DELIBERATION n°2016-208 du 7 juillet 2016

Commission Nationale de l'Informatique et des Libertés
DELIBERATION n°2016-208 du 7 juillet 2016
Délibération n° 2016-208 du 7 juillet 2016 autorisant le ministère des affaires sociales et de la santé à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité l’établissement d’une liste unique des victimes d’attentats pour l’information de leurs proches par la cellule interministérielle d’aide aux victimes, intitulé « SIVIC ».
Etat: VIGUEUR

(demande d’autorisation n° 1965677)
La Commission nationale de l'informatique et des libertés,
Saisie par le ministère des affaires sociales et de la santé d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité l’établissement d’une liste unique des victimes d’attentats pour l’information de leurs proches par la cellule interministérielle d’aide aux victimes, intitulé « SIVIC » ;
Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de la santé publique, notamment ses articles L. 1431-2, D. 1421-1 et R. 6147-120 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 8-IV et 25-I-1° ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu l’arrêté du 17 février 2010 portant création d'un traitement automatisé de données à caractère personnel dénommé « système d'information numérique standardisé » (SINUS) ;
Après avoir entendu M. Alexandre LINDEN, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
La Commission a été saisie, le 2 juin 2016, par le ministère des affaires sociales et de la santé (ci-après « le ministère »), d’une demande d’autorisation relative à la mise en œuvre d’un traitement automatisé de données à caractère personnel ayant pour finalité l’établissement d’une liste unique des victimes d’attentats pour l’information de leurs proches par la cellule interministérielle d’aide aux victimes, intitulé « SIVIC » (système d’information pour le suivi des victimes).
Les attentats du 13 novembre 2015 ont conduit l’ensemble des acteurs concernés par la prise en charge des victimes d’attentats terroristes à repenser le dispositif existant. La circulaire du Premier ministre du 13 avril 2016 relative à la prise en charge des victimes d'actes de terrorisme renforce le rôle central de la cellule interministérielle d’aide aux victimes (la CIAV) dans la procédure d’identification des victimes, avec le souci de concilier l’information rapide des familles qui recherchent leurs proches et la fiabilité des informations communiquées.
Le ministère indique qu’en cas d’évènement terroriste, l’activation de la CIAV impliquerait un traitement de données à caractère personnel soumis à l’autorisation préalable de la Commission en application des dispositions combinées des articles 8-IV et 25-I-1° de la loi Informatique et Libertés concernant les traitements comportant des données relatives à la santé et justifiés par l’intérêt public, comme en l’espèce.
Sur la finalité du traitement :
Le traitement SIVIC a pour finalité d’établir une liste unique des victimes d’attentats afin d’informer rapidement leurs proches sur leur situation.
La Commission relève que la circulaire du Premier ministre du 13 avril 2016 relative à la prise en charge des victimes d’actes de terrorisme prévoit l’établissement d’une liste unique des victimes par le magistrat référent victimes désigné par le Procureur de la République de Paris en charge de la conduite de l’enquête. Cette circulaire prévoit également la désignation d’un enquêteur référent victimes en charge du recueil de l’ensemble des renseignements indispensables à la prise en charge des victimes, et le cas échéant de leurs proches, et de la transmission de ces informations à l’autorité judiciaire (en priorité le magistrat référent ou désigné).
Le ministère précise que le traitement SIVIC, qui ne concerne pas les précédents attentats, est une solution provisoire, dans l’attente du développement d’un outil interministériel destiné au suivi des victimes d’attentats dont les modalités restent à définir et qui fera l’objet de formalités propres auprès de la Commission.
La Commission en prend acte et considère que les finalités poursuivies sont déterminées, explicites et légitimes au sens de l’article 6-2° de la loi Informatique et Libertés.
