L’URSSAF ne peut pas vous réclamer de cotisations sans vous avoir informé personnellement du traitement de vos données

La collecte et le traitement de données à caractère personnel par les organismes publics, tels que l’URSSAF, doivent respecter des obligations légales strictes. Au cœur de ces obligations figure l'information claire et individualisée des personnes concernées. Cette exigence est posée par la loi "Informatique et Libertés" du 6 janvier 1978, la directive européenne 95/46/CE, et, depuis 2018, par le Règlement général sur la protection des données (RGPD).

Le non-respect de cette obligation n’est pas sans conséquence : il peut entacher la régularité des décisions prises à partir de ces données, comme le montre un jugement récent du Tribunal judiciaire d’Amiens.

A lire également :

L'URSSAF ne peut pas vous réclamer de cotisations si elle ne respecte pas le RGPD

L’obligation d’information des personnes concernées : un principe fondamental

Le cadre juridique : loi de 1978 et directive 95/46/CE

Il résulte de l’article 32 de la loi n°78-17 du 6 janvier 1978 dite “informatique et libertés” que :

« I.- La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l'a été au préalable, par le responsable du traitement ou son représentant :

1° De l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ;

2° De la finalité poursuivie par le traitement auquel les données sont destinées ;

3° Du caractère obligatoire ou facultatif des réponses ;

4° Des conséquences éventuelles, à son égard, d'un défaut de réponse ;

5° Des destinataires ou catégories de destinataires des données ;

6° Des droits qu'elle tient des dispositions de la section 2 du présent chapitre dont celui de définir des directives relatives au sort de ses données à caractère personnel après sa mort ;

7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne ;

8° De la durée de conservation des catégories de données traitées ou, en cas d'impossibilité, des critères utilisés permettant de déterminer cette durée.

Lorsque de telles données sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions figurant aux 1°, 2°, 3° et 6°.

- (...)

III.-Lorsque les données à caractère personnel n'ont pas été recueillies auprès de la personne concernée, le responsable du traitement ou son représentant doit fournir à cette dernière les informations énumérées au I dès l'enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données.

Lorsque les données à caractère personnel ont été initialement recueillies pour un autre objet, les dispositions de l'alinéa précédent ne s'appliquent pas aux traitements nécessaires à la conservation de ces données à des fins historiques, statistiques ou scientifiques, dans les conditions prévues au livre II du code du patrimoine ou à la réutilisation de ces données à des fins statistiques dans les conditions de l'article 7 bis de la loi n° 51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en matière de statistiques. Ces dispositions ne s'appliquent pas non plus lorsque la personne concernée est déjà informée ou quand son information se révèle impossible ou exige des efforts disproportionnés par rapport à l'intérêt de la démarche (...) »

L’avis de la CNIL sur les décrets relatifs aux traitements URSSAF

Dans le cadre de sa délibération n°2017-279 du 26 octobre 2017 portant avis sur un projet de décret autorisant la mise en œuvre d'un traitement de données à caractère personnel destiné au calcul de la cotisation prévue par l'article L. 380-2 du code de la sécurité sociale et d'un traitement de données à caractère personnel destiné au contrôle de la prise en charge des frais de santé et modifiant le décret n° 2015-390 du 3 avril 2015, la CNIL a tout à la fois :

• relevé que le projet demeure silencieux sur les modalités d'information des personnes concernées ;
• observé dans le dossier joint à la saisine que le ministère renvoie au décret visant à autoriser le traitement mis en œuvre par la DGFIP [l’administration fiscale] relatif au transfert de données ;
• et rappelé que, si la DGFIP a pour obligation d'informer les personnes en ce qui concerne le traitement automatisé de transfert de données dont elle est responsable de traitement, les organismes gestionnaires des régimes obligatoires de base de l'assurance maladie devront également assurer l'information des personnes concernées pour le traitement qu'ils mettent en œuvre.

La directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données - applicable jusqu’au 25 mai 2018, donc à la présente espèce - prévoit en son article 6 qu’il incombe au responsable du traitement [des données] d’assurer le respect du paragraphe I, à savoir que les données à caractère personnel doivent être traitées loyalement et licitement.

Un manquement à l’obligation d’information ayant des conséquences juridiques lourdes

Le traitement de données par l’URSSAF : des données personnelles au sens strict

Les traitements de données autorisés par le décret n°2017-1530 du 3 novembre 2017 portent incontestablement sur des données à caractère personnel, puisqu’il s’agit à la fois de données relatives à l’identité des personnes (numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) ; civilité ; nom de famille ; nom d'usage ; prénoms ; date et lieu de naissance ; adresses de domicile et de correspondance) et de données fiscales relatives aux revenus professionnels et non professionnels des personnes (traitements et salaires ; pensions, retraites et rentes ; revenus et plus-values des professions non salariées : revenus agricoles, revenus industriels et commerciaux professionnels, revenus industriels et commerciaux non professionnels, revenus non commerciaux professionnels, revenus non commerciaux non professionnels ; revenus divers : montant net des revenus agricoles, revenus industriels et commerciaux, revenus non commerciaux non soumis aux contributions sociales par les organismes sociaux, indemnités d'élus locaux, revenus étrangers imposables en France, ouvrant droit à un crédit d'impôt égal au montant de l'impôt français ; revenus des valeurs et capitaux mobiliers ; plus-values et gains divers ; revenus fonciers ; revenus fonciers exceptionnels ou différés). Il en résulte que ces traitements entrent dans le champ de la loi du 6 janvier 1978 comme de la délibération de la CNIL n°2017-279 du 26 octobre 2017.

