Acte réglementaire relatif au dossier cotisant
en ligne (DCL)
NOR : SANS0530234X
Conseil dadministration
Séance du 26 novembre 2004
Le conseil dadministration de lAgence centrale des organismes de sécurité sociale,
Vu la loi 78-17 du 6 janvier 1978 relative à linformatique, aux fichiers et aux libertés, notamment ses articles 15, 20 et 30 ;
Vu le décret no 78-774 du 17 juillet 1978 modifié par les décrets no 78-1223 du 28 décembre 1978 et no 79-421 du 30 mai 1979 et no 80-1030 du 18 décembre 1980 ;
Vu les articles L. 225.1 et L. 225.1.1 du code de la sécurité sociale ;
Vu larticle L. 133-5 du code de la sécurité sociale ;
Vu la loi no 94637 du 25 juillet 1994 relative à la sécurité sociale ;
Vu lavis de la Commission nationale de linformatique et des libertés no 1030339 en date du 21 octobre 2004.
Décide :
Article 1er
Il est créé, par lAgence centrale des organismes de sécurité sociale, un site national « www.compte.urssaf.fr », Dossier du cotisant en ligne (DCL), permettant, aux cotisants abonnés au service, de consulter leur compte à distance et déchanger en ligne avec lorganisme de recouvrement :
- visualiser les informations administratives et comptables des comptes pour lesquels les établissements de lentreprise sont immatriculés à lURSSAF ;
- adresser des demandes à leur URSSAF ;
- recevoir, de façon optionnelle, des notifications par voie dématérialisée.
Un outil de suivi interne permet aux URSSAF de visualiser les mêmes informations que le cotisant, sans son mot de passe, et de répondre aux demandes effectuées sur le site.
Article 2
Les informations nominatives prises en compte par le traitement sont de 2 ordres :
1. La mise à disposition des informations via les pages de consultation :
- situation globale pour lensemble des comptes ;
- situation dun compte et dun établissement ;
- solde débiteur, détail de léchéancier de régularisation du débit, le cas échéant ;
- solde créditeur, le cas échéant ;
- dernières déclarations, détail des déclarations ;
- derniers versements ;
- dates clés (calendrier des exigibilités).
2. Le recueil déléments de personnalisation via la fonction de demandes en ligne.
Le détail des informations de ces thèmes est fourni en annexe 12.1.
Article 3
Les données de la base de données DCL sont rafraîchies quotidiennement à partir des informations du compte contenues dans le système de gestion interne.
Les demandes réalisées par le cotisant sont conservées trois ans et demi 1 dans la base DCL.
Article 4
Les destinataires des informations nominatives sont :
- les cotisants eux-mêmes, et toute autre personne possédant une habilitation, pour les comptes concernés ;
- les gestionnaires de comptes en URSSAF, pour traiter les demandes relatives aux comptes gérés dans leur URSSAF ou pour visualiser les comptes gérés dans dautres URSSAF leur ayant délégué laccès en consultation ;
- éventuellement à terme dautres organismes, uniquement en consultation, dans des conditions fixées par convention avec lACOSS.
Article 5
Le droit daccès prévu par larticle 34 de la loi no 78-17 du 6 janvier 1978 sexerce uniquement auprès du directeur de lUnion de recouvrement dont dépend le cotisant.
Lalinéa 2 de larticle 26 de la loi du 6 janvier 1978 est applicable au présent traitement.
Article 6
Le présent dossier vaut également pour les organismes internes à la branche du recouvrement, URSSAF, CGSS et CERTI, les dispensant deffectuer une déclaration simplifiée.
Article 7
La présente décision sera publiée dans le Bulletin officiel du ministère des affaires sociales du travail et de la solidarité et/ou sera affichée dans les locaux des unions de recouvrement.
ANNEXE V
Ladresse des lieux dimplantation des moyens centraux et périphériques utilisés pour le traitement est :
Le point daccueil national est situé sur une plate-forme hébergée dans le CERTI de Lille, sur 2 sites distincts : 13, rue Denis-Papin, parc Club des Prés, 59658 Villeneuve-dAscq Cedex et 6, rue du Carrousel, parc de la Cimaise, 59650 Villeneuve-dAscq Cedex.
