DELIBERATION AF N° 01 / 2007 DU 17 JANVIER 2007 OBJET
Transcription
DELIBERATION AF N° 01 / 2007 DU 17 JANVIER 2007 OBJET
DELIBERATION AF N° 01 / 2007 DU 17 JANVIER 2007 N. Réf. : SA2 /FO/2006/ 007/008 OBJET : Demande de l’Office national de sécurité sociale d’autorisation de collecte indirecte auprès du SPF Finances de données à caractère personnel concernant les biens immobiliers afin d’assurer sa mission de recouvrement des créances nées du non-paiement des cotisations sociales, majorations et intérêts dus. La Commission de la protection de la vie privée ; Vu la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel, en particulier les articles 31bis et 36bis ; Vu l’arrêté royal du 17 décembre 2003 fixant les modalités relatives à la composition et au fonctionnement de certains comités sectoriels institués au sein de la Commission de la protection de la vie privée, en particulier l’article 18 ; Vu la demande formulée par l’Office national de sécurité sociale (ci-après, l’ONSS) en date du 5 décembre 2006 ; Vu la demande d’avis juridique et technique du 15 décembre 2006 ; En l’absence d’avis juridique et technique endéans le délai fixé par l’article 31bis, §3 ; Vu le rapport du Vice-président ; Adopte, après délibération, la décision suivante, le 17 janvier 2007 : DEL AF 01 / 2007 - 1 / 8 1. CONTEXTE, OBJET ET MOTIVATION DE LA DEMANDE 1. Les missions de l’ONSS sont définies aux articles 5, 6, 6bis et 7 de la loi du 27 juin 1969 révisant l’arrêté-loi du 28 décembre 1944 concernant la sécurité sociale des travailleurs. Il s’agit principalement de : - - la perception des cotisations sociales des employeurs et travailleurs en vue de contribuer aux régimes de soins de santé et indemnité, chômage, pensions (retraite et invalidité), accidents de travail et maladies professionnelles, prestations familiales, vacances annuelles ; la perception et le recouvrement des cotisations établies en application de la loi du 7 janvier 1958 concernant le Fonds de sécurité d’existence ; la perception et le recouvrement des cotisations établies conformément à l’arrêté-loi du 10 janvier 1945 concernant la sécurité sociale des ouvriers mineurs et assimilés ; la perception et le recouvrement des cotisations, majorations de cotisations et des intérêts de retard prévus par l’arrêté-loi du 7 février 1945 concernant la sécurité sociale des marins de la marine marchande ; la répartition des recettes globalisées - mission de gestion globale. Afin de s’assurer de la perception des sommes qui lui sont dues, l’ONSS dispose d’un arsenal d’instruments juridiques, dont la possibilité d’un recouvrement : - - par toutes voies de droit des sommes auxquelles l’employeur a été condamné par les 1 juridictions correctionnelles ; par voie de contrainte des sommes dues (en usant des saisies conservatoires et voies d’exécution visées dans la 5ème partie du Code judiciaire)2 ; 3 à l’amiable après prise d’arrêté d’exécution sur avis du comité de gestion . Par ailleurs, l’ONSS dispose, sur base de l’article 19 de la loi hypothécaire du 16 décembre 1851, d’un privilège général sur meuble dès la date d’exigibilité des cotisations et, sur base de l’article 41ter, §1 et 5 de la loi du 27 juin 1969, d’une hypothèque légale sur tout bien du débiteur situé en Belgique dès lors qu’il a un titre exécutoire. Les Directions du recouvrement judiciaire (général et particulier) de l’ONSS sont chargées du recouvrement des sommes, assistées par son service d’Inspection. Actuellement, la collecte d’informations relatives aux biens immobiliers des débiteurs défaillants de l’ONSS se fait manuellement par le biais de l’envoi de lettres aux administrations/instances détentrices des informations recherchées. 2. L’ONSS a interrogé le 5 décembre 2006 le Comité sectoriel pour l’autorité fédérale afin d’être autorisé à obtenir indirectement auprès du SPF Finances les données relatives aux biens immobiliers de ses débiteurs et d’assurer sa mission de recouvrement des créances nées du nonpaiement des cotisations sociales, majorations et intérêts dus. 1 Article 35 de la loi du 27 juin 1969 révisant l’arrêté-loi du 28 décembre 1944 concernant la sécurité sociale des travailleurs. 2 Article 40 de la loi du 27 juin 1969 et article 43quinquies de l’arrêté royal du 28 novembre 1969 pris en exécution de la loi du 27 juin 1969. 