Diffusion d'instructions ministérielles 2011/6 du 23/08/2011

Diffusion des instructions ministérielles 2011/6 du 23 août 2011

Caisse nationale d'assurance vieillesse

Direction juridique et réglementation nationale
Département juridique et coordination contentieux
Destinataires
Mesdames et Messieurs les Directeurs d'assurance retraite, de la caisse régionale d’assurance vieillesse de Strasbourg et des caisses générales de sécurité sociale
Objet
Règles communes d'organisation relatives aux échanges électroniques dans le cadre de l'activité des organismes de protection sociale..
Résumé
La présente circulaire détermine les conditions de sécurité et de mise en œuvre :
- des échanges dématérialisés intervenant entre organismes de protection sociale dans le cadre de leurs missions ;
- des échanges dématérialisés entre les usagers et les organismes de protection sociale.

Je vous prie de trouver ci-joint :

- La circulaire n° DSS/4C/2011/273 du 7 juillet 2011 relative aux règles d'organisation des échanges électroniques dans le cadre de l'activité des organismes de protection sociale.

- La note technique de la Direction Juridique et de la Réglementation Nationale.

Yves Corvaisier


Direction juridique et réglementation nationale
Département juridique et coordination contentieux

Note technique

Objet :

La présente circulaire a deux objectifs :

- préciser les règles d'organisation en matière d'échange électronique entre organismes de sécurité sociale d'une part, et, entre lesdits organismes et leurs assurés d'autre part ;
- présenter les procédures de contrôle mises en œuvre pour garantir la qualité de ces échanges.

Entrée en vigueur : application immédiate

1 - Les conditions de mise en œuvre des échanges dématérialisés entre les organismes de protection sociale

    11 - Les échanges de fichiers

        111 - La sécurité des échanges
        112 - La traçabilité des échanges

    12 - Les échanges par webservices

        121 - Sécurité
        122 - La traçabilité des échanges

    13 - Validité des données échangées par fichiers ou webservices

    14 - Formalisation des échanges par voie contractuelle

    15 - Echange de documents numérisés

2 - Les conditions de mise en œuvre des échanges dématérialisés entre les usagers et les organismes de protection sociale

    21 - La valeur juridique des échanges dématérialisés entre l'usager et l'organisme de protection sociale

        211 - Principe
        212 - Le cas des messages électronique
        213 - Les pièces jointes transmises par messagerie sécurisée ou téléservice - Le cas des pièces d'état civil faites en pays étranger

    22 - Le niveau de sécurité requis pour l'accès aux téléservices mis à disposition des usagers

    23 - La signature

    24 - Les accusés de réception et d'enregistrement électroniques

    25 - La gestion des dates dans le cadre des échanges dématérialisés avec les usagers

3 - Les modalités propres aux garanties dues par les organismes et au contrôle (audit et contrôle interne) mis en place

    31 - Garanties et charge de la preuve

        311 - Le principe : la garantie propre à l'émetteur
        312 - Modalités de conservation
        313 - Principes de communication des données

    32 - Le contrôle interne des échanges

        321 - Principe
        322 - La surveillance du dispositif

1 - Les conditions de mise en œuvre des échanges dématérialisés entre les organismes de protection sociale

La présente circulaire s'applique aussi bien :

- aux échanges dématérialisés entre organismes de la sphère sociale réalisés au moyen de fichiers électroniques (ci-après dénommés " les échanges de fichiers ") ;
- qu'aux échanges dématérialisés entre organismes de protection sociale réalisés via un webservice utilisant un standard d'interopérabilité (ci-après dénommé " webservice ").

11- Les échanges de fichiers

111 - La sécurité des échanges

Les organismes procédant à un échange de fichiers doivent respecter les procédures et mesures de sécurité déterminées par le Référentiel Général de Sécurité (RGS, approuvé par arrêté du 6 mai 2010).

Chaque organisme détermine les Politiques de Sécurité des Systèmes d'Information (PSSI), afin de permettre la mise en œuvre et le maintien d'un environnement technique opérationnel garantissant la sécurité des échanges.

112 - La traçabilité des échanges

Chacun des organismes concernés par l'échange de fichiers est tenu de conserver toutes les traces des échanges afin de répondre aux exigences de sécurité nécessaires.

Ainsi, l'organisme récepteur des échanges devra conserver le fichier le temps nécessaire à son exploitation complète, tandis que l'organisme émetteur conservera les échanges dématérialisés aux fins de preuve, en fonction des textes qui leur sont applicables.

12 - Les échanges par webservices

Les échanges par webservices correspondent à une technologie permettant à des applications de communiquer à distance en utilisant un ensemble de protocoles d'échanges standards, appelé standard INTEROPS, dont les principes ont été fixés par les organismes de protection sociale. L'objectif de ce standard est de permettre auxdits organismes d'échanger des informations en temps réel et de manière sécurisée.

121 - Sécurité

Les organismes de protection sociale ont respectivement fixé des règles qui portent d'une part, sur les aspects relatifs à la sécurité physique (protection de leurs matériels, de leurs locaux, contre les risques d'accès non autorisés, de destruction des données), et d'autre part, sur les aspects relatifs à la sécurité logique à propos desquels deux modes de gestions font l'objet de l'établissement de conditions de sécurité spécifiques. Il s'agit de la gestion des habilitations, et de la gestion des certificats dans le cadre du standard INTEROPS.

122 - La traçabilité des échanges

Les règles de conservation des traces (traces de connexion et traces de constitution de vecteur d'identification [clé d'accès]), sont définies par le standard INTEROPS. Ces règles fixent les conditions d'accès aux traces, et le délai de conservation de celles-ci.

