Il est vain de demander l’annulation d’un redressement URSSAF pour illégalité d’un transfert de données personnelles entre les services fiscaux et la sécurité sociale.

En effet, sont autorisés le transfert de données entre la DGFIP et l’ACOSS ainsi qu’un traitement de ces données par l’ACOSS et les URSSAF pour le calcul de la CSM de sorte que les dispositions de la loi n° 78-17 du 6 janvier 1978 ont bien été respectées.

Le principe de la transmission des données personnelles est porté à la connaissance des cotisants par la publication des textes législatifs et réglementaires ayant trait à la CSM au Journal Officiel, que nul n’est censé ignorer.

Le principe du traitement des données personnelles

Il importe peu que la création d’un traitement automatisé de transfert de données relatives aux redevables de la cotisation annuelle prévue à l’article L. 380-2 du code de la sécurité sociale soit intervenue par décret n°2018-392 du 24 mai 2018, le principe du traitement ayant été prévu par le décret du 4 novembre 2017.

Si la CNIL a mis à la charge de l’ACOSS une obligation d’information des personnes concernées, il n’est nullement précisé dans son avis, contrairement à ce qu’allègue la cotisante redressée, que cette information doit être spécifique.

L’obligation générale d’information

L’obligation générale d’information dont l’article R. 112-2 du code de la sécurité sociale rend les organismes de sécurité sociale débiteurs envers leurs assurés ne leur impose, en l’absence de demande de ceux-ci, ni de prendre l’initiative de les renseigner sur leurs droits éventuels, ni de porter à leur connaissance des textes publiés au Journal officiel de la République française (2e Civ., 28 novembre 2013, pourvoi n° 12-24.210).

Le principe de la transmission des données personnelles a été porté à la connaissance de la cotisante par la publication des textes législatifs et réglementaires ayant trait à la CSM au Journal Officiel, que nul n’est censé ignorer.

Le site internet Urssaf.fr

Le site internet Urssaf.fr contient également une telle information puisqu’il y est indiqué que ‘cette cotisation est recouvrée au cours du 4ème trimestre de l’année sur la base des éléments transmis dans votre déclaration fiscale au titre des revenus de l’année précédente’.

Enfin, l’appel de cotisation du 15 décembre 2017 mentionne que les revenus financiers ont été transmis par la DGFIP et qu’en cas de montant erroné, l’assuré est invité à contacter les services de l’URSSAF.

Au regard de l’ensemble de ces éléments, la nullité de l’appel de cotisation pour manquement à l’obligation d’information et pour transmission des données ne saurait donc être encourue.

Les textes applicables

Pour rappel, l’article 27 de la loi informatique et libertés, dans sa version en vigueur avant le 1er juin 2019, dispose :

‘ Sont autorisés par décret en Conseil d’Etat, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés :

1° Sous réserve du I bis de l’article 22 et du 9° du I de l’article 25, les traitements de données à caractère personnel mis en ‘uvre pour le compte de l’Etat, d’une personne morale de droit public ou d’une personne morale de droit privé gérant un service public, qui portent sur des données parmi lesquelles figure le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques ;

2° Les traitements de données à caractère personnel mis en ‘uvre pour le compte de l’Etat qui portent sur des données biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes. […]’

L’article 32 III de la même loi prévoit que « lorsque les données à caractère personnel n’ont pas été recueillies auprès de la personne concernée, le responsable du traitement ou son représentant doit fournir à cette dernière les informations énumérées au I dès l’enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données ».

Au cas de la présente cotisation, la Commission nationale informatique et liberté a été saisie pour avis sur un projet de décret autorisant la mise en oeuvre d’un traitement de données à caractère personnel destiné au calcul de la cotisation prévue par l’article L. 380-2 du code de la sécurité sociale (demande d’avis n° 17012620).

Dans sa délibération 2017-279 du 26 octobre 2017, la CNIL a autorisé cette mise en oeuvre.

Elle a constaté que « les catégories de données à caractère personnel qui seront traitées sont listées à l’article 1er II du projet qui distingue les données relatives à l’état civil, l’identité ou l’identification des personnes, des données d’ordre économique et financier. En pratique, l’Agence centrale des organismes de sécurité sociale (ACOSS) recevra les données en provenance de la direction générale des finances publiques (DGFIP). En effet, les personnes étant assujetties à la cotisation subsidiaire maladie sous conditions de ressources spécifiques, seule l’ACOSS est en mesure de connaître la population des résidents fiscaux et peut vérifier les conditions d’assujettissement afin d’en soustraire la population assujettie. La commission prend acte que seules les données à caractère personnel relatives à des personnes identifiées, par la DGFIP, comme redevables de cette cotisation seront transmises à l’ACOSS ».

Elle a observé que l’article 1er-IV du projet de décret prévoyait que seront destinataires des données à caractère personnel, à raison de leurs attributions et du besoin d’en connaître :

• les agents habilités de l’ACOSS ;
• les agents habilités des organismes mentionnés aux articles L. 213-1 et L. 752-2 du code de la sécurité sociale en charge du calcul, du recouvrement et du contrôle de la cotisation.

S’agissant de ces organismes, la commission prend acte de ce qu’ils ne seront destinataires que des données concernant les cotisants pour lesquels ils sont territorialement compétents et en conclut qu’un tel accès aux données apparaît justifié au regard des finalités du traitement.

La CNIL a enfin observé, sur l’information et les droits des personnes, que « le projet demeure silencieux sur les modalités d’information des personnes concernées. La commission observe dans le dossier joint à la saisine que le ministère renvoie au décret visant à autoriser le traitement mis en oeuvre par la DGFIP relatif au transfert de données fiscales concernant les redevables de la cotisation annuelle subsidiaire. Elle rappelle toutefois que, si la DGFIP a pour obligation d’informer les personnes en ce qui concerne le traitement automatisé de transfert de données fiscales dont elle est responsable de traitement, l’ACOSS devra également assurer l’information des personnes concernées pour le traitement qu’elle met en oeuvre ».

Aussi, le décret n°2017-1530 du 3 novembre 2017 intitulé ‘autorisant la mise en oeuvre d’un traitement de données à caractère personnel destiné au calcul de la cotisation prévue à l’article L. 380-2 du code de la sécurité sociale’ est venu permettre le traitement par l’ACOSS et les URSSAF des informations nominatives déclarées pour l’établissement de l’impôt sur le revenu par les personnes remplissant les conditions pour verser la CSM et a mis à la charge de l’ACOSS l’obligation d’informer les personnes concernées du traitement mis en oeuvre.

Ensuite, selon l’article L. 380-2 du code de la sécurité sociale, ‘les agents des administrations fiscales communiquent aux organismes mentionnés aux articles L. 213-1 et L. 752-2 les informations nominatives déclarées pour l’établissement de l’impôt sur le revenu par les personnes remplissant les conditions mentionnées au premier alinéa de l’article L. 380-2, conformément à l’article L. 152 du livre des procédures fiscales’.

L’article R. 380-3 du code de la sécurité sociale dispose en outre que la CSM est ‘calculée, appelée et recouvrée par les organismes chargés du recouvrement des cotisations du régime général au vu des éléments transmis par l’administration fiscale ou par les personnes redevables de ces cotisations’.

L’article D. 380-5 I du code de la sécurité sociale prévoit enfin que « les éléments nécessaires à la détermination des revenus mentionnés aux articles D. 380-1 et D. 380-2 sont communiqués par l’administration fiscale aux organismes chargés du calcul et du recouvrement des cotisations mentionnées à l’article L. 380-2 et au deuxième alinéa du IV de l’article L. 380-3-1 ».