Délibération 2017-321 du 7 décembre 2017

Commission Nationale de l'Informatique et des Libertés
Délibération n°2017-321 du 7 décembre 2017
Délibération n° 2017-321 du 7 décembre 2017 autorisant le ministère des solidarités et de la santé à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la mise en œuvre d’un outil permettant le dénombrement, l’aide à l’identification et le suivi des victimes d’une situation sanitaire exceptionnelle, intitulé SI-VIC
Etat: VIGUEUR

La Commission nationale de l'informatique et des libertés,

Saisie par le ministère des solidarités et de la santé d’une demande d’autorisation concernant la modification du traitement de données à caractère personnel ayant pour finalité l’établissement d’une liste unique des victimes d’attentats pour l’information de leurs proches et de la cellule interministérielle d’aide aux victimes (CIAV), intitulé SI-VIC ;

Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu le code de la santé publique, notamment ses articles L. 1431-2, D. 1421-1 et R. 6147-120 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 8-IV et 25-I-1° ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu l’arrêté du 17 février 2010 portant création d’un traitement automatisé de données à caractère personnel dénommé système d’information numérique standardisé (SINUS) ;

Après avoir entendu M. Alexandre LINDEN, commissaire, en son rapport, et
M. Michel TEIXEIRA, adjoint au commissaire du Gouvernement, en ses observations,

La Commission a été saisie par la ministre des solidarités et de la santé d'une demande d’autorisation concernant la modification du traitement de données à caractère personnel ayant pour finalité l’établissement d’une liste unique des victimes d’attentats pour l’information de leurs proches et de la cellule interministérielle d’aide aux victimes (CIAV), intitulé SI-VIC .

La mise en œuvre de ce traitement a été autorisée par la délibération n° 2016-208 du 7 juillet 2016 susvisée.

Lors de l’instruction du dossier, le ministère avait précisé que le traitement mis en œuvre constituait une solution provisoire, dans l’attente du développement d’un outil interministériel qui devrait, par ailleurs, être entouré de toutes les garanties légales adéquates.

Néanmoins, dans l’attente du développement de l’outil cible, la direction générale de la santé (DGS) a poursuivi son travail de définition et de conception d’une nouvelle version de l’outil SI-VIC afin, d’une part, d’en renforcer la sécurisation (SI-VIC v.1-A) et, d’autre part, de permettre l’interconnexion avec l’outil dénommé Système d’information numérique standardisé (SINUS) développé par le ministère de l’intérieur et destiné au dénombrement, à l’identification et au suivi des victimes lors d’événements exceptionnels (SI-VIC v.1-B).

Dans ce contexte, le ministère des solidarités et de la santé a adressé une demande de modification, en date du 14 novembre 2017, afin de pouvoir modifier les conditions de mise en œuvre du traitement précité et intégrer les évolutions successives de l’outil SI-VIC.

Les principales modifications demandées par le ministère sont les suivantes :

  • l’extension du périmètre du traitement à toutes les situations sanitaires exceptionnelles ;
  • l’ajout de nouvelles données, notamment en raison de l’interfaçage avec l’outil SINUS ;
  • l’ajout de nouveaux destinataires ;
  • les mesures de sécurité.

Sur la finalité du traitement :

La modification du traitement porte tout d’abord sur l’extension du périmètre d’application d’un tel recueil de données à caractère personnel aux situations sanitaires exceptionnelles (SSE) au titre desquelles figurent les attentats.

Le traitement SI-VIC obéit ainsi, dans ces situations, aux objectifs suivants :

  • le dénombrement dans les établissements de santé (pour les patients se présentant spontanément) et dans les postes d’urgence médico-psychologiques (PUMP) mis en place et armés par les cellules d’urgence médico-psychologiques (CUMP) ;
  • l’aide à l’identification de toutes les personnes prises en charge dans le système de soins (prise en charge hospitalière, ambulatoire et médico-psychologique) ;
  • et le suivi des patients dans le système de santé.

La Commission estime qu’il y a lieu de faire application des dispositions combinées des articles 8-IV et 25-I-1° de la loi du 6 janvier 1978 modifiée (ci-après la loi Informatique et Libertés ), qui soumettent à autorisation les traitements comportant des données relatives à la santé et justifiés, comme en l’espèce, par l’intérêt public.

