GuiGui's Show

+ Projet de loi Fraudes : le Parlement élargit l’accès aux comptes bancaires pour le contrôle du RSA.

Un projet de loi de « lutte contre les fraudes sociales et fiscales » est débattu en ce moment à l’Assemblée nationale, après une première lecture au Sénat. Ce texte prévoit d’augmenter les pouvoirs d’enquête pour le contrôle des prestations sociales, en élargissant notamment l’accès aux fichiers des administrations et organismes privés. Il illustre les dérives des politiques de « lutte contre la fraude sociale » qui, en 20 ans, ont démultiplié les capacités de contrôle et de surveillance des administrations sociales. Revenons sur le contexte général de l’accès aux données des administrations avant d’expliquer en quoi ce projet de loi est un danger.

Suivi de ce projet de loi. En avril 2026, la Commission mixte paritaire (CMP) a été convoquée.

Contrairement à ce que relaient LQDN et la presse, dont l'Huma, mon analyse des articles 13 bis AA (codifiant les futurs articles 16-12-1 et 16-12-2 du Code de la sécurité sociale), devenu 29 (codifiant les futurs L114-22-5 et L114-22-6), et 28 (codifiant les futurs 5312-16 et 5312-17 du Code du travail) est que France Travail (et les organismes sociaux) n'auront pas accès aux données de connexion auprès des opérateurs, mais uniquement la possibilité de traiter, pour une finalité de contrôle, lesdites données dont il dispose déjà, c'est-à-dire l'adresse IP à partir de laquelle les formalités déclaratives obligatoires (ex. l'actualisation France Travail) sont accomplies. Données qui sont déjà traitées, mais sur une base légale discutable, je vais y revenir. FT et les organismes sociaux ont déjà accès aux relevés téléphoniques (fadettes).

Au-delà des données de connexion, les mêmes articles octroient à FT (et aux organismes sociaux) un accès aux registres électoraux des Français établis hors de France. Toujours à des fins de contrôle.

Notons que l'Assemblée nationale a retiré l'accès de France Travail (et des organismes sociaux) au Passenger Name Record (PNR) voulu par le Sénat. Depuis le début, il m'était évident que ça n'est pas conforme à la jurisprudence de la CJUE. L'AGS obtient le droit de communication standard (relevés téléphoniques, relevés de compte bancaire, etc.), cf. article 10 qui codifie le futur L3253‑17‑1 du Code du travail.

Ci-dessus, j'écris que ce pjl prévoit uniquement la collecte et l'utilisation de l'adresse IP de connexion aux sites web des organismes sociaux. Ces derniers utilisent l'adresse IP depuis bien longtemps.

En 2019, la CEDH a eu a connaître de cet usage dans le dossier 52319/22. Il s'agit bien de l'adresse IP de connexion au site web de la CAF pour en déduire la localisation et dont l'éligibilité au RSA. Point de récupération auprès d'un opérateur, car les organismes sociaux ne peuvent plus y procéder depuis la décision 2019-789 QPC du Conseil constitutionnel (détails ici).

La CEDH estime que cette ingérence dans la vie privée est prévue par un acte interne à la CAF relatif au téléservice RSA pris après avis de la CNIL, par les conditions générales d'utilisation (CGU) du site web CAF et par la politique de confidentialité dudit site, qu'elle poursuit un but légitime (prévention et lutte contre la fraude), et que les garanties sont suffisantes (collecte licite, loyale et transparente ; accès restreint aux agents CAF, minimisation, et la seule adresse IP, dont la CAF n retient que la localisation, ne permet pas de tirer des conclusions précises sur la vie d'une personne).

D'un point de vue RGPD, la base légale est 6(1)e : exécution mission d'intérêt public ou relevant de l'exercice de l'autorité publique, donc mission de service publique. Or, cette base légale peut être un peu faiblarde pour du contrôle des allocs, comparativement à une obligation légale clairement indiscutable.

Si la CEDH admet qu'une ingérence puisse être prévue par des actes de portée moindre que des actes législatifs, il est inhabituel qu'elle ait accepté les CGU du site web CAF.

