CHSS n° 4 ⁄ décembre 2018

Extension de l’utilisation du numéro AVS

L’utilisation du numéro AVS en tant qu’identificateur personnel univoque permettrait de ­rationaliser bon nombre de procédures administratives. Pour des motifs de protection des données, diverses objections à une utilisation plus large de ce numéro ont été émises ; le Conseil fédéral en tient compte dans le projet de loi qu’il a mis en consultation fin octobre.

Depuis sa création en 1948, l’AVS utilise un numéro d’assuré. À ce jour, cet identificateur personnel a pour objectif de faciliter le traitement des informations concernant les cotisations et le calcul des prestations de l’AVS et des assurances sociales en lien avec elle. Toutes les personnes domiciliées en Suisse ou qui y résident habituellement se voient attribuer un numéro AVS (NAVS), même si elles ne sont pas assujetties à l’AVS.

En 2008, l’ancien numéro à onze chiffres a été remplacé par un numéro à treize chiffres, qui n’est pas « parlant ». En même temps, les conditions auxquelles les autorités fédérales, cantonales et communales peuvent utiliser systématiquement le NAVS en dehors de l’AVS ont été redéfinies. Cette utilisation est permise, d’une part, pour les services et institutions chargés de l’exécution du droit cantonal dans un domaine lié aux assurances sociales et, d’autre part, s’il existe dans une loi spéciale fédérale ou cantonale une disposition spécifique qui le prévoit en définissant le but de l’utilisation et les utilisateurs légitimés.

L’utilisation systématique du NAVS comme identificateur personnel permet de mettre à jour les attributs personnels dans une base de données de manière automatique, précise et rapide en cas de changement d’état civil. La qualité des données contenues dans les registres des utilisateurs est ainsi garantie. Grâce au fait qu’il est univoque, le NAVS permet également d’éviter les confusions administratives entre des dossiers personnels et, partant, des atteintes à la protection des données. En outre, son utilisation augmente l’efficacité de l’administration en simplifiant les processus internes des autorités, de même que les procédures entre autorités. Depuis la mise en place des nouvelles règles en 2008, la numérisation des activités administratives a grandement progressé et l’utilisation systématique du NAVS en dehors de l’AVS s’est beaucoup développée. Au niveau fédéral, pour ne citer que quelques exemples, on y recourt dans les domaines de l’harmonisation des registres, du service civil, de l’échange automatique d’informations, de la TVA, de la protection civile et de la formation professionnelle.

Le NAVS, avec les attributs personnels usuels (nom, prénom, date de naissance, etc.), n’est utilisé qu’à des fins administratives. Sa seule fonction consiste à attribuer à l’individu concerné un jeu de données personnelles à l’intérieur d’un fichier. Il …

… n’est pas parlant

c’est-à-dire qu’au contraire du numéro AVS autrefois en vigueur, il ne contient aucune information sur son titulaire et ne permet donc pas de faire de déductions sur les caractéristiques personnelles de celui-ci.

… ne constitue pas une preuve d’identité

Ce n’est pas un document d’identité officiel ; autrement dit, il ne peut pas être utilisé comme pièce d’identité. Il n’est donc pas possible d’accéder aux prestations des assurances sociales ou de faire valoir d’autres droits sur simple présentation de ce numéro.

… n’est pas un mot de passe

Le NAVS n’est pas un code d’utilisateur donnant accès à toutes les données personnelles de son titulaire, ni un mot de passe à l’aide duquel on pourrait accéder de manière illicite à des systèmes informatiques. Il ne fait jamais partie du processus d’authentification. Par conséquent, les bases de données ne courent pas un risque plus grand si le NAVS y est utilisé.

Si la réglementation actuelle autorise l’utilisation systématique du NAVS en dehors de l’AVS, elle la soumet à des conditions qui sont jugées difficiles à remplir. Pour chaque norme spéciale permettant aux autorités d’utiliser de manière systématique le NAVS, il faut conduire une procédure législative. Les cantons ne peuvent en outre habiliter leurs autorités à utiliser le NAVS que pour l’exécution du droit cantonal. Par ailleurs, les pratiques législatives concernant l’autorisation d’une utilisation systématique du NAVS sont très disparates. Ainsi, cette utilisation pour la tenue du registre foncier a été contestée au sein du Parlement. En revanche, contre l’avis du Conseil fédéral, le NAVS a reçu, dans le cadre de l’échange international automatique de renseignements en matière fiscale, le statut de numéro d’identification fiscale à transmettre obligatoirement à des établissements financiers et des autorités fiscales dans un grand nombre d’États étrangers.

