Acte réglementaire relatif au dossier cotisant
en ligne (DCL)
NOR : SANS0530234X
Conseil d’administration
Séance du 26 novembre 2004
Le conseil d’administration de l’Agence centrale des organismes de sécurité sociale,
Vu la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 15, 20 et 30 ;
Vu le décret no 78-774 du 17 juillet 1978 modifié par les décrets no 78-1223 du 28 décembre 1978 et no 79-421 du 30 mai 1979 et no 80-1030 du 18 décembre 1980 ;
Vu les articles L. 225.1 et L. 225.1.1 du code de la sécurité sociale ;
Vu l’article L. 133-5 du code de la sécurité sociale ;
Vu la loi no 94637 du 25 juillet 1994 relative à la sécurité sociale ;
Vu l’avis de la Commission nationale de l’informatique et des libertés no 1030339 en date du 21 octobre 2004.
Décide :
Article 1er
Il est créé, par l’Agence centrale des organismes de sécurité sociale, un site national « www.compte.urssaf.fr », Dossier du cotisant en ligne (DCL), permettant, aux cotisants abonnés au service, de consulter leur compte à distance et d’échanger en ligne avec l’organisme de recouvrement :
- visualiser les informations administratives et comptables des comptes pour lesquels les établissements de l’entreprise sont immatriculés à l’URSSAF ;
- adresser des demandes à leur URSSAF ;
- recevoir, de façon optionnelle, des notifications par voie dématérialisée.
Un outil de suivi interne permet aux URSSAF de visualiser les mêmes informations que le cotisant, sans son mot de passe, et de répondre aux demandes effectuées sur le site.
Article 2
Les informations nominatives prises en compte par le traitement sont de 2 ordres :
1. La mise à disposition des informations via les pages de consultation :
- situation globale pour l’ensemble des comptes ;
- situation d’un compte et d’un établissement ;
- solde débiteur, détail de l’échéancier de régularisation du débit, le cas échéant ;
- solde créditeur, le cas échéant ;
- dernières déclarations, détail des déclarations ;
- derniers versements ;
- dates clés (calendrier des exigibilités).
2. Le recueil d’éléments de personnalisation via la fonction de demandes en ligne.
Le détail des informations de ces thèmes est fourni en annexe 12.1.
Article 3
Les données de la base de données DCL sont rafraîchies quotidiennement à partir des informations du compte contenues dans le système de gestion interne.
Les demandes réalisées par le cotisant sont conservées trois ans et demi 1 dans la base DCL.
Article 4
Les destinataires des informations nominatives sont :
- les cotisants eux-mêmes, et toute autre personne possédant une habilitation, pour les comptes concernés ;
- les gestionnaires de comptes en URSSAF, pour traiter les demandes relatives aux comptes gérés dans leur URSSAF ou pour visualiser les comptes gérés dans d’autres URSSAF leur ayant délégué l’accès en consultation ;
- éventuellement à terme d’autres organismes, uniquement en consultation, dans des conditions fixées par convention avec l’ACOSS.
Article 5
Le droit d’accès prévu par l’article 34 de la loi no 78-17 du 6 janvier 1978 s’exerce uniquement auprès du directeur de l’Union de recouvrement dont dépend le cotisant.
L’alinéa 2 de l’article 26 de la loi du 6 janvier 1978 est applicable au présent traitement.
Article 6
Le présent dossier vaut également pour les organismes internes à la branche du recouvrement, URSSAF, CGSS et CERTI, les dispensant d’effectuer une déclaration simplifiée.
Article 7
La présente décision sera publiée dans le Bulletin officiel du ministère des affaires sociales du travail et de la solidarité et/ou sera affichée dans les locaux des unions de recouvrement.
ANNEXE V
L’adresse des lieux d’implantation des moyens centraux et périphériques utilisés pour le traitement est :
Le point d’accueil national est situé sur une plate-forme hébergée dans le CERTI de Lille, sur 2 sites distincts : 13, rue Denis-Papin, parc Club des Prés, 59658 Villeneuve-d’Ascq Cedex et 6, rue du Carrousel, parc de la Cimaise, 59650 Villeneuve-d’Ascq Cedex.