Les serveurs propres à lapplication DCL sont situés dans les centres informatiques régionaux :
- CIPAM Marseille, 20, avenue Viton, 13009 Marseille ;
- CERTI de Lyon, rue Jacques-Monod, 69552 Feyzin Cedex ;
- CERTI de Nancy, 12, rue du Bois-de-la-Champelle, parc dactivités de Brabois, 54500 Vandoeuvre-lès-Nancy ;
- UNICA de Caen, 20, rue Alfred-Kastler, 14063 Caen Cedex ;
- CIRSO de Toulouse, avenue dAtlanta, 31020 Toulouse Cedex 02 ;
- URSSAF de Paris, 3, rue Franklin, 93104 Montreuil Principal Cedex ;
- CIRTI de Nantes, 2 et 4, rue de Coulongé, 44328 Nantes Cedex 03.
ANNEXE VII
HISTORIQUE DU TRAITEMENT ET OBJECTIFS RECHERCHÉS FINALITÉ DU TRAITEMENT, UTILISATEURS DU TRAITEMENT, LIEN AVEC DAUTRES TRAITEMENTS
Ce traitement est mis en place dans le but doffrir à lensemble des cotisants laccès via internet aux informations de son(ses) compte(s), quelle quen soit lURSSAF de gestion, et de développer des services interactifs permettant dintervenir facilement auprès de lURSSAF.
Les utilisateurs sont :
- les cotisants dentreprises relevant du régime général (y compris les utilisateurs du TEE ou CEA), sur abonnement, ainsi que toute personne dûment habilitée (expert comptable) ;
- les cotisants travailleurs indépendants également sur abonnement ;
- les gestionnaires de comptes en URSSAF.
Lapplication « Dossier du cotisant en ligne » sinterface avec :
- le système national de production du recouvrement (SNV2) qui gère les comptes, pour permettre la restitution de la situation du compte ;
- eventuellement le workflow ou la messagerie de lURSSAF pour traitement des demandes effectuées dans DCL ;
- le portail national daccueil, en charge de lidentification des cotisants (fonction partagée avec les services de télédéclaration / télérèglement du recouvrement).
ANNEXE VIII
Mesures administratives et techniques prises pour faciliter lexercice du droit daccès :
La demande du droit daccès seffectue par courrier postal auprès du directeur de lURSSAF de rattachement ou par mél sur le site (demande libre).
ANNEXE X
Ce traitement donne-t-il lieu à des informations entre le territoire français et létranger ? non.
ANNEXE XII
CARACTÉRISTIQUES DE LAPPLICATION
Lapplication sappuie sur des produits open source : système dexploitation Linux ReadHat 9.0 sécurisé, SGBD PostGRESQL, Tomcat, Apache.
Lapplication DCL permet de consulter des pages dinformations et des données individualisées (basées uniquement sur de la restitution dinformations, sans possibilité de traitement ou de calcul pour le consultant), et denregistrer des demandes personnalisées.
ANNEXE XII-1
a) Liste des informations utilisées
Pour se connecter :
Lidentification de labonné se fait à partir de la saisie dun SIRET et du mot de passe associé (ce dernier peut être changé à tout moment par labonné, sur le site).
Pour établir les demandes :
Les demandes sont présentées sous forme de formulaires pré-établis, pré-renseignés des données didentification du cotisant, de son compte et de lorganisme concerné. Pour chaque type de demande, des données obligatoires sont à saisir par le cotisant, ainsi quune zone de texte libre (motif) :
- demande de délai de paiement ; les informations supplémentaires demandées sont :
- mode de paiement souhaité ;
- nombre déchéances ;
- montant souhaité de chaque échéance ;
- motif ;
- demande de remise de majorations ou pénalités ; les informations demandées sont :
- périodes ;
- motif ;
- demande de remboursement :
- période concernée ;
- compte bancaire ;
- motif ;
- demande dattestation en vue de concourir à un marché public ;
- demande de recours en CRA :
- montant de la dette ;
- motif ;
- demande de modifications de données administratives :
- adresse de correspondance ;
- numéro de téléphone ;
- numéro de fax ;
- demande libre :
- motif (zone de texte libre).
