Actualité

Lutte contre la fraude : comment la Cnil saborde des réformes essentielles

En mai 2023, le gouvernement présentait son plan de lutte contre la fraude sociale, notamment en instaurant un Conseil de l’évaluation des fraudes fiscales et sociales dès l’été et en investissant 1 milliard d’euros pour moderniser les systèmes d’informations. Problème, deux des mesures phares du plan, la fusion de la carte d’identité et de la carte vitale et la consultation du fichier des passagers aériens, sont bloquées par la Cnil (Commission nationale de l’informatique et des libertés). Ce n’est pas la première fois que la Cnil bloque des réformes anti-fraude au nom de la protection des données : une attitude qui interroge alors que d’autres pays européens, Belgique et Portugal notamment, ont réussi à valider ces projets tout en respectant la législation européenne sur la protection des données (RGPD).

L’autorité est hostile à la fusion de la carte vitale et de la carte d’identité

Il y a quelque temps, la Cnil a montré qu’elle freinait des quatre fers concernant la fusion de la carte vitale avec la carte d’identité, telle que la proposait le ministre de l’Action et des Comptes publics en mai 2023. En soi, la Cnil n’est pas contre la fusion des cartes en tant qu’objet, mais contre le fait que le numéro de Sécurité sociale (le NIR) soit associé aux données d’identité de base ou qu’il figure explicitement sur la nouvelle carte même sous la forme d’un QR-Code.

Voici, en détail, les conclusions tirées par la Cnil vis-à-vis du projet de fusion des deux cartes par le gouvernement :

  • S’assurer que le NIR soit inscrit dans un compartiment cloisonné au sein de la puce électronique des nouvelles « cartes d’identité électroniques » et non pas écrit sur la carte, même avec un QR code. Ce numéro ne serait lisible que par les outils et acteurs de la sphère médicale et médico-sociale.
  • Mettre en œuvre des mesures de sécurité particulières afin de garantir que le NIR ne soit pas communiqué à d’autres acteurs.
  • Prévoir l’application du secret professionnel à toute personne accédant au NIR sur la carte d’identité, notamment au moment de la création du titre.
  • La carte Vitale n’étant pas obligatoire, la loi devra prévoir la possibilité pour l’assuré de s’opposer à l’inscription de son numéro de sécurité sociale sur son titre d’identité, et des alternatives à l’utilisation de la carte d’identité devront être maintenues.

En 2016, la Cnil avait également déjà estimé que l’accès au fichier PNR (passagers) des compagnies aériennes, pouvait constituer une menace à la protection des données. Plus précisément, le fichier PNR est une mesure de lutte antiterroriste, et il n’est donc pas aisé de l’utiliser à des fins de lutte anti-fraude. Ce qui bloque, de facto, le projet, annoncé en mai 2023, de Gabriel Attal qui aimerait que les caisses d’allocations familiales puissent consulter le fichier PNR des compagnies aériennes, à la manière du contrôle des factures d’électricité des opérations bancaires pour vérifier si la personne réside bien au moins neuf mois dans l’année sur le territoire français. Le fichier PNR donne accès aux données suivantes : date et horaires des vols, moyens de paiement, correspondances, etc. Pour l’instant, ce fichier est géré par l’Unité Information Passagers rattachée à la DG des douanes, et consultable par les services de police, de gendarmerie, du renseignement et des douanes. Techniquement, le fichier est donc déjà dans les mains de Bercy.

En Belgique, la protection des données n’a pas empêché la fusion

En Belgique, la fusion entre la carte vitale et la carte d’identité est effective depuis 2014 et la réforme n’a pas été mise à mal par l’introduction de la RGPD et l’alignement sur la législation européenne liée la protection des données dans chaque pays européen par l’APD (Autorité de protection des données).

Comment cela fonctionne-t-il ? En Belgique, le NiSS (numéro d’identification à la Sécurité sociale) est une clef d’identification unique pour tous les Belges ou personnes qui travaillent en Belgique. Les travailleurs qui ne sont pas mentionnés dans le registre national possèdent un numéro bis attribué par la Banque-carrefour de la Sécurité sociale.

Ce NiSS est présent sur les cartes d’identité électroniques (appelée eID), ainsi que les titres de séjour pour les étrangers (dont cartes électroniques pour les ressortissants d’un pays de l’Union européenne qui résident en Belgique), ainsi que sur la carte isi+, une sorte de carte de mutuelle pour les personnes n’ayant pas de carte d’identité électronique. Ce NiSS regroupe comme informations la date de naissance, le sexe et le numéro de contrôle… ce qui n’est pas très différent de notre numéro de Sécurité sociale et comme chez nous, en Belgique, le médecin, le pharmacien ou la mutuelle ont accès aux mêmes données personnelles.

Depuis 2013, la Belgique a supprimé la carte SIS (équivalent de la Carte vitale). Depuis ce jour, les médecins, pharmaciens, personnels hospitaliers ont accès à la base de données qui affiche les droits des personnes au remboursements soins de santé auprès des mutuelles.

En France, les représentants de médecins ont déjà fait savoir leur accord pour la fusion des deux cartes.