Les serveurs propres à l’application DCL sont situés dans les centres informatiques régionaux :
- CIPAM Marseille, 20, avenue Viton, 13009 Marseille ;
- CERTI de Lyon, rue Jacques-Monod, 69552 Feyzin Cedex ;
- CERTI de Nancy, 12, rue du Bois-de-la-Champelle, parc d’activités de Brabois, 54500 Vandoeuvre-lès-Nancy ;
- UNICA de Caen, 20, rue Alfred-Kastler, 14063 Caen Cedex ;
- CIRSO de Toulouse, avenue d’Atlanta, 31020 Toulouse Cedex 02 ;
- URSSAF de Paris, 3, rue Franklin, 93104 Montreuil Principal Cedex ;
- CIRTI de Nantes, 2 et 4, rue de Coulongé, 44328 Nantes Cedex 03.
ANNEXE VII
HISTORIQUE DU TRAITEMENT ET OBJECTIFS RECHERCHÉS FINALITÉ DU TRAITEMENT, UTILISATEURS DU TRAITEMENT, LIEN AVEC D’AUTRES TRAITEMENTS
Ce traitement est mis en place dans le but d’offrir à l’ensemble des cotisants l’accès via internet aux informations de son(ses) compte(s), quelle qu’en soit l’URSSAF de gestion, et de développer des services interactifs permettant d’intervenir facilement auprès de l’URSSAF.
Les utilisateurs sont :
- les cotisants d’entreprises relevant du régime général (y compris les utilisateurs du TEE ou CEA), sur abonnement, ainsi que toute personne dûment habilitée (expert comptable) ;
- les cotisants travailleurs indépendants également sur abonnement ;
- les gestionnaires de comptes en URSSAF.
L’application « Dossier du cotisant en ligne » s’interface avec :
- le système national de production du recouvrement (SNV2) qui gère les comptes, pour permettre la restitution de la situation du compte ;
- eventuellement le workflow ou la messagerie de l’URSSAF pour traitement des demandes effectuées dans DCL ;
- le portail national d’accueil, en charge de l’identification des cotisants (fonction partagée avec les services de télédéclaration / télérèglement du recouvrement).
ANNEXE VIII
Mesures administratives et techniques prises pour faciliter l’exercice du droit d’accès :
La demande du droit d’accès s’effectue par courrier postal auprès du directeur de l’URSSAF de rattachement ou par mél sur le site (demande libre).
ANNEXE X
Ce traitement donne-t-il lieu à des informations entre le territoire français et l’étranger ? non.
ANNEXE XII
CARACTÉRISTIQUES DE L’APPLICATION
L’application s’appuie sur des produits open source : système d’exploitation Linux ReadHat 9.0 sécurisé, SGBD PostGRESQL, Tomcat, Apache.
L’application DCL permet de consulter des pages d’informations et des données individualisées (basées uniquement sur de la restitution d’informations, sans possibilité de traitement ou de calcul pour le consultant), et d’enregistrer des demandes personnalisées.
ANNEXE XII-1
a) Liste des informations utilisées
Pour se connecter :
L’identification de l’abonné se fait à partir de la saisie d’un SIRET et du mot de passe associé (ce dernier peut être changé à tout moment par l’abonné, sur le site).
Pour établir les demandes :
Les demandes sont présentées sous forme de formulaires pré-établis, pré-renseignés des données d’identification du cotisant, de son compte et de l’organisme concerné. Pour chaque type de demande, des données obligatoires sont à saisir par le cotisant, ainsi qu’une zone de texte libre (motif) :
- demande de délai de paiement ; les informations supplémentaires demandées sont :
- mode de paiement souhaité ;
- nombre d’échéances ;
- montant souhaité de chaque échéance ;
- motif ;
- demande de remise de majorations ou pénalités ; les informations demandées sont :
- périodes ;
- motif ;
- demande de remboursement :
- période concernée ;
- compte bancaire ;
- motif ;
- demande d’attestation en vue de concourir à un marché public ;
- demande de recours en CRA :
- montant de la dette ;
- motif ;
- demande de modifications de données administratives :
- adresse de correspondance ;
- numéro de téléphone ;
- numéro de fax ;
- demande libre :
- motif (zone de texte libre).