3 Article 40bis de la loi du 27 juin 1969. DEL AF 01 / 2007 - 2 / 9 Les débiteurs visés sont : • les employeurs débiteurs à l’ONSS : - redevables de cotisations, majorations ou intérêts de retard ; faisant l’objet de sanctions civiles4 ; faisant l’objet de sanctions pénales5 ; civilement responsables des amendes pénales auxquelles leurs préposés ou mandataires sont condamnés6 ; visés par l’article 22 ter de la loi du 27 juin 1969 pour non respect de la législation temps partiel. • les employeurs débiteurs non immatriculés à l’ONSS et devant l’être en vertu de la réglementation relative aux travailleurs salariés • les personnes faisant l’objet d’une responsabilité solidaire ou légale : - les personnes physiques ou morales associées dans une association momentanée ou une association en participation solidairement responsables sur base de l’article 30bis, §5 de la loi du 27 juin 1969 ; les cessionnaires d’un ensemble de biens en propriété ou en usufruit solidairement responsables des sommes dues par le cédant en vertu de l’article 41quinquies, §2 de la loi du 27 juin 1969 ; les personnes physiques ou morales débitrices du débiteur de l’ONSS (modification législative en préparation) ; les mandataires qui ne remplissent pas leurs obligations ou ne se conforment pas à la loi et ses arrêtés d’exécution (article 29 de la loi du 27 juin 1969) ; les secrétariats sociaux dans l’hypothèse visée à l’article 54, al 4 de l’arrêté royal du 28 novembre 1969. - Les données demandées portent sur des personnes physiques et morales. En vertu de l’article 36bis de la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel, ci-après « la loi », seules les données relatives aux personnes physiques sont prises en considération. Il s’agit des données suivantes : - le numéro NISS ou BCE de la personne concernée les nom et prénom de la personne concernée l’adresse de la personne concernée le numéro NISS du conjoint les nom et prénom du conjoint les données relatives à la matrice cadastrale le détail des parcelles et biens le détail des anciennes parcelles et anciens biens le décès du propriétaire la liste des propriétaires (avec leurs coordonnées) d’une parcelle ou bien identifié 4 Section 2 et 2bis de la loi du 27 juin 1969 révisant l’arrêté-loi du 28 décembre 1944 concernant la sécurité sociale des travailleurs et Chapitre 5 de l’arrêté royal portant exécution de ladite loi. 5 Section 4 de la loi du 27 juin 1969 révisant l’arrêté-loi du 28 décembre 1944 concernant la sécurité sociale des travailleurs. 6 Article 37 de la loi du 27 juin 1969 révisant l’arrêté-loi du 28 décembre 1944 concernant la sécurité sociale des travailleurs et article 12bis, §3 de l’arrêté royal du 5 novembre 2002 instaurant la Dimona. DEL AF 01 / 2007 - 3 / 9 3. L’ONSS aura recours à un système de consultation visant à obtenir par voie automatisée les données. Cette consultation se fera soit en appelant les webservices mis à disposition par le SPF Finances via la Banque-Carrefour de la Sécurité sociale, ci-après la BCSS », soit en consultant directement l’application web mise à disposition sur le portail de la BCSS (application qui utilise également les webservices mis à disposition par le SPF Finances). 4. - A l'appui de sa demande, l’ONSS invoque l’article 12 de la loi du 27 juin 1969 qui impose à l’ONSS de communiquer à tout tiers qui en fait la demande le montant de la créance en cotisation à charge de l’employeur et qui permet donc également au SPF Finances d’obtenir des informations. Il souligne le fait qu’en obtenant cette autorisation, une réciprocité dans l’échange des informations entre l’ONSS et le SPF Finances serait enfin assurée. L’ONSS renvoie également l’article 38, §3 quater de la loi du 29 juin 1981 établissant les principes généraux de la sécurité sociale des travailleurs salariés qui mentionne déjà l’obligation pour l’administration fiscale de fournir aux personnes chargées du contrôle du respect de la législation sociale les renseignements nécessaires. Cette demande d’autorisation s’inscrit donc dans la continuité de ces articles. Enfin, l’automatisation de la communication d’informations relatives aux biens immobiliers allégera les tâches administratives de l’ONSS. 2. RECEVABILITE DE LA DEMANDE 5. En vertu de l’article 36bis de la loi du 8 décembre 1992, « toute communication électronique de données personnelles par un service public fédéral ou par un organisme public avec personnalité juridique qui relève de l’autorité fédérale, exige une autorisation de principe [du Comité sectoriel compétent] ». 