Il résulte de la loi susvisée du 6 janvier 1978 que l’information que ce texte prévoit doit être personnellement portée à la connaissance de la personne concernée par les données personnelles faisant l’objet du traitement, de manière claire et explicite. Ne suffisent donc pas à répondre à ces exigences les décrets à portée générale des 3 novembre 2017 et du 4 mai 2018 prévoyant le transfert de données de la DGFIP vers l’ACOSS, et pas davantage la seule référence, sur l’appel de cotisation, au site internet de l’URSSAF sur lequel “plus d’informations” seraient disponibles.

Une information défaillante : l’exemple du cas jugé à Amiens

Une cotisante a  fait valoir que l’appel de cotisation et le traitement de ses données personnelles ont été établis en violation de la Directive 95/45/CE (aujourd’hui abrogée et remplacée par le RGPD), la loi n°78-17 et l’arrêt rendu par la CJUE le 1er octobre 2015, en ce que ni l’URSSAF ni l’administration fiscale ne l’ont personnellement informée du transfert de ses données personnelles à l’URSSAF Centre Val de Loire.

Le Tribunal judiciaire d'Amiens a jugé[1] :

« L’URSSAF Centre Val de Loire ne verse pas aux débats la lettre qui aurait été adressée mi-novembre 2017 à [J] [L], cotisante concernée par la CSM, par son organisme de recouvrement. Il n’est incidemment pas allégué clairement qu’une telle lettre, présentée par l’URSSAF comme étant destinée à présenter la CSM et à évoquer les modalités de son recouvrement, aurait été porteuse des informations prévues par la loi du 6 janvier 1978.

L’appel de cotisation ne comporte pas davantage les informations devant être portées à la connaissance de la personne auprès de laquelle sont recueillies des données à caractère personnel. En effet, n’y figurent pas l’identité du responsable du traitement et, le cas échéant, celle de son représentant ; la finalité poursuivie par le traitement auquel les données sont destinées ; les destinataires ou catégories de destinataires des données ; les droits que la personne concernée tient des dispositions de la section 2 du chapitre V de la loi du 6 janvier 1978 ; et la durée de conservation des catégories de données traitées ou, en cas d'impossibilité, des critères utilisés permettant de déterminer cette durée.

Il en résulte que ni l’ACOSS, autorisée par le décret n° 2017-1530 du 3 novembre 2017 à mettre en œuvre un traitement de données à caractère personnel destiné au calcul de la CSM ainsi qu’un traitement de données à caractère personnel destiné au contrôle de la résidence, ni l’URSSAF Centre Val de Loire, responsable du traitement des données personnelles transmises par l’administration fiscale, n’ont respecté leur obligation d’information de [J] [L]. Ce faisant, ces organismes ont méconnu les dispositions de la loi du 6 janvier 1978 ainsi que le principe, posé par la directive 95/46/CE susvisée, du traitement licite, loyal et transparent des données à caractère personnel au regard de la personne concernée.

Cette circonstance n’expose pas seulement l’organisme chargé du traitement des données à d’éventuelles sanctions de la CNIL ; elle entache également d’irrégularité la décision prise sur le fondement de données traitées en violation des prescriptions légales.

Il convient en conséquence, dans les limites de la demande, de prononcer la décharge de la somme de 1 184 euros mise à la charge de [J] [L] au titre de la cotisation subsidiaire maladie afférente à l’année 2016. »

Dans cette affaire relative à la cotisation subsidiaire maladie (CSM), le Tribunal judiciaire d’Amiens a constaté que :

• aucune lettre individuelle conforme n’avait été adressée à la cotisante ;
• l’appel de cotisation ne contenait aucune des mentions légales obligatoires (identité du responsable de traitement, finalité, destinataires, durée de conservation, etc.) ;
• un simple renvoi vers un site internet de l’URSSAF ne saurait constituer une information suffisante au regard de la loi.

Le tribunal a jugé que ce manquement entraînait une irrégularité du traitement de données, justifiant la décharge de la cotisation mise à la charge de la cotisante.

Faites valoir vos droits.

Le traitement de données personnelles par l’URSSAF, même autorisé par décret, doit respecter les droits fondamentaux des personnes concernées, notamment le droit à une information claire, personnelle et préalable. À défaut, les décisions prises sur la base de ces traitements peuvent être entachées d’illégalité, comme l’a reconnu le Tribunal judiciaire d’Amiens.

Vous avez reçu un appel de cotisation de l’URSSAF sans avoir été informé du traitement de vos données personnelles ? Vous vous interrogez sur la légalité du transfert de vos informations fiscales ?

📞 Consultez Maître Éric ROCHEBLAVE, avocat expert en contentieux URSSAF.
Réservez dès maintenant une consultation confidentielle et personnalisée sur : www.rocheblave.org

[1] Tribunal judiciaire d'Amiens - CTX PROTECTION SOCIALE 31 mars 2025 / n° 24/00404

Eric ROCHEBLAVE - Avocat Spécialiste en Droit du Travail et Droit de la Sécurité Sociale

 Eric ROCHEBLAVE
PORTRAIT D'UN SPECIALISTE
Parcours, succès judiciaires, avis clients, revue de presse…

Avocat Spécialiste en Droit du Travail
et Droit de la Sécurité Sociale
Barreau de Montpellier
https://www.rocheblave.com/

Lauréat de l’Ordre des Avocats
du Barreau de Montpellier

Lauréat de la Faculté
de Droit de Montpellier

DESS Droit et Pratiques des Relations de Travail
DEA Droit Privé Fondamental
DU d’Études Judiciaires
DU de Sciences Criminelles
DU d’Informatique Juridique

Vos avis sur Maître Eric ROCHEBLAVE