Sur la nature des données traitées :
Les données à caractère personnel traitées dans le cadre de SIVIC sont les suivantes :

  • données d’identification : nom, prénom, date de naissance, sexe, nationalité, numéro SINUS – utilisé par la préfecture de police dans les conditions prévues par l’arrêté du 17 février 2010 portant création d'un traitement automatisé de données à caractère personnel dénommé « système d'information numérique standardisé » (SINUS) – numéro du dossier hospitalier, lieu de l’évènement ;
  • caractéristiques de prise en charge hospitalière : date d’entrée, établissement, état (décédé, grave, hospitalisation conventionnelle, léger) sans précisions sur les pathologies ;
  • coordonnées (téléphone et courriel) de la victime et d’un proche ;
  • historique des transferts entre établissements de santé.

La Commission prend acte de ce que le numéro SINUS est nécessaire dans le cadre du présent traitement à des fins de vérification de la cohérence des données, au même titre que le numéro du dossier hospitalier qui permettrait, le cas échéant, de revenir vers les établissements de santé pour vérifier les données saisies.
En outre, la Commission prend acte de ce que la notion « d’historique des transferts » permet de retracer le parcours des victimes dans le système de soins en établissant un lien entre les différentes « fiches victime » relatives à une même personne quand celle-ci a été prise en charge dans plusieurs établissements de santé.
La Commission relève que les données concernant les victimes dont l’identité n’a pu être déterminée par les établissements de santé sont également collectées afin d’établir une liste des victimes la plus exhaustive possible.
La Commission estime que ces données sont pertinentes, adéquates et non excessives au regard des finalités pour lesquelles elles sont collectées, conformément aux dispositions de l’article 6-3° de la loi Informatique et Libertés.
Sur le circuit de circulation et les destinataires des données :
La transmission des informations est établie chronologiquement de la manière suivante :
1) les établissements de santé saisissent les données ;
2) les agences régionales de santé (ARS) mettent en cohérence les données remontées par les établissements relevant de leur compétence territoriale et analysent la ventilation des patients dans le système de soins au niveau régional ;
3) la direction générale de la santé (DGS) met en cohérence les données au niveau national (pour les cas inter-régions) et analyse la ventilation des patients dans le système de soins au niveau national ;
4) le service de santé des armées (SSA) joue le même rôle que la DGS s’agissant des hôpitaux d’instruction des armées (HIA) et accède également à l’ensemble des données afin d’adapter les moyens déployés à la situation d’urgence ;
5) la CIAV accède à l’ensemble des données afin de contacter les proches des victimes ou de répondre à leurs demandes d’information.
En cas d’attentat terroriste, il est prévu que les données soient saisies par les établissements de santé dans les douze premières heures qui suivent l’événement. Pendant les 48 heures suivantes, les ARS, la DGS et le SSA mettront en œuvre les opérations de stabilisation et de consolidation des données mais le suivi des victimes se poursuivra jusqu’à la fin de leur prise en charge dans le système de soins.
Concernant les établissements de santé :
Les établissements de santé qui prennent en charge les victimes sont les seules sources des données.
En cas de situation exceptionnelle, le déclenchement du « plan blanc » au sein des établissements permet l’activation d’une cellule de crise qui assure un pilotage unifié des opérations, la communication avec les médias, les pouvoirs publics, le recensement des victimes et les relations avec les familles. Les membres de cette cellule de crise et ceux des services d’urgence seront les utilisateurs de SIVIC, spécialement habilités, au sein des établissements et ainsi responsables de la saisie des informations relatives aux victimes.
Les établissements de santé ne peuvent visualiser et saisir des données que dans le ressort de leur établissement, sans accès aux données des victimes prises en charge dans d’autres établissements.
Seuls les établissements identifiés par les ARS comme étant susceptibles de participer à la prise en charge des victimes d’attentats sont concernés par le présent traitement. Parmi ces établissements figurent les HIA, qui dépendent du SSA.
Concernant les ARS :
Conformément aux dispositions de l’article L. 1431-2 du code de la santé publique, les agences régionales de santé « […] contribuent, dans le respect des attributions du représentant de l'Etat territorialement compétent, à l'organisation de la réponse aux urgences sanitaires et à la gestion des situations de crise sanitaire ». En vertu de l’article L. 1435-6 du même code « L'agence régionale de santé a accès aux données nécessaires à l'exercice de ses missions contenues dans les systèmes d'information des établissements de santé […] Les agents de l'agence régionale de santé n'ont accès aux données de santé à caractère personnel que si elles sont strictement nécessaires à l'accomplissement de leurs missions. Ils sont tenus au secret professionnel ».