Afin de pouvoir bénéficier sans restriction des avantages de l’utilisation systématique du NAVS et de permettre aux autorités fédérales, cantonales et communales d’y recourir comme identificateur personnel univoque, les autorités fédérales et les cantons demandent avec une insistance croissante une modification en ce sens de la loi fédérale sur l’assurance-vieillesse et survivants. Le Conseil fédéral a par conséquent chargé le Département fédéral de l’intérieur (DFI) d’élaborer un projet de loi prévoyant l’extension de l’utilisation systématique du NAVS en dehors de l’AVS.

Défis posés par une utilisation plus large du numéro AVS Ce projet de loi vise à lever certaines réserves et à répondre aux enjeux qui regardent en particulier la protection des données et la sécurité de l’information. Ce sont surtout l’éventualité de vols de données à des fins d’usurpation d’identité et celle de la création illicite de profils de la personnalité qui inquiètent. Le projet prévoit en conséquence la protection requise des données en misant sur la sécurité des systèmes informatiques et sur des analyses régulières des risques.

Protection des données L’art. 13, al. 2, Cst. protège toute personne contre d’éventuels préjudices qu’elle pourrait subir en raison du traitement de ses données personnelles par l’État. Le législateur doit prendre toutes les mesures nécessaires pour protéger les citoyens contre un emploi abusif des données qui les concernent. Il doit notamment veiller à ce que les autorités traitent les données personnelles avec toute la diligence qui s’impose. Cela vaut aussi pour l’utilisation d’identificateurs tels que le NAVS.

Des voix critiques se sont élevées contre une extension de l’utilisation systématique du NAVS. L’on craint, d’une part, le vol de données et l’usurpation d’identité et, d’autre part, qu’il soit plus facile d’établir des profils de la personnalité. Toutefois, les objections soulevées reposent souvent sur une conception erronée de la nature et de la fonction du NAVS.

Signification des quasi-identifiants

Tous les registres de personnes des autorités contiennent nécessairement des attributs d’identité tels que nom, prénom, date de naissance ou sexe (« quasi-identifiants »). Ceux-ci permettent de relier entre elles les données de différents registres avec un taux de fiabilité de 99,98 %. L’utilisation supplémentaire du NAVS dans les registres officiels ne représente donc qu’un gain de précision minime et ne crée pas une incitation de plus à établir des profils de la personnalité.

Vols de données et profils de la personnalité à l’aide du NAVS ? Le souci de réduire les risques d’intrusion dans les bases de données et de manipulation des données par des personnes non autorisées (« vols de données ») est une question de sécurité de l’information et n’a rien à voir avec la nature des identificateurs utilisés. La sécurité des systèmes informatiques, en particulier, nécessite des contrôles constants et minutieux, surtout lorsque des données sensibles y sont enregistrées. Pour éviter les incidents, il faut que les processus et les méthodes de sécurité soient maintenus constamment à jour. La sécurité de l’information ne peut être assurée que par un processus qui garantit le contrôle et l’adaptation réguliers des mesures de sécurité touchant l’organisation, le personnel, l’infrastructure et la technique.

Le recoupement de données personnelles issues de différentes bases de données (p. ex. des informations concernant la santé, les impôts ou les poursuites) permet la création de profils de la personnalité. Toutefois, le regroupement de données provenant de diverses sources suppose que quelqu’un ait accès à deux bases de données au moins. Celles de la Confédération, des cantons et des communes sont organisées de façon décentralisée. Elles ne peuvent pas être appariées à l’aide du NAVS. Pour respecter le principe de proportionnalité, chaque autorité n’a accès qu’aux données dont elle a besoin pour accomplir ses tâches légales. Les accès multiples, par exemple à des fins statistiques, sont très rares et, le cas échéant, ils sont strictement réglementés.

Sécurité de l’information et analyse des risques Même si l’extension de l’utilisation systématique du NAVS n’augmente pas le risque d’abus, il importe que la Confédération et les cantons contrôlent régulièrement ce risque. En outre, des prescriptions d’ordre technique et organisationnel s’imposent pour garantir une utilisation exempte d’erreurs. Il faut donc que les autorités qui utilisent le NAVS soient tenues de maintenir leurs systèmes informatiques à jour. Le projet de révision contribue ainsi à l’amélioration générale de la sécurité de l’information dans l’administration publique.