L’avocat en droit social français Maître Johan Zenou a fait le point dans La Tribune le 30 mai dernier. Selon lui, la fusion de la carte vitale avec la CNI est « une bonne façon de lutter contre la fraude, notamment celle consistant aux prêts de cartes vitales à des personnes qui ne sont pas couvertes par la sécurité sociale. Mais cela pose des questions en termes de libertés publiques, en particulier en matière de respect du secret médical ». Sauf que la carte fusionnée ne donnerait pas plus d’informations que les deux cartes séparées. Une solution serait donc de “cloisonner” les données relatives à la santé de l’individu, non pertinentes pour un usage de pièce d’identité, tout en permettant au personnel de santé d’identifier avec plus de précision le patient, à l’aide d’informations qu’il possède de toute façon, comme l’âge ou le sexe. En outre, un professionnel de santé peut, d’ores et déjà, vérifier la concordance entre le patient et l’identité nationale de santé (INS). Pour valider celle-ci, il a le droit de demander au patient une pièce d’identité valable (CNI ou passeport). Or, nul n’est obligé d’avoir une pièce d’identité sur soi en permanence. Si la carte vitale permet d’identifier une personne, il sera plus aisé de s’assurer de cette concordance. En Belgique, un infirmier qui administre un soin peut demander la lecture de l’eID, soit la carte vitale/d’identité belge.

L’Autorité de protection des données belge n’a pas censuré la création de l’eID en 2013. Néanmoins, il existe quelques règles qui permettent de conserver une protection des données personnelles, notamment biométriques. Par exemple, les empreintes digitales, enregistrées dans cette carte, ne sont visionnables que par les services publics compétents (police, douanes, personnel de l’office des étrangers, consulats, état civil…).

En ce qui concerne la photo ou la signature présentes sur l’eID, les instances publiques, (ainsi que des hôpitaux privés) peuvent les consulter, mais doivent justifier cet usage conformément au RGPD. De plus, l’apposition d’une signature sans l’accord de la personne concernée est impossible. Il semblerait que les Belges aient trouvé un juste milieu entre lutte contre la fraude et protection des données. L’APD peut être saisie en cas d’abus, comme lorsque des commerçants ont voulu connecter l’eID à la carte de fidélité de leur magasin.

Les antécédents de la Cnil dans la politique antifraude française

En matière de lutte contre la fraude sociale, on peut dire que la Cnil n’est pas la meilleure alliée de Bercy.

En décembre 2022, elle s’était opposée à ce que la carte vitale devienne biométrique. La commission invoque la protection des données, mais aussi le fait que la carte vitale ne doit pas être obligatoire. Selon une enquête de BFM, la Cnil justifierait, en plus, ses réserves par la crainte que "ces alternatives ne [conduisent] à une stigmatisation des personnes ne disposant pas de leur titre d'identité ou de limitation quant à l'accès aux soins". Notons qu’au Portugal, pays qui respecte également la législation européenne en termes de protection des données, regroupe « dans une seule carte biométrique les données relatives à l’identification civile et fiscale, le numéro de sécurité sociale, l’éligibilité à la prise en charge des frais de santé et la carte d’électeur ».

En 2019, la Cnil se disait réservée face au projet de dispositif massif de contrôle par Bercy de la fraude fiscale. Il était question de recueillir des données de potentiels fraudeurs accessibles sur les réseaux sociaux, ou sur des sites comme LeBonCoin, mais la Cnil avait mis en garde le gouvernement contre de potentielles dérives. En général, la Cnil s’oppose au regroupement des données : c’est pourquoi France Connect, ou la carte d’identité numérique, sont des mesures prises avec des pincettes. France Connect est actuellement utilisé par environ 40 millions de personnes, mais pose régulièrement la question. S’il existe des risques de fuite des données à cause d’un regroupement trop important de données, comme sur l’Assurance maladie récemment, la Cnil alerte aussi sur le fait que toutes les autorités publiques doivent veiller à ne pas tout se partager mutuellement.

La même année, l’autorité indépendante avait critiqué le projet de collecte massive de données personnelles mis en place par le ministère de l'Économie et des Finances (Bercy) dans un “mégafichier”. Le projet visait à regrouper différentes bases de données contenant des informations sur les citoyens français, notamment des données fiscales et des informations d'identité. Selon la Cnil, le nombre d’interconnexions était excessif.

Le fonctionnement de la Cnil

La Cnil est née à la suite d’une polémique en 1974 : le gouvernement de Pierre Messmer aurait, selon Le Monde, le projet d’attribuer à chaque citoyen un numéro dans l’administration, afin de regrouper plus facilement les informations sur chacun, projet plus connu sous le nom de SAFARI. En réaction, le gouvernement créa la Commission nationale informatique et libertés afin de rassurer la population soucieuse du respect de sa vie privée. Cette commission a vécu de nombreux changements, des lois françaises aux règlements européens. Le dernier en date est le RGPD (règlement européen pour la protection des données personnelles) de 2016, appliqué à partir de 2018. Ce dernier a considérablement renforcé la dimension répressive de la Cnil, notamment à travers son article 58 qui dispose que la Cnil est dotée de nombreux pouvoirs d’enquête, d’injonction et de sanction contre les opérateurs. Ces pouvoirs doivent être séparés de l’administration classique, cette dernière étant jugée trop peu indépendante. Sur l’année 2022, on recense plus de 12 000 plaintes, et une augmentation de 44% sur la période à partir de laquelle le RGPD était appliqué. La Cnil est l'objet de plus en plus de critiques, du fait de certaines mesures répressives. Les mises en demeure par la Cnil ont, par exemple, explosées passant de 42 en 2019 et 49 en 2020 à 135 en 2021 et 147 en 2022.