13 - Validité des données échangées par fichiers ou webservices

Quelque soit le mode d'échange dématérialisé employé (échange de fichier ou webservices), les données communiquées sont réputées valides au jour de leur transmission pour les traitements propres à leur activité et à l'intégration éventuelle dans leur système d'information, sous réserve du respect des conditions énoncées en matière de sécurité (11), traçabilité (12), et de dispositif de contrôle interne (point 3).

14 - Formalisation des échanges par voie contractuelle

Tout échange de données, quelque soit le mode utilisé, donne lieu à une procédure de contractualisation entre les administrations et/ou les organismes de protection sociale concernés.

15 - Echange de documents numérisés

Dans le cas où seuls des documents numérisés pourraient faire l'objet de transmission à l'attention d'autres organismes ou des usagers (notamment dans une phase de transition), ces échanges devront respecter les conditions posées par l'article 1316-1 du code civil, qui énonce que l'écrit électronique a la même valeur qu'un écrit papier, sous réserve que :

- puisse être dûment identifiée la personne dont il émane ;
- et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité.

La circulaire précise les conditions à respecter pour assurer la validité de l'écrit électronique.

2 - Les conditions de mise en œuvre des échanges dématérialisés entre les usagers et les organismes de protection sociale

21 - La valeur juridique des échanges dématérialisés entre l'usager et l'organisme de protection sociale

211 - Principe

Il résulte de l'article 3 de l'ordonnance 2005-1516 du 8 décembre 2005 qu'une administration ou un organisme de protection sociale, peut répondre par voie électronique à toute demande ou information qui lui a été adressée sous cette forme par un usager, et dont il a été accusé réception.

212 - Le cas des messages électroniques

La présente circulaire décrit les conditions que doivent remplir les messages électronique pour être sécurisés.

213 - Les pièces jointes transmises par messagerie sécurisée ou téléservice - le cas des pièces d'état civil faites en pays étranger

La communication d'une copie dématérialisée de l'acte d'état civil est possible, mais devra nécessairement répondre aux conditions de sécurité susvisées.

22 - Le niveau de sécurité requis pour l'accès aux téléservices mis à disposition des usagers

Principe : Les démarches effectuées par les usagers au moyen d'un téléservice seront considérées par les organismes comme valables, sous réserve du respect de règles techniques (notamment, accès sécurisé, règles de sécurité permettant d'identifier le demandeur, la date et la nature de la démarche …).

Niveau minimum de sécurité : Afin de pouvoir s'assurer de l'identité de l'usager qui utilise un téléservice, les procédures d'authentification mises en place par les organismes de protection sociale doivent respecter un niveau commun de sécurité minimum aboutissant à l'authentification certaine de l'usager.

23 - La signature

Dés lors que la demande est régulièrement effectuée par le biais d'un téléservice, conformément aux règles d'identification et d'acceptabilité des demandes saisies en ligne, telles que décrites ci-dessus, la démarche est considérée comme ayant été régulièrement effectuée, et ce, sans qu'il soit fait obligation à l'usager d'apposer sa signature.

24 - Les accusés de réception et d'enregistrement électroniques

Toute demande, déclaration ou production de documents adressée par un usager à une autorité administrative par voie électronique ainsi que tout paiement opéré dans le cadre d'un téléservice fait l'objet d'un accusé de réception électronique et, lorsque celui-ci n'est pas instantané, d'un accusé d'enregistrement électronique.

La circulaire expose les règles que doivent remplir les accusés de réception et d'enregistrement électroniques.

25 - La gestion des dates dans le cadre des échanges dématérialisés avec les usagers

Conformément à l'ordonnance précitée, lors de toute demande, information ou production de document par voie électronique entre un usager et l'administration ou l'organisme de protection sociale, la date figurant sur l'accusé de réception, ou, à défaut, sur l'accusé d'enregistrement, fait foi.

3 - Les modalités propres aux garanties dues par les organismes et au contrôle (audit et contrôle interne) mis en place

31 - Garanties et charge de la preuve.

311 - Le principe : la garantie propre à l'émetteur

L'organisme émetteur à l'origine de données qu'il a lui-même établies ou, qu'il a reçus d'un autre organisme, ou d'un assuré :

- est garant de la fiabilité de ces données, vis-à-vis de l'organisme récepteur à qui il les transmet ou dont il alimente le système d'information ;
- est également garant de la conformité de ces données à celles dont il est à l'origine ou à celles qu'il a reçues d'un autre organisme, ou d'un assuré.

312 - Modalités de conservation

Pendant toute la durée légale de conservation applicable à chaque organisme, l'émetteur conserve les données dans des conditions permettant d'en garantir l'imputabilité, l'intégrité, la fidélité, la durabilité/pérennité, ainsi que l'accessibilité.

313 - Principes de communication des données

Le principe de communication des données s'applique autant :

- à l'organisme émetteur, auquel l'organisme récepteur peut demander une copie du document ou les éléments de traçabilité associés ;
- qu'à l'usager qui dispose de données ou de documents originaux, et qui devra pouvoir en fournir un exemplaire.

32 - Le contrôle interne des échanges

321 - Principe

Les organismes ou partie à un échange de données par voie électronique sont non seulement tenus de définir un dispositif de contrôle interne, mais aussi de prévoir un dispositif coordonné de contrôle interne des échanges.

322 - La surveillance du dispositif

Les parties à un échange s'engagent notamment à transmettre à leur partenaire et sur leur demande, le rapport relatif à la description de leur contrôle interne et, à autoriser la réalisation d'audits des dispositifs de contrôle interne à l'initiative du partenaire.