BLOG

PUMA : Bilan 2023, l’argumentaire relatif à la règlementation en matière de protection des données à caractère personnel prend de l’ampleur

On sait que la mise en place de la cotisation subsidiaire maladie (CSM) a supposé la mise en œuvre de deux traitements informatisés : l’un relatif à la transmission des données relatives aux revenus des cotisants entre l’administration fiscale et l’ACOSS et l’autre relatif au calcul des cotisations, par les URSSAF, à partir des informations obtenues auprès de l’administration fiscale.

Dans ce cadre, il semble important de rappeler que le droit à la protection de ses données est un droit fondamental protégé à la fois par la Chartre des Droits Fondamentaux de l’Union Européenne et par le Traité sur le Fonctionnement de l’Union Européenne. Ainsi, la mise en œuvre de tels traitements suppose le respect d’obligations à la charge des responsables et de droits pour les personnes concernées.

Or, deux méconnaissances à ces droits et obligations ont pu être identifiées dans le cadre de la CSM.

La première concerne exclusivement la cotisation 2016. En effet, la loi du 6 janvier 1978, dite « Informatique et Libertés », prévoit que les traitements de données mis en œuvre pour le compte de l’Etat ou de ses entités doivent être autorisés par décret en Conseil d’Etat pris après avis de la CNIL. 

Le pouvoir réglementaire, bien au fait de cette obligation, a donc consulté la CNIL préalablement à la publication des deux décrets afin d’autoriser ces deux traitements. Toutefois, arrivé à cette seconde étape, l’un des deux traitements semble avoir été oublié. Ainsi, fin 2017, lors de la campagne de recouvrement de la première cotisation, seul le traitement relatif au calcul des cotisations par les URSSAF était autorisé. 

Constatant cet oubli, ce n’est que le 24 mai 2018 que le pouvoir réglementaire a rectifié le tir et publié le décret relatif au transfert des données entre l’administration fiscale et l’ACOSS. Que l’on ne s’y méprenne pas : les traitements mis en œuvre en 2017 pour le calcul et le recouvrement des cotisations 2016 n’étaient pas différents de ceux mis en œuvre en 2018, la CNIL ayant d’ailleurs rendu son avis sur le traitement relatif au transfert des données entre l’administration fiscale et l’ACOSS le 14 septembre 2017. 

C’est ainsi que se prononçant sur ce moyen, la Cour d’appel d’Aix-en-Provence a, dans un arrêt du 31 mars 2023, annulé un appel de cotisation émis alors que l’ACOSS – et donc les URSSAF – n’avaient pas obtenu l’autorisation pour recevoir de l’administration fiscale les informations des cotisants.

La seconde méconnaissance concerne tous les cotisants et porte sur l’obligation d’information pesant sur le responsable de traitement lorsque les données personnelles concernées n’ont pas été obtenues directement de la personne. 

En effet, les deux traitements mis en œuvre dans le cadre de la CSM sont concernés par cette obligation dans la mesure où les données transmises puis exploitées sont recueillies par l’administration fiscale pour les besoins de l’impôt sur le revenu. 

Dans ce contexte, la réglementation européenne reprise dans la loi Informatique et Libertés oblige le responsable du traitement à informer personnellement les personnes, en l’occurrence les cotisants, d’un certain nombre d’éléments concernant le ou les traitements mis en œuvre. 

Si la question de la méconnaissance de cette obligation ne fait que peu de doute, l’URSSAF n’étant pas en mesure de démontrer le respect de cette information personnalisée, le débat porte sur son contenu, ses exceptions et les conséquences d’une telle méconnaissance. 

L’URSSAF tente ainsi de se réfugier derrière l’adage « nul n’est censé ignorer la loi » et la publication des décrets pour obtenir la validation de l’appel de cotisation, ce que certaines juridictions retiennent. Cependant, si un tel adage devait s’appliquer, cela reviendrait à dénier tout effet utile aux dispositions légales mettant en place une obligation légale d’information…

L’URSSAF fait également valoir qu’elle rentrerait dans les exceptions à cette obligation d’information. Toutefois, la lecture du décret du 24 mai 2018 ainsi que de l’avis de la CNIL concernant le décret du 3 novembre 2017 ayant autorisé le traitement relatif au calcul des cotisations par les URSSAF, permettra de constater que le pouvoir réglementaire et la CNIL considéraient bien que ces traitements étaient concernés par l’obligation d’information des cotisants. 

Enfin, s’agissant des conséquences d’un tel manquement, le principe d’effectivité tiré du droit de l’Union Européenne et le caractère fondamental du droit à la protection de ses données ont fini de convaincre les Cours d’appel de Bordeaux et d’Amiens qu’une telle méconnaissance – et l’absence de loyauté des traitements qui en résultait – rendait caducs les appels de cotisation qui en découlaient (voir notamment CA Bordeaux, 9 mars 2023, n° 21/02246 et CA Amiens, 4 septembre 2023, n° 21/02636). De nombreuses juridictions restent à convaincre mais ces trois arrêts constituent de réelles avancées qui, on l’espère, se confirmeront en 2024. C’est en tous cas le vœu que nous formons pour l’année nouvelle, qui devrait normalement voir la fin de ce contentieux et la mort de la PUMA première mouture  !