ROYAUME-UNI



Les fondements juridiques

La loi de 1998 sur la protection des données
, reprenant la formulation de la loi de 1984, énumère, dans sa première annexe, les huit principes que le traitement des données doit respecter. Le deuxième principe énonce : " Les données personnelles ne seront obtenues qu'en vue de servir un ou plusieurs objectifs précis et licites, et ne seront pas traitées d'une façon qui soit incompatible avec ce ou ces objectif(s). " Comme par ailleurs la divulgation des données fait partie du traitement, le deuxième principe interdit la diffusion des données à des fins différentes de celles pour laquelle elles ont été enregistrées . Il interdit donc implicitement l'interconnexion.

Toutefois, d'après l'article 34 de la loi de 1984 (et l'article 35 de la loi de 1998), le principe de non-divulgation n'est pas applicable lorsqu'un texte législatif ou réglementaire, une décision de justice, une procédure judiciaire, ou la nécessité d'exercer un droit reconnu par la loi justifient la divulgation.

La loi de 1997 relative à l'administration de la sécurité sociale en matière de fraude
a modifié la loi de 1992 sur l'administration de la sécurité sociale de façon à autoriser des transferts d'informations entre administrations différentes . Ces transferts ne sont légitimes que s'ils sont organisés dans le seul but de lutter contre la fraude aux prestations sociales et aux cotisations sociales . Cette loi est entrée en vigueur le 1 er juillet 1997.

I. L'IDENTIFIANT UNIQUE

La seconde partie de l'annexe 1 de la loi de 1998 indique que " les données personnelles qui comportent un identifiant général correspondant à la définition donnée par arrêté ministériel ne seront pas considérées comme ayant été traitées de façon équitable et loyale à moins d'avoir été traitées conformément aux conditions prescrites applicables aux identifiants généraux précisées dans cette définition ".

Le traitement des numéros d'identification devra donc être effectué selon des conditions plus strictes que celui des autres données.

Aucun texte réglementaire sur le traitement des identifiants uniques n'a encore été publié.

Actuellement, chaque résident dispose d'un numéro d'immatriculation au système national de santé , mais la gestion de ces numéros est très critiquée. Leur attribution semble effectuée dans des conditions assez laxistes permettant la fraude.

Compte tenu de la probable utilisation du numéro d'immatriculation au système de santé comme identifiant unique dans le futur, le Data Protection Registrar (autorité de contrôle de la loi sur la protection des données) plaide pour que ce numéro soit, par arrêté, désigné comme " identifiant général " et pour que son utilisation soit limitée aux seules administrations sociale et fiscale.

II. L'INTERCONNEXION DES FICHIERS ADMINISTRATIFS

La loi de 1997 relative à l'administration de la sécurité sociale en matière de fraude autorise, dans certaines circonstances , l'administration fiscale et les administrations responsables des passeports, de l'immigration, de l'émigration, du droit de la nationalité et des prisons, à fournir aux administrations chargées de la gestion des cotisations et des prestations sociales des données personnelles permettant aux secondes de détecter des fraudes.

1) Les objectifs légitimant la diffusion des données

Les seuls objectifs susceptibles de justifier le transfert de données personnelles d'une administration à une autre sont les suivants :

- la prévention, la détection, l'examen et la poursuite d'infractions relatives à la sécurité sociale ;

- la vérification de l'exactitude des informations fournies par les assurés et relatives aux prestations et aux cotisations de sécurité sociale, au numéro d'immatriculation ou à tout autre fait se rapportant à la sécurité sociale.

2) Les flux d'informations autorisés

a) De l'administration fiscale et de certains services du ministère de l'Intérieur vers le ministère de la Sécurité sociale

La loi de 1997 autorise, d'une part, l'administration fiscale (et ses éventuels prestataires de services) et, d'autre part, un certain nombre de services du ministère de l'Intérieur à fournir des données personnelles au ministère de la Sécurité sociale (et à ses éventuels prestataires de services).

Les services du ministère de l'Intérieur concernés par la loi de 1997 sont les services responsables des passeports, de l'immigration et de l'émigration, du droit de la nationalité et des prisons.