Auxquelles sajoutent des demandes spécifiques aux travailleurs indépendants :
- demande dadhésion au prélèvement automatique trimestriel ;
- demande de résiliation du prélèvement automatique trimestriel ;
- demande dadhésion à la mensualisation ;
- demande de régularisation ou ajustement anticipé.
Pour établir des statistiques sur les comportements des utilisateurs :
- date, heure et connexion ;
- durée de connexion ;
- pages visitées.
b) Types de raisonnement programmé
Pour la consultation du compte : aucun. Lapplication se base uniquement sur de la restitution dinformations. Des filtres sont appliqués lors du chargement quotidien de la base DCL à partir des comptes cotisants, pour nafficher que les informations pertinentes pour le cotisant (exclure lhistorique prescrit par exemple).
Pour les demandes : contrôle sur des éléments du compte pour vérifier la cohérence de la demande par rapport à létat du compte (par exemple un solde débiteur en cas de demande de délais de paiement).
c) Liste des informations produites
Les informations restituées au cotisant lors de sa connexion sont listées classées par page dans lesquelles elles sont présentées au visiteur. Certaines sont spécifiques à une catégorie demployeur (régime général (RG) ou travailleurs indépendants (TI) ou praticiens auxiliaires médicaux (PAM)).
Des exemples de pages du site sont fournis en fin de document.
Situation du compte :
- état du compte ;
- code N.A.F ;
- date dimmatriculation ;
- périodicité des obligations ;
- adhésion télématique ;
- no SIREN ;
- no RCS ;
- adresse du siège ;
- téléphone ;
- téléphone portable le cas échéant ;
- fax ;
- effectif global de lentreprise (RG) ;
- coordonnées bancaires ;
- NIR (TI/PAM) ;
- numéro de médecin (PAM) ;
- catégorie professionnelle (PAM).
Pour chaque établissement :
- SIRET et adresse ;
- activité ;
- date de fermeture de létablissement ;
- code NAF ;
- le ou les taux de cotisation Accidents du travail.
Dates clés :
Pour une entreprise du régime général, affichage de ses prochaines dates de :
- déclaration des salaires et paiement des cotisations ;
- déclaration du tableau récapitulatif annuel des salaires ;
- paiement de la prochaine échéance dans le cadre dun accord de délais, le cas échéant.
Soldes débiteurs :
- date du constat du débit ;
- période de référence ;
- montant global dû ;
- accord de délais de paiement ;
- nature et origine du débit ;
- pénalités ;
- majorations de retard ;
- frais de justice.
Ainsi que la ventilation du solde en cotisations selon la catégorie :
- part ouvrière / part patronale (RG) ;
- AF, CSG, CRDS / CFP, CUM (TI) ;
- maladie (PAM).
Soldes créditeurs :
Liste des versements entraînant un solde créditeur avec pour chacun :
- date du versement ;
- origine du versement ;
- montant.
Historiques des déclarations / consultation des échéances :
Pour le RG, affichage des déclarations réalisées depuis le dernier tableau récapitulatif, avec pour chacune :
- période de déclaration ;
- date de la déclaration ;
- date dexigibilité ;
- montant des cotisations.
Pour les TI/PAM, affichage de toutes les échéances de paiement de lexercice en cours, avec pour chacune :
- montant dû ;
- date dexigibilité.
Détail dune échéance :
Pour le RG :
- effectif ayant perçu les salaires ;
- effectif inscrit au dernier jour de la période ;
- décompte des cotisations dues : catégorie de salarié, effectif exonéré, type, base, salaires, taux, taux AT, total des taux ;
- liste des montants à déduire : catégorie de salarié, type, montant, libellé de lexonération ;
- total des cotisations.
Pour les TI/PAM :
- détail du montant de chaque cotisation (AF, CSG, CFP, CUM).
