Par ce décret, est autorisée la création, par la Caisse nationale d'assurance vieillesse des travailleurs salariés, d'un traitement de données à caractère personnel dénommé « système national de gestion des fraudes ».

Ce système national de gestion des fraudes est composé d'un outil de gestion des alertes et d'une base nationale de signalement des fraudes avérées. L'outil de gestion des alertes a pour finalité la collecte des informations à contrôler dans le cadre de la lutte contre la fraude au régime général de la branche vieillesse, afin d'améliorer le ciblage des actions de contrôle.

L'enregistrement dans le système national de gestion des fraudes par les organismes chargés de la gestion du risque vieillesse du régime général est déclenché par le constat d'agissements tels que la production de fausses déclarations, de documents falsifiés ou contrefaits, ou l'omission intentionnelle de déclaration d'un changement de situation, visant à :

  • Obtenir ou tenter d'obtenir indûment le versement de toute prestation ou allocation servie par l'organisme concerné ;
  • Faire obtenir ou tenter de faire obtenir indûment le versement de toute prestation ou allocation servie par l'organisme concerné, même sans en être le bénéficiaire.

Sont enregistrées dans l'outil de gestion des alertes les informations à contrôler issues du régime général de la branche vieillesse et des services de l'Etat ou organismes mentionnés à l'article L. 114-16-3 et au deuxième alinéa de l'article L. 114-16-1 du code de la sécurité sociale. Les informations à contrôler concernent les tentatives de fraude et les fraudes, suspectées ou avérées, émanant d'assurés, de leurs ayants droit, d'employeurs, de mandataires ou de tout autre tiers, ou d'agents du régime général de l'assurance vieillesse.

Sont enregistrées dans la base nationale de signalement des fraudes les fraudes avérées commises au préjudice de l'assurance vieillesse quels qu'en soient les auteurs : les assurés, leurs ayants droit, les employeurs, les mandataires ou tout autre tiers, les agents du régime général de l'assurance vieillesse. Seuls sont regardés comme avérés et peuvent être enregistrés dans cette base les faits constitutifs d'une fraude constatés par un agent de contrôle agréé et assermenté au sens de l'article L. 114-10 du code de la sécurité sociale.

Les catégories de données à caractère personnel et d'informations contenues dans l'outil de gestion des alertes sont, en fonction de la nature des informations recueillies :

  • Les données d'identification des personnes physiques ou morales auteurs de la fraude présumée, qui comportent :
    • Le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) ;
    • Le nom de famille, et, le cas échéant, le nom marital ou d'usage, et les prénoms ;
    • La date et le lieu de naissance ;
    • Pour les personnes morales : la raison sociale, l'identifiant SIRET ;
    • L'adresse de résidence ou l'adresse du siège social ;
  • Les informations décrivant les caractéristiques de la fraude présumée, qui comportent notamment :
    • La prestation concernée ;
    • La période à laquelle les faits se rapportent ;
    • La date de découverte des faits ;
    • Le domaine de risque ;
    • Le type de fraude ;
    • La nature du ou des documents en cause ;
    • L'évaluation du montant du préjudice subi ou évité ;
    • L'identification des tiers concernés (en particulier en tant que victime, témoin des faits, complice ou coauteur potentiel) lorsque cette information est utile aux besoins de l'enquête.

Les données à caractère personnel et les informations contenues dans la base nationale de signalement des fraudes sont :

  • Les données d'identification des personnes physiques ou morales auteurs de la fraude, qui comportent :
    • Le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) ;
    • Le nom de famille, et, le cas échéant, le nom marital ou d'usage, et les prénoms ;
    • La date et le lieu de naissance ;
    • Pour les personnes morales : la raison sociale, l'identifiant SIRET ;
    • L'adresse de résidence ou l'adresse du siège social ;
  • Les informations décrivant les caractéristiques de la fraude, qui comportent :
    • La prestation concernée ;
    • La période à laquelle les faits se rapportent ;
    • La date de découverte des faits ;
    • Le domaine de risque ;
    • Le type de fraude ;
    • La nature du ou des documents en cause ;
    • Le montant du préjudice subi ou évité ;
  • Les informations relatives aux actions engagées par le régime général de l'assurance vieillesse et aux décisions prises :
    • La nature de l'action engagée ;
    • L'autorité saisie ;
    • La mention « procédure en cours » ou « clôturée » ;
    • S'il y a lieu, les mentions « classement sans suite », « non-lieu » ou « relaxe ».

Les données enregistrées dans l'outil de gestion des alertes sont conservées trois ans.

Les données enregistrées dans la base nationale de signalement des fraudes sont conservées :

  • Un an pour les dossiers classés sans suite par l'organisme ou ayant fait l'objet d'une décision de non-lieu ou de relaxe à compter de la date de cette décision ;
  • Un an pour les dossiers classés sans suite par le procureur de la République sauf s'ils font encore l'objet d'une procédure de sanction administrative ;
  • Trois ans, à compter de la date de clôture de la procédure par l'autorité judiciaire ou de la date de la décision administrative prise en application de l'article L. 114-17 du code de la sécurité sociale.

Les données de la base nationale de signalement des fraudes sont ensuite archivées pour une période de cinq ans à l'exception des dossiers classés sans suite.