L’essentiel : Le Décret n° 2023-362 du 11 mai 2023 permet aux administrations d’échanger massivement des données concernant les particuliers et les entreprises. Ces échanges incluent des informations sur la situation fiscale, les droits sociaux, et l’identité des dirigeants d’organismes à but non lucratif. Bien que cette mesure vise à simplifier les démarches administratives, la CNIL souligne le risque de détournement de finalité, notamment pour la lutte contre la fraude. Il est essentiel que ces échanges respectent la confidentialité des données et ne soient pas utilisés à des fins de surveillance ou de sanction.

Les administrations vont pouvoir s’échanger de façon massive et transversale de nombreuses données concernant les particuliers et les entreprises.

Décret n° 2023-362 du 11 mai 2023

Cette nouvelle faculté ouverte par le Décret n° 2023-362 du 11 mai 2023 porte notamment la Situation du foyer fiscal, les Droits sociaux, revenus et prestations, la Situation de la famille, les Diplômes, titres et qualifications professionnelles, la Qualité de boursier de l’enseignement supérieur, la Situation de demandeur d’emploi, les Statuts des organismes à but non lucratif et l’identité des dirigeants etc.

Le Décret n° 2023-362 du 11 mai 2023 organise les échanges d’informations et de données personnelles entre administrations pour traiter les déclarations ou les demandes présentées par le public, pour informer les personnes sur leurs droits au bénéfice éventuel d’une prestation ou d’un avantage et pour attribuer, le cas échéant, lesdits prestations ou avantages. 

Ce texte est pris pour l’application des articles L. 114-8 et L. 114-9 du code des relations entre le public et l’administration, tel que modifiés par l’article 162 de la loi n° 2022-217 du 21 février 2022 relative à la différenciation, la décentralisation, la déconcentration et portant diverses mesures de simplification de l’action publique locale.

Lutte contre la fraude ?

Dans son avis sur ce texte sensible en raison d’un risque de détournement de finalité pour lutter contre la fraude, la CNIL a précisé qu’elle suit depuis longtemps, et avec une attention particulière, l’évolution de la dématérialisation d’une partie des échanges de données entre administrations, qui constituent des traitements de données à caractère personnel.

Ces échanges participent à la simplification des formalités administratives des usagers lorsqu’ils ont pour finalité de dispenser les usagers, personnes physiques ou morales, de fournir les mêmes justificatifs plusieurs fois.

La lutte contre le non-recours

La lutte contre le non-recours ne doit pas se heurter au droit de l’usager à renoncer aux prestations et avantages pour lesquels il est éligible.

Si la simplification des démarches administratives et l’amélioration des relations entre le public et les administrations constituent des objectifs légitimes, ces échanges doivent être limités aux données strictement nécessaires et garantir le respect des droits des personnes, ainsi que la sécurité et la confidentialité des données.

La Commission considère qu’il faut distinguer, d’une part, les échanges de données réalisés aux fins de répondre aux demandes de l’usager, qui ne posent pas de difficulté de principe dès lors que l’atteinte à la vie privée apparaît faible, et, d’autre part, ceux réalisés à des fins de police administrative, de surveillance ou de détection des fraudes, pour lesquels il convient d’avoir une vigilance particulière.

A cet égard, la Commission accueille très favorablement l’ajout des mentions indiquant que les données collectées ne seront pas utilisées ou réutilisées à des fins de « détection ou pour la sanction d’une fraude » à l’article L. 114-8 du CRPA, tel qu’elle l’avait jugé nécessaire dans sa délibération n° 2021-035 du 25 mars 2021 précitée.

Q/R juridiques soulevées :

Quelles données peuvent être échangées entre administrations selon le Décret n° 2023-362 ?

Le Décret n° 2023-362 du 11 mai 2023 permet l’échange de nombreuses données concernant les particuliers et les entreprises. Parmi les informations concernées, on trouve la situation du foyer fiscal, les droits sociaux, les revenus et prestations, ainsi que la situation de la famille. Il inclut également des données sur les diplômes, titres et qualifications professionnelles, la qualité de boursier de l’enseignement supérieur, la situation de demandeur d’emploi, et les statuts des organismes à but non lucratif. Ces échanges visent à faciliter le traitement des déclarations et des demandes du public, tout en informant les usagers sur leurs droits et en attribuant les prestations ou avantages auxquels ils peuvent prétendre.

Quel est l’objectif principal du Décret n° 2023-362 ?

L’objectif principal du Décret n° 2023-362 est d’organiser les échanges d’informations et de données personnelles entre les administrations. Cela permet de traiter efficacement les déclarations ou demandes présentées par le public. En facilitant ces échanges, le décret vise à simplifier les formalités administratives pour les usagers, en évitant qu’ils aient à fournir plusieurs fois les mêmes justificatifs. Cela contribue également à une meilleure information des usagers sur leurs droits et à une attribution plus rapide des prestations ou avantages.

Comment la CNIL perçoit-elle le risque de détournement de finalité ?

La CNIL, dans son avis sur le Décret n° 2023-362, a exprimé des préoccupations concernant le risque de détournement de finalité, notamment en ce qui concerne la lutte contre la fraude. Elle suit de près l’évolution de la dématérialisation des échanges de données entre administrations, qui impliquent des traitements de données à caractère personnel. La CNIL souligne que ces échanges doivent être justifiés par des finalités légitimes et ne doivent pas compromettre la vie privée des usagers.

Quelles sont les limites imposées aux échanges de données ?

Les échanges de données doivent être limités aux informations strictement nécessaires pour atteindre les objectifs visés. Cela inclut le respect des droits des personnes, ainsi que la sécurité et la confidentialité des données. La Commission a insisté sur la nécessité de distinguer les échanges de données réalisés pour répondre aux demandes des usagers, qui ne posent pas de problème de principe, de ceux effectués à des fins de police administrative ou de détection de fraudes. Ces derniers nécessitent une vigilance accrue pour éviter tout abus ou atteinte à la vie privée.

Quel est le rôle de la Commission dans la protection des données ?

La Commission joue un rôle crucial dans la protection des données personnelles en veillant à ce que les échanges d’informations respectent les droits des usagers. Elle a accueilli favorablement l’ajout de mentions dans le texte stipulant que les données collectées ne seront pas utilisées à des fins de détection ou de sanction de fraude. Cela reflète une préoccupation pour la protection de la vie privée et la nécessité de garantir que les données ne soient pas détournées de leur finalité initiale.