6. Cet article 36bis de la loi a été introduit lors des débats parlementaires sur la proposition de loi du 11 décembre 2002 modifiant la LVP et la loi du 15 janvier 1990 (Loi BCSC7) en vue d'aménager et d'étendre les compétences de la Commission de protection de la vie privée par amendement n° 12 du gouvernement. Il ressort de la justification de cet amendement que le Comité sectoriel pour l'autorité fédérale "vérifie (…) que ladite communication, d'une part, est nécessaire à la mise en œuvre des missions confiées, par ou en vertu de la loi, à l'autorité fédérale demanderesse et, d'autre part, que cette communication, en ses divers aspects, est compatible avec l'ensemble des normes en vigueur en matière de protection de la vie privée en ce qui concerne le traitement de données personnelles."8 7. Au vu de l'objet de la demande de l’ONSS, le Comité sectoriel pour l’autorité fédérale est compétent. 7 8 Loi du 15/01/1990 relative à l'institution et à l'organisation de la banque carrefour de la sécurité sociale Doc. Parl., 50, 2001/2002, 1940/004. DEL AF 01 / 2007 - 4 / 9 3. EXAMEN DE LA DEMANDE A. Mission de l’ONSS 8. L’ONSS a pour mission la perception et le recouvrement des cotisations sociales dues par les employeurs et la répartition des recettes globalisées. Il dispose, afin de pouvoir recouvrer les sommes qui lui sont dues, de la possibilité de pratiquer des saisies immobilières, dans le cadre des articles 35 et 40 de la loi du 27 juin 1969 et de l’article 43quinquies de l’arrêté royal du 28 novembre 1969 pris en exécution de la loi du 27 juin 1969, ainsi que d’une hypothèque légale sur tout bien du débiteur situé en Belgique dès lors qu’il est en possession d’un titre exécutoire, en vertu de l’article 41ter, §1 et 5 de la loi du 27 juin 1969. La mise en œuvre de ces instruments légaux nécessite de pouvoir identifier les biens immobiliers des personnes concernées. 9. Le traitement de données à caractère personnel soumis à l’appréciation du Comité sectoriel pour l’autorité fédérale rentre donc bien dans le cadre des missions de l’ONSS. 10. - La Commission constate que le traitement mis en place porte sur des données « judiciaires » au sens de l’article 8 de la loi qui énonce en son paragraphe 1er une interdiction de traitement de telles données. Cette interdiction est toutefois levée pour les traitements effectués « par d’autres personnes lorsque le traitement est nécessaire à la réalisation de finalités fixées par ou en vertu d’une loi, d’un décret ou d’une ordonnance » (article 8, §2 b de la loi) ou « par des personnes physiques ou par des personnes morales de droit public ou de droit privé pour autant que la gestion de leurs propres contentieux l’exige » (article 8, §2, c de la Loi). Ces deux exceptions s’appliquent en l’occurrence. B. Conditions de licéité du traitement 1. Principe de finalité (article 4, §1er, 1° de la loi) 11. L’article 4, §1er, 1° de la loi prévoit que tout traitement de données à caractère personnel doit être loyal et licite. En d’autres termes, le traitement de données doit avoir lieu de façon transparente et dans le respect du droit. 12. L’article 4, §1er, 2° de la loi stipule en outre que les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes et ne peuvent être traitées ultérieurement de manière incompatible avec ces finalités, compte tenu de tous les facteurs pertinents, notamment des prévisions raisonnables de l’intéressé et des dispositions légales et réglementaires applicables. 13. Le traitement de collecte indirecte envisagé dans le cas présent constitue un traitement ultérieur de données traitées initialement par une autre administration. 14. La légitimité du traitement ultérieur est conditionnée à sa compatibilité avec la finalité du traitement initial. Cette compatibilité s’apprécie en fonction des prévisions raisonnables de l’intéressé et des dispositions légales et réglementaires applicables. DEL AF 01 / 2007 - 5 / 9 15. En l’occurrence, les dispositions légales applicables à l’ONSS permettent ce flux de données à caractère personnel : - le recouvrement (par toutes voies de droit et par la contrainte) est prévu par les articles 40 et 40bis de la loi du 27 juin 1969 ; la possibilité de saisie conservatoire immobilière est citée à l’article 43quinquies de l’arrêté royal du 28 novembre 1969 pris en exécution de la loi du 27 juin 1969 ; une hypothèque légale existe, sur base de l’article 41ter de la loi précitée ; la loi du 16 novembre 1972 concernant l’inspection du travail autorise, dans son article 6, les inspecteurs sociaux à exiger de tout service de l’Etat la fourniture de tout renseignement estimé utile dans le cadre du contrôle du respect de la législation sociale. 