Exercice :
Les TI/PAM ont également accès à la consultation :
- du récapitulatif de leurs cotisations de lannée ;
- des bases retenues pour le calcul de leurs cotisations, cest-à-dire les bases des trois dernières années intervenant dans le calcul des cotisations dues pour lexercice en cours, avec les informations suivantes :
- année de référence ;
- revenu ;
- charges sociales ;
- revenu de remplacement.
Historiques des paiements :
Pour le RG, affichage des versements depuis le dernier TR :
- date de versement ;
- montant ;
- mode de versement.
Consultation de laccord de délai le cas échéant :
- date de laccord ;
- période de référence de la dette ;
- date de la première échéance ;
- périodicité des échéances ;
- nombre déchéances ;
- montant total ;
- montant restant dû ;
- + détail des échéances (numéro, date, montant, option de paiement).
Consultation de la boîte aux lettres :
Labonnement au service DCL prévoit en option lutilisation de services de messagerie.
Ce service de messagerie permet au cotisant sil le souhaite de recevoir directement dans sa boîte aux lettre DCL certains documents habituellement transmis par courrier (attestation pour marchés publics par exemple).
En complément, une fonction davertissement, également optionnelle, permet au cotisant de recevoir, via mél, un message linformant de larrivée dun courrier dans sa boîte aux lettres DCL et linvitant à venir consulter cette dernière.
Les réponses aux demandes effectuées par le site, ou lenvoi des notifications dématérialisées, si le cotisant sest abonné à cette fonctionnalité, sont transmises dans la boîte aux lettres DCL et non dans la messagerie du cotisant, pour garantir la confidentialité (accès avec mot de passe).
ANNEXE XII-2
ÉLÉMENTS SUCCINCTS SUR LARCHITECTURE
DES MOYENS UTILISÉS
Larchitecture propre au site DCL, installée dans chacun des centres informatiques régionaux, est une architecture n-Tiers, basée sur 4 serveurs (chacun placé dans une zone sécurisée), accessibles à travers des pare feux :
- 3 serveurs frontaux :
- un serveur HTTP Apache ;
- un serveur dapplication TOMCAT ;
- un serveur de base de données PostgreSQL ;
- 1 serveur back office.
Ces 4 serveurs sont gérés par une console dadministration et de supervision.
Le système dexploitation commun à lensemble de ces équipements est Linux ReadHat 9.0 sécurisée.
Les outils de sécurisation sont adaptés par chaque centre informatique, mais reposent tous a minima sur lutilisation de pare-feux, de routeurs sécurisés et de sous-réseaux.
Ces mécanismes de protection sont complétés par la mise en place dune fonction dauthentification du serveur portail, qui permet daccéder aux serveurs du site DCL par un lien sécurisé :
- labonné se connecte au portail daccueil national et sidentifie ;
- le centre régional reconnaît le portail émetteur ;
- les habilitations du cotisant et le compte consulté sont communiqués par un cookie de session crypté (détruit lors de la fermeture du navigateur).
ANNEXE XIII
SÉCURITÉ PHYSIQUE DU MATÉRIEL, CLEFS DE SÉCURITÉ ET CONTRÔLE DACCÈS, SOLUTIONS DE SECOURS, TYPES DE PERSONNEL HABILITÉS AUX DIVERS ACCÈS
Les serveurs sont situés dans des salles informatiques et bénéficient des mêmes protections physiques que les autres matériels décrits à la CNIL (contrôle daccès aux salles machines, gardiennage).
ANNEXE XVI
SI DES INFORMATIONS SONT FOURNIES À UN TIERS, EXPLIQUER LA FINALITÉ, LES CONDITIONS JURIDIQUES, LES MODALITÉS PRATIQUES DE LA CESSION, LINTERCONNEXION
Laccès au dossier peut être fourni à une autre personne que le cotisant lui-même : un expert comptable, par exemple, en tant que tiers déclarant pour le compte dune entreprise, peut avoir accès à la consultation du compte de lentreprise. Toutefois cette possibilité est entourée de toutes les précautions permettant de garantir au cotisant la confidentialité des données de son compte et sassurer de la délégation de son accord.
Plusieurs personnes peuvent donc être abonnées à la consultation dun même compte URSSAF.