En cas de situation exceptionnelle, une cellule régionale d’appui et de pilotage sanitaire (CRAPS) est activée au sein des ARS. Les agents spécialement habilités de cette cellule utiliseront l’outil SIVIC sous la responsabilité d’un référent SIVIC au sein de la CRAPS.
Concernant la DGS :
En application de l’article D. 1421-1 du code de la santé publique, la DGS « […] centralise les alertes sanitaires. En liaison avec les autres ministères et institutions concernés, elle organise et assure la gestion des situations d'urgence sanitaire ; elle coordonne ou participe à la préparation des réponses aux situations sanitaires exceptionnelles ».
Lors de la survenue d’une situation sanitaire exceptionnelle, la DGS active le Centre opérationnel de réception et de régulation des urgences sanitaires et sociales (CORRUSS). Le personnel du CORRUSS, spécialement habilité, accédera à l’ensemble des données de SIVIC en cas d’attentat terroriste.
Concernant le SSA :
Conformément aux dispositions de l’article R. 6147-120 du code de la santé publique, le SSA peut apporter son concours « pour faire face aux urgences résultant de catastrophes ou de sinistres d'une ampleur particulière ».
Le personnel habilité au sein du SSA visualise l’ensemble des données de SIVIC afin de répondre aux situations d’urgence en coordination avec la DGS.
Concernant la CIAV :
La CIAV a été créée par la circulaire du Premier ministre du 12 novembre 2015, modifiée le 13 avril 2016. Elle a notamment pour mission « d’informer les victimes et leurs familles et de s’assurer de la prise en charge par les services compétents ».
Au sein de la CIAV, une politique de gestion des habilitations est mise en œuvre afin de réserver l’accès aux données de SIVIC aux seuls représentants du ministère de la santé au sein de la CIAV et aux personnes en charge de la direction de la CIAV.
La Commission relève qu’afin d’assurer une remontée rapide des informations, la CIAV accède à l’ensemble des données saisies par les établissements de santé sans attendre la phase de consolidation des données par les ARS, la DGS et le SSA.
Si la Commission mesure l’importance d’informer le plus rapidement possible les familles des victimes, elle considère que cette remontée d’informations ne doit pas se faire au détriment de leur fiabilité. Etant donné les circonstances dans lesquelles le traitement SIVIC sera mis en œuvre, l’exactitude des informations communiquées aux familles des victimes apparaît primordiale.
La Commission rappelle qu’en application de l’article 6-4° de la loi Informatique et Libertés, les données à caractère personnel traitées doivent être « exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ».
La Commission prend acte de ce qu’une procédure de consolidation des données est organisée afin que les données soient mises à jour rapidement. Elle recommande que le statut « vérifié » ou « consolidé » des fiches relatives aux victimes soit formalisé dans l’outil aux fins de fiabilisation.
Sur le respect des droits des personnes :
Les personnes (victimes et proches) seront informées du traitement de leurs données à caractère personnel et des modalités d’exercice de leurs droits d’accès, de rectification et d’opposition au moment de la prise de contact avec la CIAV.
Dans la mesure où les données ont été initialement recueillies par les établissements de santé pour un autre objet (à des fins de prise en charge), et compte tenu de la sensibilité des circonstances du recueil des données, la Commission estime, en application de l’article 32-III de la loi Informatique et Libertés, que le moment choisi pour délivrer l’information est satisfaisant. La Commission recommande qu’un document d’information soit remis aux personnes afin de porter à leur connaissance les éléments d’information prévus par l’article 32 de la loi Informatique et Libertés.
S’agissant des modalités d’exercice des droits reconnus aux personnes par la loi Informatique et Libertés, la Commission prend acte de ce que les coordonnées du service du ministère de la santé en charge de l’exercice des droits seront communiquées aux personnes concernées et qu’une adresse électronique sera dédiée à ces demandes.