La loi prévoit qu'un texte réglementaire puisse compléter la liste des services susceptibles de fournir des informations au ministère de la Sécurité sociale, mais cette possibilité n'a pas encore été utilisée.

b) Entre le ministère de la Sécurité sociale et les collectivités locales

Les collectivités locales administrent deux prestations sociales, le housing benefit ( prestation allouée aux détenteurs de très faibles revenus pour les aider à payer leur loyer), et le council tax benefit (prestation qui permet de couvrir tout ou partie de la council tax , c'est-à-dire l'impôt local prélevé sur les logements). Des échanges de données entre les collectivités locales et le ministère de la Sécurité sociale (dans les deux sens) peuvent être organisés.

c) Entre les collectivités locales et l'Audit Commission

Lorsque l' Audit Commission (3( * )) est chargée par le ministère de la Sécurité sociale de mener une enquête sur la gestion par certaines collectivités du housing benefit et du council tax benefit , ces dernières doivent lui fournir, à sa demande, les informations nécessaires à son enquête. A son tour, l' Audit Commission peut transmettre au ministère les données ainsi recueillies.

3) Les garanties

a) Les dispositions législatives

Seule la lutte contre la fraude peut légitimer les transferts d'informations et les flux d'informations autorisés sont strictement limités. C'est pourquoi, en juillet 1998, les services du Data Protection Registrar ont rappelé à l'ordre certaines collectivités locales qui avaient pris contact avec des employeurs et leur avaient demandé de leur fournir des informations relatives à la paye de leurs salariés. A la suite de ces incidents, le Data Protection Registrar a prié l'organe fédérateur des collectivités locales de préparer un code de bonne conduite à l'intention des responsables des collectivités.

De plus, les destinataires des informations sont précisés par la loi. Dans certains cas, les informations peuvent cependant être fournies à d'autres destinataires que ceux prévus par la loi :

- dans le cadre d'une procédure civile ou pénale qui se fonde sur la législation relative aux prestations sociales ;

- lorsque les informations transmises ont permis d'en modifier d'autres, les premières peuvent être divulguées ou utilisées pour servir n'importe quel objectif légitime justifiant l'utilisation des données modifiées.

Par ailleurs, la loi de 1992 sur l'administration de la sécurité sociale oblige le personnel du ministère de la Sécurité sociale (et de ses prestataires de service) à respecter la confidentialité des informations qui leur sont transmises. Le non-respect de ce devoir est constitutif de l'infraction de " diffusion non autorisée de données personnelles ".

b) Le code de bonne conduite du ministère de la Sécurité sociale

Le Data Protection Registrar avait, au moment de l'adoption de la loi de 1997, plaidé pour l'insertion dans la loi d'un code de bonne conduite, qui aurait eu valeur législative et aurait pu être appliqué par les tribunaux. Comme cette solution n'a pas été retenue, un code a été rédigé de façon volontaire par le ministère de la Sécurité sociale en concertation avec les services du Data Protection Registrar .

Ce code précise les possibilités de transfert d'informations. Il indique en particulier que l'administration ne peut en principe pas conserver plus de neuf mois les données qu'elle reçoit d'autres administrations. Dans le cas où le rapprochement des données fait apparaître des anomalies, la durée de conservation peut être portée à dix-huit mois. C'est seulement dans le cas où la procédure judiciaire le requiert que la durée de conservation peut dépasser dix-huit mois. Dans une telle hypothèse, tous les douze mois, il convient de vérifier la pertinence de la conservation.

Le Data Protection Registrar regrette que le code de conduite du ministère de la Sécurité sociale ne concerne pas les autres administrations susceptibles d'être impliquées dans les transferts d'informations.

* *

*

Depuis quelques années, la lutte contre la fraude aux prestations sociales est devenue une priorité nationale. La loi de 1997 fournit donc au Benefit Fraud Inspectorate , l'unité du ministère de la Sécurité sociale spécialisée dans la lutte contre la fraude, un instrument important. Dans le document intitulé " Sauvegarder la sécurité sociale ", qu'il a publié en mars 1999, le gouvernement insiste sur la nécessité de prévenir la fraude plutôt que de la détecter par des opérations d'interconnexion.

Cependant, le Welfare Reform Bill , qu'examine actuellement le Parlement, prévoit que l'agence chargée du versement des prestations compensatrices en cas de divorce (la Child Support Agency : CSA ) puisse avoir accès aux données de l'administration fiscale. Dans l'hypothèse par exemple où un père n'effectue pas les versements de façon normale, la CSA pourrait alors les déduire à la source.

Page mise à jour le

Partager cette page