Auxquelles s’ajoutent des demandes spécifiques aux travailleurs indépendants :
- demande d’adhésion au prélèvement automatique trimestriel ;
- demande de résiliation du prélèvement automatique trimestriel ;
- demande d’adhésion à la mensualisation ;
- demande de régularisation ou ajustement anticipé.
Pour établir des statistiques sur les comportements des utilisateurs :
- date, heure et connexion ;
- durée de connexion ;
- pages visitées.
b) Types de raisonnement programmé
Pour la consultation du compte : aucun. L’application se base uniquement sur de la restitution d’informations. Des filtres sont appliqués lors du chargement quotidien de la base DCL à partir des comptes cotisants, pour n’afficher que les informations pertinentes pour le cotisant (exclure l’historique prescrit par exemple).
Pour les demandes : contrôle sur des éléments du compte pour vérifier la cohérence de la demande par rapport à l’état du compte (par exemple un solde débiteur en cas de demande de délais de paiement).
c) Liste des informations produites
Les informations restituées au cotisant lors de sa connexion sont listées classées par page dans lesquelles elles sont présentées au visiteur. Certaines sont spécifiques à une catégorie d’employeur (régime général (RG) ou travailleurs indépendants (TI) ou praticiens auxiliaires médicaux (PAM)).
Des exemples de pages du site sont fournis en fin de document.
Situation du compte :
- état du compte ;
- code N.A.F ;
- date d’immatriculation ;
- périodicité des obligations ;
- adhésion télématique ;
- no SIREN ;
- no RCS ;
- adresse du siège ;
- téléphone ;
- téléphone portable le cas échéant ;
- fax ;
- effectif global de l’entreprise (RG) ;
- coordonnées bancaires ;
- NIR (TI/PAM) ;
- numéro de médecin (PAM) ;
- catégorie professionnelle (PAM).
Pour chaque établissement :
- SIRET et adresse ;
- activité ;
- date de fermeture de l’établissement ;
- code NAF ;
- le ou les taux de cotisation Accidents du travail.
Dates clés :
Pour une entreprise du régime général, affichage de ses prochaines dates de :
- déclaration des salaires et paiement des cotisations ;
- déclaration du tableau récapitulatif annuel des salaires ;
- paiement de la prochaine échéance dans le cadre d’un accord de délais, le cas échéant.
Soldes débiteurs :
- date du constat du débit ;
- période de référence ;
- montant global dû ;
- accord de délais de paiement ;
- nature et origine du débit ;
- pénalités ;
- majorations de retard ;
- frais de justice.
Ainsi que la ventilation du solde en cotisations selon la catégorie :
- part ouvrière / part patronale (RG) ;
- AF, CSG, CRDS / CFP, CUM (TI) ;
- maladie (PAM).
Soldes créditeurs :
Liste des versements entraînant un solde créditeur avec pour chacun :
- date du versement ;
- origine du versement ;
- montant.
Historiques des déclarations / consultation des échéances :
Pour le RG, affichage des déclarations réalisées depuis le dernier tableau récapitulatif, avec pour chacune :
- période de déclaration ;
- date de la déclaration ;
- date d’exigibilité ;
- montant des cotisations.
Pour les TI/PAM, affichage de toutes les échéances de paiement de l’exercice en cours, avec pour chacune :
- montant dû ;
- date d’exigibilité.
Détail d’une échéance :
Pour le RG :
- effectif ayant perçu les salaires ;
- effectif inscrit au dernier jour de la période ;
- décompte des cotisations dues : catégorie de salarié, effectif exonéré, type, base, salaires, taux, taux AT, total des taux ;
- liste des montants à déduire : catégorie de salarié, type, montant, libellé de l’exonération ;
- total des cotisations.
Pour les TI/PAM :
- détail du montant de chaque cotisation (AF, CSG, CFP, CUM).
