Utilisation systématique du numéro AVS par les autorités

Depuis le 1^er janvier 2022, les autorités sont habilitées à utiliser le numéro AVS de manière systématique en dehors de l’AVS. Le numéro AVS devient ainsi un identificateur général des personnes physiques. La modification de la LAVS permet aux autorités, y compris les autorités cantonales, d’utiliser systématiquement le numéro AVS comme identificateur de personnes dans la mesure où l’exécution de leurs tâches le requiert. L’objectif de cette nouvelle réglementation est d’éviter des confusions lors du traitement de dossiers personnels, tout en contribuant à la mise en œuvre de la stratégie de cyberadministration, à la mise à jour rapide et automatique des données personnelles et à renforcer l’efficience de l’administration (Communiqué de presse du Conseil fédéral du 17.11.2021).

Les articles 153b ss. LAVS fournissent dès lors la base légale formelle dans le sens de la LPrD pour l’utilisation systématique du numéro AVS en tant qu’identificateur administratif des personnes physiques. Les articles 153b ss. LAVS constituent ainsi la norme autorisant l’utilisation systématique du numéro AVS par les autorités.

Le numéro AVS est un identificateur de personnes physiques et permet l’attribution univoque des informations à une personne concrète (ATF, Décision du 28 février 2022, 1C_425/2020, consid. 3.3 – 3.4 ; FF 2019 6963). Dès lors, il sert dans une collecte de données personnelles à l’identification claire des personnes physiques et donc à la meilleure qualité de la base de données (ATF, Décision du 28 février 2022, 1C_425/2020, consid. 3). Le numéro AVS ne peut être utilisé en dehors de l’AVS qu’à des fins administratives. C’est uniquement dans ce but – c.à.d. pour l’identification sûre et correcte des personnes physiques – que le numéro AVS est autorisé sans autre base légale explicite.

Pour toutes les autres utilisations du numéro AVS, c.à.d. en dehors des fins d’identification, une base légale explicite dans une loi cantonale est nécessaire. Il faut ainsi une base légale formelle qui autorise une autorité à l’utilisation systématique du numéro AVS, entre autres (énumération non exhaustive) :

•  si les organisations ou personnes externe à l’administration sont chargées de tâches publiques ; le droit applicable doit prévoir explicitement  l’utilisation systématique du numéro AVS ;
• si des bases de données sont fusionnées ou interconnectées ;
• si un échange de données entre autorités sur la base du numéro AVS est envisagé (FF 2019 6977).

Selon l’article 153b LAVS, l’utilisation du numéro AVS est réputée systématique lorsque l’intégralité, une partie ou une forme modifiée de ce numéro est liée à des données personnelles et que ses données sont collectées de manière structurée. Le critère déterminant est donc de savoir si la partie essentielle, caractéristique du numéro AVS est reprise ou collectée dans une base de données et enregistrée de manière permanente (FF 2019 6982). L’utilisation systématique ne comprend donc pas l’utilisation dans un cas d’espèce, mais une utilisation permanente du numéro AVS dans un nombre illimité de cas dans une base de données ; le stockage (même de courte durée) constitue un critère important à cet égard.

«Une utilisation non-systématique du numéro AVS consiste à utiliser le numéro AVS sans pour autant le stocker en l’associant à des données personnelles» (cf. définition de la CdC). Le terme «non-systématique n’est pas défini par la loi, mais il est utilisé dans la pratique. Il y a une utilisation non-systématique par exemple si le numéro AVS est utilisé pour rechercher l’identifiant d’un dossier sans pour autant le stocker. Selon la Centrale de compensation CdC, une base légale est cependant requise même dans le cas d’une utilisation non-systématique du numéro AVS. Par contre, il n’y a pas lieu de l’annoncer à la Centrale (CdC relatif à l’utilisation non-systématique du numéro AVS Utilisation non-systématique du numéro AVS (admin.ch)).

Les autorités, organisations et personnes autorisées à utiliser le numéro AVS de manière systématique sont énumérées exhaustivement dans l’article 153c LAVS. En dehors de l’administration fédérale et des unités décentralisées de l’administration fédérales, sont autorisés à utiliser le numéro AVS de manière systématique au niveau cantonal :

• les autorités cantonales et communales respectivement les administrations cantonales et communales
• les organisations et les personnes de droit public ou de droit privé (qui sont externes aux administrations mentionnées) qui, sur la base du droit  cantonal ou communal ou de conventions, sont chargées de tâches publiques administratives ; cependant, il faut que le droit applicable prévoie l’utilisation systématique du numéro AVS. L’article 153c al. 1 chiffre 4 LAVS exige que l’utilisation systématique du numéro AVS pour un traitement externalisé ou délégué à des tiers soit légalement prévue si elle est nécessaire pour l’accomplissement des tâches
• les établissements de formation (comme déjà jusqu’à ce jour).

Suite à la restriction du cercle autorisé aux autorités cantonales et communales, les organisations et personnes de droit public ou de droit privé, qui accomplissent une tâche publique, ne peuvent pas utiliser le numéro AVS de manière systématique ; est réservée une base légale explicite qui l’autorise. En d’autres mots, une délégation spécifique ou une délégation de fonctions à des tiers selon l’article 54 de la Constitution doit être prévue explicitement par une loi ainsi que l’autorisation d’utiliser le numéro AVS d’une manière systématique (cf. la délimitation envers la sous-traitance ci-dessous).