La Commission rappelle que l’article L. 1110-4 du CSP précité consacre le droit « au respect de sa vie privée et du secret des informations » concernant « toute personne prise en charge » dans un établissement de santé. En vertu de l’alinéa 2 de ce texte, « Excepté dans les cas de dérogation expressément prévus par la loi, ce secret couvre l'ensemble des informations concernant la personne venues à la connaissance du professionnel, de tout membre du personnel de ces établissements, services ou organismes et de toute autre personne en relation, de par ses activités, avec ces établissements ou organismes. Il s'impose à tous les professionnels intervenant dans le système de santé ».
La Commission s’interroge donc sur l’articulation des dispositions précitées avec l’accès, prévu dans le dossier de demande d’autorisation à des informations nominatives relatives à des personnes hospitalisées, par des personnels, fussent-ils tenus au secret professionnel, autres que les professionnels qui les prennent en charge et hors les cas autorisés par la loi, à l’instar de ce qui est prévu pour les agences régionales de santé à l’article L. 1435-6 du CSP précité.
Sur la durée de conservation :
Les données relatives aux victimes sont conservées pendant la durée de leur prise en charge dans le système de soins. Ainsi, si la CIAV n’accède aux données que pendant sa période d’activation, les ARS, la DGS et le SSA ont besoin de connaître la ventilation des victimes dans le système de soins jusqu’à la fin de leur prise en charge afin d’assurer leurs missions de réponse aux situations sanitaires exceptionnelles.
Eu égard aux finalités poursuivies, la durée de conservation des données n’appelle pas d’observations de la part de la Commission.
Sur la sécurité des données et la traçabilité des actions :
L’outil SIVIC est une application web accessible au moyen d’un navigateur. Les transmissions entre le poste client et le serveur sont sécurisées au moyen du protocole SSL.
Le serveur est hébergé chez un prestataire agréé pour héberger des données de santé. Celles-ci sont conservées au sein d’une base de données.
L’authentification des utilisateurs nécessite un mot de passe individuel d’au moins 8 caractères. La Commission rappelle que le nouvel article L. 1110-4 du code de la santé publique (CSP), dans sa rédaction issue de la loi du 26 janvier 2016 de modernisation de notre système de santé, ne prévoit plus l’authentification par carte de professionnel de santé (CPS) ou le recours à un dispositif équivalent agréé par l’ASIP santé. Le nouvel article L. 1110-4-1 du même code renvoie ces modalités d’authentification à la conformité à des référentiels d'interopérabilité et de sécurité approuvés par le ministre en charge de la santé après avis de la CNIL. Dans l’attente de la publication des textes réglementaires permettant l’entrée en vigueur de ces nouvelles dispositions, la Commission rappelle que l’authentification des professionnels de santé doit s’opérer dans des conditions conformes au droit en vigueur.
Des profils utilisateurs permettent de restreindre l’accès aux données de la base selon le besoin d’en connaitre.
Enfin une traçabilité des connexions et des accès aux données est prévue. La Commission rappelle que les traces doivent être analysées afin de détecter des tentatives d'accès frauduleux ou une utilisation abusive des données et demande que les personnes susceptibles d’accéder à d’outil soient sensibilisées à la traçabilité des accès.
Sous réserve des précédentes observations, les mesures de sécurité décrites par le responsable de traitement sont conformes à l’exigence de sécurité prévue par l’article 34 de la loi du 6 janvier 1978 modifiée.
La Commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.
Compte tenu de l’intérêt public qui s’attache au traitement et au regard de ses modalités de mise en œuvre telles que décrites ci-dessus, la Commission autorise le ministère des affaires sociales et de la santé à mettre en œuvre le traitement de données à caractère personnel ayant pour finalité l’établissement d’une liste unique des victimes d’attentats pour l’information de leurs proches par la Cellule interministérielle d’aide aux victimes, intitulé « SIVIC », jusqu’à la mise en place de l’outil interministériel annoncé, qui devra, par ailleurs, être entouré de toutes les garanties légales adéquates.
La Présidente
I. FALQUE-PIERROTIN




Nature de la délibération: Autorisation
Date de la publication sur legifrance: 9 septembre 2016