Exercice :
Les TI/PAM ont également accès à la consultation :
- du récapitulatif de leurs cotisations de l’année ;
- des bases retenues pour le calcul de leurs cotisations, c’est-à-dire les bases des trois dernières années intervenant dans le calcul des cotisations dues pour l’exercice en cours, avec les informations suivantes :
- année de référence ;
- revenu ;
- charges sociales ;
- revenu de remplacement.
Historiques des paiements :
Pour le RG, affichage des versements depuis le dernier TR :
- date de versement ;
- montant ;
- mode de versement.
Consultation de l’accord de délai le cas échéant :
- date de l’accord ;
- période de référence de la dette ;
- date de la première échéance ;
- périodicité des échéances ;
- nombre d’échéances ;
- montant total ;
- montant restant dû ;
- + détail des échéances (numéro, date, montant, option de paiement).
Consultation de la boîte aux lettres :
L’abonnement au service DCL prévoit en option l’utilisation de services de messagerie.
Ce service de messagerie permet au cotisant s’il le souhaite de recevoir directement dans sa boîte aux lettre DCL certains documents habituellement transmis par courrier (attestation pour marchés publics par exemple).
En complément, une fonction d’avertissement, également optionnelle, permet au cotisant de recevoir, via mél, un message l’informant de l’arrivée d’un courrier dans sa boîte aux lettres DCL et l’invitant à venir consulter cette dernière.
Les réponses aux demandes effectuées par le site, ou l’envoi des notifications dématérialisées, si le cotisant s’est abonné à cette fonctionnalité, sont transmises dans la boîte aux lettres DCL et non dans la messagerie du cotisant, pour garantir la confidentialité (accès avec mot de passe).
ANNEXE XII-2
ÉLÉMENTS SUCCINCTS SUR L’ARCHITECTURE
DES MOYENS UTILISÉS
L’architecture propre au site DCL, installée dans chacun des centres informatiques régionaux, est une architecture n-Tiers, basée sur 4 serveurs (chacun placé dans une zone sécurisée), accessibles à travers des pare feux :
- 3 serveurs frontaux :
- un serveur HTTP Apache ;
- un serveur d’application TOMCAT ;
- un serveur de base de données PostgreSQL ;
- 1 serveur back office.
Ces 4 serveurs sont gérés par une console d’administration et de supervision.
Le système d’exploitation commun à l’ensemble de ces équipements est Linux ReadHat 9.0 sécurisée.
Les outils de sécurisation sont adaptés par chaque centre informatique, mais reposent tous a minima sur l’utilisation de pare-feux, de routeurs sécurisés et de sous-réseaux.
Ces mécanismes de protection sont complétés par la mise en place d’une fonction d’authentification du serveur portail, qui permet d’accéder aux serveurs du site DCL par un lien sécurisé :
- l’abonné se connecte au portail d’accueil national et s’identifie ;
- le centre régional reconnaît le portail émetteur ;
- les habilitations du cotisant et le compte consulté sont communiqués par un cookie de session crypté (détruit lors de la fermeture du navigateur).
ANNEXE XIII
SÉCURITÉ PHYSIQUE DU MATÉRIEL, CLEFS DE SÉCURITÉ ET CONTRÔLE D’ACCÈS, SOLUTIONS DE SECOURS, TYPES DE PERSONNEL HABILITÉS AUX DIVERS ACCÈS
Les serveurs sont situés dans des salles informatiques et bénéficient des mêmes protections physiques que les autres matériels décrits à la CNIL (contrôle d’accès aux salles machines, gardiennage).
ANNEXE XVI
SI DES INFORMATIONS SONT FOURNIES À UN TIERS, EXPLIQUER LA FINALITÉ, LES CONDITIONS JURIDIQUES, LES MODALITÉS PRATIQUES DE LA CESSION, L’INTERCONNEXION
L’accès au dossier peut être fourni à une autre personne que le cotisant lui-même : un expert comptable, par exemple, en tant que tiers déclarant pour le compte d’une entreprise, peut avoir accès à la consultation du compte de l’entreprise. Toutefois cette possibilité est entourée de toutes les précautions permettant de garantir au cotisant la confidentialité des données de son compte et s’assurer de la délégation de son accord.
Plusieurs personnes peuvent donc être abonnées à la consultation d’un même compte URSSAF.