16. La Commission a néanmoins rappelé à plusieurs reprises qu’une base légale ne suffit pas nécessairement à placer le traitement dans les attentes légitimes des personnes concernées9. 17. En l’espèce, eu égard aux dispositions légales relatives au recouvrement par l’ONSS des sommes qui lui sont dues, il entre dans les attentes raisonnables de la personne que des informations vont être, en fonction du type de saisie annoncée, demandées relativement à ses avoirs immobiliers au SPF Finances. 18. S’agissant de la transparence, de la proportionnalité et de la sécurité des communications en cause, la Commission formule les constats et observations suivants ; elle estime10 en outre que certaines garanties doivent être prévues : 2. Principe de transparence (loi, articles 4, §1,1° et 9 à 15bis) 19. - La Commission rappelle qu’un traitement loyal des données est un traitement de données qui a lieu de façon transparente. Les personnes concernées doivent être informée du nom du ou des responsable(s) du traitement, de la finalité déterminée et explicite du traitement , de l’origine des données collectées, des destinataires éventuels des données ainsi que l’existence d’un droit d’accès et de rectification des données les concernant. 20. Il convient, dans cette analyse de la transparence du traitement, d’avoir égard au droit des saisies qui organise une information de la personne concernée tant pour la saisie conservatoire immobilière que pour la saisie – exécution immobilière11. 21. - Par ailleurs, dans la mesure où le traitement de données porte sur des « données judiciaires » au sens de l’article 8 de la loi, la Commission attire l’attention de l’ONSS sur l’obligation qui lui incombe en vertu de l’article 25, 4° de l’AR d’exécution de la loi du 13 février 2001 de mentionner également, lors de la réalisation de son devoir d’information, la base légale ou réglementaire autorisant le traitement de données à caractère personnel visées aux articles 6 à 8 de la loi. 9 Avis de la CPVP du 9 novembre 2005 relatif à l’avant-projet de loi modifiant l’article 5 de la loi du 15 janvier 1990 relatif à l’institution et à l’organisation d’une banque-carrefour de la sécurité sociale, Considérant 6.4.1 ; Avis de la CPVP du 26 juillet 2006 relatif à un projet d’arrêté royal modifiant l’arrêté royal du 19 mars 2004 réglementant le traitement de substitution, Considérant 65 ; Avis de la CPVP du 1er mars 2006 concernant l’avant-projet de décret du parlement de la Région wallonne relatif au recueil de données épidémiologiques sur les malformations congénitales, Considérant 49. 10 Cfr dans le même sens l’avis de la Commission n°22/2005 du 21 décembre 2005. En ce qui concerne la saisie conservatoire immobilière, cfr. art. 1432 du Code judiciaire ; en ce qui concerne la saisieexécution immobilière, cfr. art. 1564 du Code judiciaire ; cfr. également articles 1568 du Code judiciaire et 141 de la loi hypothécaire du 16 décembre 1851. 11 DEL AF 01 / 2007 - 6 / 9 3. Principe de proportionnalité (loi, article 4) 22. En plus d’être transparents, les traitements de données doivent être limités à ce qui est nécessaire, adéquat et pertinent à l’exercice de la mission de service public concerné. La loi exige également des conditions de qualité concernant les données à caractère personnel faisant l’objet d’un traitement. L’article 4 § 1er 3° de la loi prévoit que ces données à caractère personnel doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont obtenues et pour lesquelles elles sont traitées ultérieurement. 23. Les données que l’ONSS désire collecter dans le cadre du traitement de consultation, telles que reprises au point 1 de la présente délibération apparaissent adéquates, pertinentes et non excessives pour l’exercice de sa mission de recouvrement. 24. Concernant le moment de la demande, la recherche d’informations relatives aux biens immobiliers des personnes concernées commence, sauf exceptions12, dès que la procédure visant à obtenir un titre exécutoire est lancée, ce qui est conforme aux exigences de la loi. 25. Concernant la durée pour laquelle l’autorisation est demandée, celle-ci est indéterminée. Eu égard à la mission de recouvrement de l’ONSS, cela est nécessaire. 