Pour augmenter la sécurité des bases de données, il importe que celles-ci soient protégées contre les accès non autorisés. Concrètement, cela signifie d’abord que les responsabilités en matière de sécurité informatique doivent être clairement établies. Les collaborateurs doivent être formés à une utilisation sûre des outils et de l’infrastructure informatiques. Les directives et instructions en matière de sécurité doivent être consignées par écrit. Il faudra vérifier régulièrement les risques dans le domaine de la sécurité de l’information, et établir un concept de sûreté de l’information et de protection des données.

Pour ce qui est des mesures concrètes, il importe, d’une part de sécuriser physiquement l’accès aux moyens informatiques et aux unités de mémoire. Les risques techniques d’accès doivent être réduits au minimum par une procédure d’authentification appropriée et par des mesures de sécurité informatique (logiciel antivirus, système pare-feu). D’autre part, avant toute réparation, élimination ou destruction de moyens informatiques, les numéros AVS et autres données personnelles devront être effacés de telle sorte qu’ils ne puissent pas être reconstitués. Les logiciels devront correspondre aux dernières possibilités techniques et faire régulièrement l’objet de mises à jour. Pour les réseaux mobiles, il faudra crypter les données au moyen des procédés les plus récents. Enfin, l’analyse des identifiants de connexion des ordinateurs est élémentaire pour repérer les dysfonctionnements ou les incidents. Pour prévenir ou limiter les dommages, les incidents doivent en outre pouvoir être traités rapidement et efficacement. Si une procédure spécifique en cas d’incident a été prescrite et testée avec succès, elle contribuera à réduire les temps de réaction au minimum.

Grandes lignes du projet de révision Dans un tel contexte, il importe de créer les conditions légales permettant aux autorités de la Confédération, des cantons et des communes, ainsi qu’à certaines institutions, d’utiliser systématiquement le NAVS en vertu d’une autorisation générale, sans avoir besoin d’une disposition spécifique dans une loi spéciale pour chaque nouvel usage. Une plus grande transparence sera assurée du fait que les conditions d’utilisation seront les mêmes pour toutes les autorités. De plus, la garantie de la protection des données et de la sécurité des informations se verront accorder toute l’importance requise. Dans les domaines où la législation l’exclut, l’utilisation du NAVS restera interdite. Ainsi, la compétence de décision en matière d’utilisation du NAVS demeurera de la compétence du législateur. Par ailleurs, les organisations et les personnes qui, sans avoir le caractère d’une autorité, sont chargées par la loi de remplir des tâches administratives n’auront elles aussi le droit d’utiliser systématiquement le NAVS que si une disposition le prévoit dans la loi spéciale concernée. Par contre, l’utilisation systématique à des fins purement privées restera exclue.

La nouvelle réglementation proposée n’assouplit pas les conditions auxquelles l’appariement de données est admis. Comme c’est déjà le cas aujourd’hui, il ne le sera qu’à condition qu’une loi le prévoie formellement, à l’instar de la loi sur la statistique fédérale ou de la loi sur le recensement. Pour empêcher les appariements illicites, la Confédération et les cantons devront en outre procéder à des analyses des risques afin de repérer tout risque de regroupement de bases de données non autorisé. À cet effet, ils devront tenir des répertoires des bases de données qui relèvent de leur domaine de compétence et où le NAVS est utilisé systématiquement.

Quiconque utilise le NAVS de manière systématique sans y être autorisé sera, comme aujourd’hui, passible d’une peine pécuniaire. Mais la disposition pénale relative à l’adoption de mesures techniques et organisationnelles sera plus sévère. Actuellement, est punissable uniquement celui qui ne prend aucune mesure, alors que celui qui prend des mesures, mais de façon lacunaire, ne l’est pas. Il importe de combler cette lacune juridique. À l’avenir, la disposition pénale inclura le fait de tarder à prendre les mesures techniques et organisationnelles, ou de le faire de manière incomplète, qui sera considéré comme une contravention et puni de l’amende.

Dans le cadre légal révisé ainsi esquissé, l’utilisation systématique du NAVS ne compromettra pas la protection des données ; elle n’aura pas non plus pour effet de rendre les citoyens « transparents ». La solution proposée apparaît donc équilibrée tant au regard de la pertinence que de la faisabilité et de la proportionnalité.