Protection des données personnelles des allocataires de la caisse d'allocations familiales de Gironde

Question de Mme HARRIBEY Laurence (Gironde - SER) publiée le 12/01/2023

Mme Laurence Harribey attire l'attention de M. le garde des sceaux, ministre de la justice sur la protection des données personnelles des bénéficiaires de la caisse d'allocations familiales (CAF) de la Gironde.

La CAF girondine a communiqué à l'un de ses prestataires les données personnelles de 10 204 allocataires dans le cadre d'une formation, pensant qu'elles étaient fictives. Date de naissance, adresse, montant et types des prestations reçues et montant des revenus; au total, 181 données personnelles sensibles par allocataire ont été mises en ligne pendant dix-huit mois sur internet.

D'après l'article 6 du règlement général sur la protection des données (RGPD), le transfert de données à caractère personnel doit reposer sur l'une des six bases légales pour qu'un organisme puisse les traiter : le consentement, le contrat, la mission d'intérêt public, la sauvegarde d'intérêts vitaux, l'intérêt légitime et l'obligation légale. Au vu de ces éléments, la CAF de la Gironde aurait vraisemblablement dû informer en amont les 10 204 personnes concernées et obtenir leur consentement avant de partager leurs données à un prestataire externe.

Après une enquête interne à la CAF départementale et une instruction adressée aux 101 autres CAF de France, elle demande au Gouvernement les mesures qu'il souhaite mettre en oeuvre pour mieux protéger les données personnelles sensibles des allocataires et éviter toute usurpation d'identité.

Publiée dans le JO Sénat du 12/01/2023 - page 120

Transmise au Ministère des solidarités et des familles

Réponse du Ministère des solidarités et des familles publiée le 11/01/2024

Le Gouvernement, est particulièrement attaché aux conditions du respect du droit à la vie privée, dont le régime de protection des données à caractère personnel constitue une garantie fondamentale. La France a été dès 1978 un des premiers pays à se doter d'une législation aussi complète et performante en matière d'informatique et de libertés et elle a largement participé à façonner le droit actuel à travers sa contribution remarquée à l'élaboration du règlement général relatif à la protection des données personnelles (RGPD), entré en vigueur le 23 mai 2018. Comme observé, le respect du RGPD impose la vérification de l'existence d'une des bases juridiques qu'il propose avant qu'un organisme, qu'il soit ou non de sécurité sociale, procède à un transfert de données personnelles, qu'il s'agisse ou non d'une opération de formation professionnelle. Des données qui seraient fictives ou dont aurait disparu, par anonymisation, toute référence à des personnes physiques identifiables ou ré-identifiables par croisement avec des données déjà détenues par ailleurs, n'ont pas à entrer dans ce processus de vérification de la base juridique disponible. Toutefois, les faits à propos de la caisse d'allocations familiales (CAF) de Gironde ne relèvent pas de ce cas de figure mais d'une erreur dans la constitution d'une base de données destinée à la formation et s'inscrivent bien, par conséquent, dans le champ du RGPD. La pratique de ce règlement européen doit, à la lumière de ces faits, être encore davantage maîtrisée par les acteurs de terrain. Le Gouvernement, s'appuyant sur son administration et notamment sur les directions les plus investies (telles que les directions à vocation économique et financière, la direction interministérielle du numérique ou, plus particulièrement dans le champ social, la direction de la sécurité sociale) dans l'encadrement des traitements informatisés, ainsi que sur le relais essentiel des caisses nationales de sécurité sociale, veillera, en rappelant régulièrement l'importance d'une mise en oeuvre rigoureuse du RGPD - à travers notamment la généralisation des guides de procédure et de bonnes pratiques, la qualité du recrutement et de la formation des délégués à la protection des données présents au sein de chaque organisme important, des actions périodiques de sensibilisation, et des mesures de contrôle interne parallèlement à celles menées par la Commission nationale de l'informatique et des libertés -, à assurer le haut niveau de protection souhaitable. La mission d'analyse de la conformité informatique et libertés et de la sécurité des systèmes d'information de la caisse nationale des allocations familiales a rappelé, à l'intention de la CAF de Gironde comme de l'ensemble du réseau des caisses locales, les bonnes pratiques en matière de protection des données personnelles et à renforcer le recours aux barrières telles que les mots de passe et les techniques de cryptage.

Publiée dans le JO Sénat du 11/01/2024 - page 139