C'est pour quoi je pense que le but des articles du pjl est de sécuriser juridiquement l'exploitation, par les organismes sociaux et France Travail, de leurs journaux d'accès à leurs sites web à des fins de contrôle. Pas de relevé téléphonique ni autres données de connexion obtenues auprès des opérateurs.

Les points intéressants de l'arrêt CEDH 52319/22 :

50 En l’état de la jurisprudence du Conseil constitutionnel, ainsi que des explications du Gouvernement, la Cour considère que seules les données bancaires du requérant, et non l’adresse IP de son ordinateur, ont fait l’objet d’un droit de communication aux agents de la Caf, au sens de l’article L. 114‑19 et suivants du CSS. Or, le grief tiré de l’article 8 de la Convention concernant la communication des données bancaires du requérant et des données de connexion y afférentes a été déclaré irrecevable par le Président de la Section siégeant en tant que juge unique (voir le préambule).

[…]

63 Le Gouvernement conclut à l’existence d’une base légale claire et prévisible de la mesure. Il se réfère aux dispositions du RGPD, à la délibération de la CNIL et à l’acte réglementaire du directeur de la Cnaf, ainsi qu’à la Convention 108 (paragraphes 27-28 et 35-37 et 34 ci-dessus). Il renvoie également aux conditions d’utilisation de l’espace « Mon compte » – un instrument juridique de nature contractuelle que chaque utilisateur s’engage à respecter – rappelées dans la rubrique « Informatique et libertés » du site web caf.fr (paragraphes 29-30 ci-dessus). Dans ces conditions, selon le Gouvernement, les personnes concernées sont informées du traitement de leurs données de connexion et le requérant ne pouvait ni alléguer que l’adresse IP de son ordinateur a été collectée à son insu, ni s’attendre à l’anonymat de l’adresse IP lorsqu’il s’était authentifié et connecté à son compte utilisateur.

[…]

72 Conformément à ladite délibération, le 9 mars 2017, le directeur de la Cnaf a adopté l’acte réglementaire relatif au site web caf.fr, contenant des dispositions précises, concernant notamment le traitement des adresses IP. En particulier, l’article 2 de l’acte réglementaire prévoit expressément le traitement des « données de connexion et des données techniques relatives aux traceurs et/ou témoins de connexion qui sont déposées sur l’ordinateur des personnes qui visitent le site » de la Caf. Les articles 3 et 4 prévoient, respectivement, la conservation et l’accès aux données personnelles. L’article 7 de l’acte règlementaire prévoit l’information des internautes relativement au traitement de leurs données personnelles lors de l’utilisation du téléservice (paragraphe 28 ci-dessus).

[…]

78 En l’espèce, la Cour relève, en premier lieu, que la donnée litigieuse – l’adresse IP, transformée en indication géographique « Autres pays », ne présente pas de caractère sensible et ne porte ni sur les aspects les plus intimes (voir, a contrario, Drelon, précité, § 95, les arrêts cités dans la décision L.F. c. France, précitée, § 34, ainsi que dans l’arrêt L.B. c. Hongrie, précité, § 119), ni sur les aspects particulièrement importants de l’existence ou de l’identité d’un individu (S. et Marper c. Royaume-Uni [GC], nos 30562/04 et 30566/04, § 102, CEDH 2008). Par ailleurs, cette donnée, en tant que telle, ne fournit pas d’« informations nombreuses et précises » sur le requérant (au sens du paragraphe 16 de la décision QPC du 14 juin 2019) et ne permet pas d’établir son profil détaillé par le traçage exhaustif de son parcours sur internet. Au contraire, il s’agit d’une information approximative de nature purement géographique, ne méritant pas, de l’avis de la Cour, de protection accrue. En effet, ainsi que le fait valoir le Gouvernement, la Cnaf ne procède pas à une collecte et une conservation généralisée des données de connexion des utilisateurs d’internet, contrairement à un fournisseur de communications électroniques.