La Banque Carrefour elle-même, qui comprend 80 personnes – surtout des informaticiens –, n'a accès à aucune information. Elle organise les échanges d'informations dans le respect des autorisations données par le comité indépendant, qui est nommé par le Parlement et dont l'intervention est obligatoire. Le CSI est composé de deux types de spécialistes, les uns en protection des données et de la vie privée, les autres en sécurité sociale et en protection sociale.
Par exemple, un organisme qui calcule des allocations familiales a-t-il besoin de savoir si un des deux parents de l'enfant est un chômeur de longue durée ? Pour répondre à cette question, il faut déterminer si une majoration existe dans ce cas précis, donc connaître le droit social ; un spécialiste en protection des données ne peut pas le faire. C'est le CSI, sous contrôle parlementaire – il s'agit de droits fondamentaux –, qui est chargé de trouver cet équilibre entre le droit constitutionnel à la protection sociale d'une part, à la protection des données d'autre part, pour autoriser ou non l'échange de données. La BCSS intervient ensuite : en fonction de la décision prise par le comité, elle donne ou elle refuse l'accès à l'information, par exemple à la caisse d'allocations familiales qui a sollicité une caisse d'allocations chômage à propos de la situation d'emploi d'un père de famille. Au préalable, on a vérifié que son enfant est bien affilié à l'organisme qui fait la demande ; un autre ne pourra pas obtenir satisfaction. Si une mutuelle a besoin de connaître mon adresse, seule celle à laquelle je suis adhérent – et aucune autre – peut accéder à cette information.
Les règles concernant l'échange de données sont déterminées par le CSI ; la BCSS, tierce partie de confiance, s'assure qu'elles sont respectées mais n'utilise aucune information. Nous n'attribuons pas de droits, nous ne faisons pas de calculs de cotisations, et nous n'organisons pas la lutte contre la fraude – c'est le rôle par exemple des inspecteurs sociaux.