26. Concernant le délai de conservation des données, il convient que la destruction des données soit garantie une fois leur conservation devenue inutile. Les demandeurs précisent que les données seront conservées 5 ans après l’archivage définitif du dossier. La durée de 5 ans est prévue par l’article 62, 2° de l’arrêté royal du 28 novembre 1969 portant exécution de la loi du 27 juin 1969. L’archivage a lieu quand la créance est recouvrée ou quand l’ONSS a constaté que la créance est définitivement irrécouvrable. Eu égard à ce qui précède et à l’exigence formulée à l’article 4, § 1, 5° de la loi, la Commission stipule que les demandeurs pourront conserver les données communiquées pendant la durée demandée mais devront ensuite les détruire. 27. Quant à l’usage interne et/ou communication à des tiers des données dont l’ONSS veut obtenir la communication, il destine les informations transmises par le SPF Finances à un usage interne. Une communication aux avocats et huissiers est toutefois prévue dans le cadre de la procédure de recouvrement. La Commission en prend acte. 28. Concernant les modalités de l’échange des données, il résulte de la demande que l’échange de données s’effectuera via la Banque-carrefour de la sécurité sociale. L’intervention de la Banque-carrefour de la sécurité sociale est conforme à la loi du 15 janvier 1990 relative à l’institution d’une Banque-carrefour de la sécurité sociale. 4. Principe de sécurité (loi, article 16) 29. Les technologies de l’information et de la communication permettent de relier les différentes administrations qui étaient cloisonnées auparavant. Ceci a pour conséquence une plus grande accessibilité des données à caractère personnel des administrés collectées par les administrations. 30. Cette plus grande accessibilité implique un risque plus grand en matière de protection de la vie privée qu'il convient d'appréhender par la mise en place de garanties tant au niveau technique qu'organisationnel. 12 Enquête préalable dans certains cas afin d’éviter d’intenter une action qui serait sans objet (notamment, lorsque la société est à responsabilité illimitée et que le capital n’a pas été entièrement libéré et en cas d’assignation en faillite). DEL AF 01 / 2007 - 7 / 9 31. L’ONSS appartient au réseau de la sécurité sociale et est par conséquent soumise aux dispositions de l’arrêté royal du 12 août 1993 relatif à l'organisation de la sécurité de l'information dans les institutions de sécurité sociale. 32. - Ceci signifie qu’en application de l’arrêté précité, elle dispose : a. d’un conseiller en sécurité de l’information dont la désignation a été soumise au Comité sectoriel de la Sécurité sociale ; b. d’un plan de sécurité de l’information avec indication des moyens requis pour son exécution. 33. Par ailleurs, des mesures de sécurité spécifiques ont été mises en place dans le cadre des deux systèmes de consultation décrits dans la demande. 34. Les mesures de sécurité prises par les demandeurs peuvent donc être qualifiées d’adéquates. 35. Aucune information concernant la sécurisation du flux sortant du SPF Finances n’a été communiquée. A cet égard, la Commission attire l’attention du demandeur sur le fait que tout flux sécurisé de données nécessite que des mesures de sécurité soient prises de part et d’autre. La Commission renvoie à ce sujet aux normes minimales de sécurité disponibles sur le site web de la Commission. 36. Dans la mesure où les informations traitées par l’ONSS concernent des débiteurs défaillants à l’égard desquels il a l’intention d’entamer une procédure de recouvrement, la Commission attire l’attention sur les dispositions de l’arrêté royal du 13 février 2001 portant exécution de la loi qui dispose en son article 25 des mesures supplémentaires que le responsable de traitement doit prendre lors du traitement de données sensibles, à savoir : • • désigner les catégories et fonctions de personnes ayant accès aux données et mise à disposition de la Commission de cette liste de personnes ; veiller à ce que ces personnes désignées soient tenues par une obligation légale ou statutaire ou par une disposition contractuelle au respect du caractère confidentiel des données visées ; PAR CES MOTIFS, La Commission autorise la communication des données sous la forme de consultation telle que décrite par le demandeur, L’administrateur, (sé) Jo BARET Le vice-président, (sé) Willem DEBEUCKELAERE DEL AF 01 / 2007 - 8 / 9