit des services de douanes et des contributions directes, des ministères du Travail, de la Protection sociale, de l'Education, du registre de l'état civil et du fonds public d'indemnisation des victimes, entité créée par la loi sur la compensation des dommages d'origine accidentelle.

Actuellement, les principaux programmes de rapprochement concernent :

- les services des douanes et de la protection sociale, pour identifier les bénéficiaires de prestations sociales qui ont quitté le pays ;

- les services des contributions directes et de la protection sociale, principalement pour déterminer les personnes qui ont un emploi rémunéré et qui perçoivent une prestation à laquelle elles n'ont pas droit ;

- l'administration de l'éducation et les services de la protection sociale, pour déterminer les personnes qui reçoivent en même temps une bourse d'études et une allocation de chômage.

3) Les garanties

Indépendamment du fait que le Commissaire à la vie privée procède à un examen préalable de tous les projets de loi comportant de nouveaux programmes de rapprochement des données, la loi de 1993 sur la vie privée entoure les opérations de rapprochement de nombreuses contraintes, qui constituent autant de garanties pour les citoyens.

Cependant, si, depuis 1993, le gouvernement a toujours procédé par voie législative avant d'introduire un nouveau programme de rapprochement de données, il n'est pas certain qu'il soit obligé d'agir ainsi. Il semble théoriquement possible que le gouvernement puisse se dispenser d'une autorisation législative et, par conséquent, que les rapprochements de données puissent être entrepris sans examen préalable du Commissaire à la vie privée et en dehors des contraintes de la loi de 1993, puisque celles-ci ne concernent que les programmes de rapprochement autorisés par une loi.

a) Les dispositions législatives

Deux organismes qui désirent procéder à un transfert de données doivent conclure un accord écrit fixant les conditions de l'échange et communiquer une copie de cet accord au Commissaire à la vie privée.

Les transferts d'informations ne peuvent pas avoir lieu en temps réel, à moins que le Commissaire ne donne son accord.

Tout programme de rapprochement doit faire l'objet d'un protocole très détaillé, qui précise notamment les mesures de sécurité et dont une copie doit être remise au Commissaire.

Les services et les organismes qui participent à des programmes de rapprochement doivent prendre toutes les mesures susceptibles de permettre d'informer les particuliers. En application de cette disposition, il y a par exemple eu plusieurs campagnes télévisées.

Les anomalies détectées doivent être soigneusement vérifiées avant d'être communiquées par lettre aux intéressés. Dans cette lettre, l'agence doit indiquer la mesure qu'elle compte prendre (réduction ou suspension des versements, demande de remboursement...). Cependant, aucune action ne peut être entreprise avant cinq jours, ce délai permettant à la personne mise en cause de fournir des explications.

Les données transférées ou obtenues par rapprochement doivent être détruites dans les soixante jours. Si une action est entreprise pour corriger une anomalie, ce délai est porté à un an. Ces délais ne s'appliquent pas au service des contributions directes. De plus, le Commissaire peut allonger les délais, par exemple pour tenir compte du volume important d'informations ou de la complexité d'une situation.

Lorsqu'un programme de rapprochement se déroule sur une période supérieure à un an, voire en permanence, les organismes concernés doivent limiter le nombre d'opérations de rapprochement qui ont lieu chaque année.

Les agences qui participent à des programmes de rapprochement doivent en rendre compte sur demande au Commissaire. Ce dernier peut exiger que leur rapport comporte certaines informations énumérées par la loi : coûts et avantages du programme, difficultés rencontrées, mise en place d'une mission d'audit connexe, détail des opérations de rapprochement (nombre de données, nombre d'anomalies, nombre de mesures prises...).

De plus, le Commissaire à la vie privée doit consacrer une partie du rapport annuel qu'il adresse au ministre de la Justice aux opérations de rapprochement réalisées au cours de l'année écoulée. Il doit également, tous les cinq ans, procéder à un examen d'ensemble de toutes les dispositions applicables au rapprochement des données et proposer d'éventuelles modifications.

b) Les codes de bonne conduite

Dans le secteur privé, l'article 46 de la loi de 1993 autorise le Commissaire à la vie privée à imposer, par le biais de codes de code de bonne conduite, des contrôles sur toutes les opérations de " comparaison (entreprises manuellement, électroniquement ou autrement) d'informations nominatives avec d'autres informations nominatives, dans le but de produire ou de vérifier des renseignements relatifs à une personne identifiable ".

Cet article est susceptible de s'appliquer même lorsque les opérations de rapprochement envisagées ne sont pas en contravention avec les principes fondamentaux de la loi.

* *

*

Le Commissaire à la vie privée regrette que le ministère de la Protection sociale ne rende pas compte de manière appropriée des opérations de rapprochement qu'il réalise. Il suggère donc de durcir les dispositions contenues dans la dixième partie de la loi pour pouvoir interdire toute future opération de rapprochement dans l'hypothèse où une administration aurait contrevenu à ses obligations de façon répétée.




(1) Ces fichiers n'entrent pas dans le champ d'application de la loi de 1988.

(2) La CNPD, Commission nationale pour la protection des données, est l'autorité de contrôle instituée par la loi de 1998.

(3) L'Audit Commission for Local Authorities, créée en 1982, contrôle l'action des collectivités locales. Elle vérifie non seulement la légalité des écritures comptables, mais doit aussi identifier les sources de gaspillage dans les collectivités et proposer des moyens pour les éliminer.

(4) " Government agencies " dans la loi, dont le champ d'application est limité aux activités de service public et ne s'étend au secteur privé que pour ce qui concerne les données relatives au numéro d'identification fiscale et au crédit à la consommation.

(5) Les directives indiquent très précisément les informations que ces deux documents doivent contenir.

(6) Agencies dans la loi.