Selon le message du Conseil fédéral sur la révision de LAVS, les unités intercantonales et intercommunales sont considérées comme externes à l’administration selon l’article 153c al. 1 chiffre 3 LAVS. Si ces unités doivent utiliser le numéro AVS, une base légale formelle est nécessaire (FF 2019 6982).

Sur la base de la législation actuelle, l’utilisation systématique du numéro AVS par les organisations ecclésiastiques ne semble pas être autorisée (une base légale formelle autorisant l’utilisation du numéro AVS de manière systématique fait défaut).

L’organe public qui fait traiter des données personnelles par un sous-traitant demeure responsable de la protection des données; il doit garantir l’exécution correcte du mandat par le sous-traitant (art. 37 LPrD). Si une sous-traitance requiert également l’utilisation systématique du numéro AVS, et pour autant que celle-ci est admissible, l’organe doit s’assurer que les mesures de sécurité et de la protection des données prévues par la LAVS sont respectées sur tous les niveaux y compris par le sous-traitant. Elles comprennent notamment le contrôle et la surveillance des interfaces. En raison de l’exposition au risque qui est inhérent à un traitement externe du numéro AVS, l’Autorité conseille ici à une certaine retenue. En tout cas, l’organe ne peut se passer de présenter une évaluation d’impact sur la protection des données ainsi qu’un concept SIPD (cf. ci-après).

Si une autorité habilitée veut utiliser le numéro AVS de manière systématique, elle doit remplir différentes exigences : Le droit fédéral exige de régler les responsabilités, de former les collaborateurs /- trices et d’établir la documentation. D’une part, il s’agit de mesures techniques et organisationnelles et de l’établissement d’un concept SIPD (concept sécurité d’information et protection des données) afin de garantir la protection des données et la sécurité des données et de l’information (art. 153d LAVS). D’autre part, la loi prévoit l’obligation de mener périodiquement des analyse des risques (art. 153e LAVS) et des nouvelles obligations de collaborer (art. 153f LAVS). Les dispositions concernant la restriction de la communication du numéro AVS (art. 153g LAVS) ne sont pas nouvelles, mais intégrées dans LAVS. Les dispositions légales sont annexées.

Les mesures techniques et organisationnelles (« TOM ‘s »)

Il s’agit des mesures qui s’appliquent déjà aujourd’hui au traitement de données personnelles. Comme l’utilisation systématique du numéro AVS augmente le danger d’interconnexions illicites de base données, l’application et le respect de ces mesures sont indispensables. La mise en œuvre de la sécurité de l’information ainsi que de la sécurité informatique n’est pas une mesure singulière, mais un processus continu (cf. Feuille informative de l’ATPrDM relative aux mesures techniques et organisationnelles ; et les bases légales en annexe).

Les mesures les plus importantes sont: 

• la limitation du nombre de personnes accédant aux banques de données qui contiennent le numéro AVS, à celles qui ont besoin de ce numéro selon le profil du cahier de charge (principe de la proportionnalité)
•  la désignation d’une personne responsable de l’utilisation systématique du numéro AVS ; cette personne doit prendre acte du concept SIPD et, en cas de violation de celui-ci, appliquer les mesures nécessaires (FF 2019 6984)
• l’établissement d’un concept SIPD (art. 153d lit. d LAVS ; FF 2019 6984), qui évalue les facteurs de risques importants selon les critères de la disponibilité, confidentialité, intégrité et traçabilité
• l’authentification des personnes accédant aux données
• la formation des personnes ayant accès aux données
•  assurer la transmission sécurisée des données
•  cryptage des données lors de la transmission par un réseau public
• protection anti-virus
• firewall
• enregistrement des flux de données à l’intérieur des systèmes d’informations et leur évaluation
• surveillance des interfaces des systèmes IT.

Analyses des risques

Des analyses de risques, en particulier sur le risque d’un regroupement illicite de banques de données, doivent être menées régulièrement, notamment si des institutions de droit public ou privé sont au bénéfice d’une délégation des tâches publiques et autorisées sur la base du droit cantonal d’utiliser le numéro AVS. Cela vaut également pour les établissements de formation (cf. art. 153e LAVS). Les analyses de risques peuvent être effectuées dans le cadre des contrôles de la protection des données ; il faut alors tenir compte, en tant que point supplémentaire, de l’utilisation systématique du numéro AVS (FF 2019 6985). Les analyses de risques permettent de détecter des regroupements illicites de banques de données et de rendre un avis sur la base d’une évaluation réaliste et pertinente des risques systématiques globaux (FF 2019 6985).

Obligations de collaborer

Les autorités utilisant le numéro AVS de manière systématique, doivent assister la Centrale de compensation (CdC) dans l’accomplissement de ses tâches. Elles doivent annoncer à la CdC l’utilisation systématique du numéro, permettre à la CdC d’effectuer des contrôles, mettre à sa disposition les données nécessaires, lui fournir les renseignements requis et procéder aux corrections de numéros AVS ordonnées par la CdC (art. 153f LAVS).

Communication du numéro AVS

La communication de données personnelles contient un grand potentiel de risques relatifs à une violation de la protection des données. L’article 153g LAVS fixe les conditions cadres connues qui permettent la communication d’un numéro AVS : Il faut effectuer une pesée d’intérêts au terme de laquelle aucun intérêt manifestement digne de protection de la personne concernée ne s’oppose à la communication ; celle-ci s’impose pour l’accomplissement des tâches tant de l’autorité communicante que du destinataire. La communication est possible avec le consentement de la personne concernée.

Des informations supplémentaires se trouvent sur le site de l’Office fédéral des assurances sociales OFAS et de la Centrale de compensation CdC.