Sur la nature des données traitées :

S’agissant des données relatives aux victimes d’une situation sanitaire exceptionnelle

Le ministère souhaite ajouter à la liste des données collectées, d’une part, un identifiant unique national et, d’autre part, les données issues de l’outil SINUS.

SINUS est un outil développé par le ministère de l’intérieur et destiné au dénombrement, à l’identification et au suivi des victimes lors d’évènements exceptionnels. Son utilisation est encadrée par l’arrêté du 17 février 2010, modifié le 4 février 2015, portant création d'un traitement automatisé de données à caractère personnel dénommé système d'information numérique standardisé (SINUS), pris après avis de la Commission.

L’utilisation d’un identifiant unique national permettra le suivi de la victime tout au long de sa prise en charge dans le système de santé. Deux situations peuvent alors se rencontrer :

  • le patient a un bracelet SINUS : ce numéro devra être impérativement renseigné dans l’outil ;
  • le patient n’a pas de bracelet SINUS: l’application SI-VIC en génère un. Le numéro est conforme à la numérotation standardisée, utilisée dans SINUS.

Une des évolutions de l’outil consiste à opérer un interfaçage avec l'outil SINUS, mis en œuvre par le ministère de l’intérieur et obéissant à un objectif de dénombrement, le temps de la gestion de crise, sur le terrain, des décédés et des blessés. Les données relatives au dénombrement des victimes dans SINUS seront donc transférées vers l’application SI-VIC et inversement.

La Commission rappelle que la demande de modification de l’autorisation vise uniquement à autoriser le traitement de données à caractère personnel mis en œuvre dans le cadre du dispositif SI-VIC et que, concernant les modifications opérées dans le traitement SINUS, le ministère de l’intérieur reste responsable de l’accomplissement des formalités requises.

Les données à caractère personnel des victimes traitées dans le cadre de SIVIC sont les suivantes :

  • données d’identification : nom, prénom, date de naissance, sexe, nationalité, identifiant unique national, numéro du dossier hospitalier, lieu de l’événement ;
  • données issues de SINUS ;
  • caractéristiques de prise en charge hospitalière : date d’entrée, établissement, état (décédé, grave, hospitalisation conventionnelle, léger) sans précisions sur les pathologies ;
  • coordonnées (téléphone et courriel) de la victime et d’un proche ;
  • historique des transferts entre établissements de santé.

S’agissant des données relatives aux utilisateurs finaux du système d’information SI- VIC

Les données à caractère personnel traitées sont les données d’identification suivantes : nom usuel, nom de naissance, prénom, sexe, date de naissance, appartenance, code établissement du fichier national des établissements sanitaires et sociaux (FINESS) de rattachement, adresse électronique, numéro de téléphone mobile, mot de passe, profil, type de structure, nom de la structure, FINESS géographique, raison sociale, adresse électronique d’alerte, téléphone d’alerte.

Concernant le numéro de téléphone mobile, la Commission prend acte de ce que le ministère a précisé qu’il s’agira, en principe, du numéro de téléphone professionnel de l’utilisateur. Dans l’hypothèse où il ne dispose pas d’un téléphone mobile professionnel, il n’y aura aucune obligation pour celui-ci de communiquer son numéro personnel.

La Commission estime que ces données sont pertinentes, adéquates et non excessives au regard des finalités pour lesquelles elles sont collectées, conformément aux dispositions de l’article 6-3° de la loi Informatique et Libertés .

Sur le circuit de circulation et les destinataires des données :

Le ministère souhaite ajouter à la liste des destinataires des données, les destinataires suivants :

  • les CUMP ;
  • les services d’aide médicale urgente (SAMU).

La transmission des informations est établie chronologiquement de la manière suivante :

  1. les établissements de santé et les CUMP saisissent les données ;
  2. les SAMU visualisent l’ensemble des données relatives à la prise en charge des victimes et leur ventilation dans les établissements de santé ;
  3. les agences régionales de santé (ARS) mettent en cohérence les données remontées par les établissements relevant de leur compétence territoriale et analysent la ventilation des patients dans le système de soins au niveau régional ;
  4. la direction générale de la santé (DGS) met en cohérence les données au niveau national (pour les cas inter-régions) et analyse la ventilation des patients dans le système de soins au niveau national ;
  5. le service de santé des armées (SSA) joue le même rôle que la DGS s’agissant des hôpitaux d’instruction des armées (HIA) et accède également à l’ensemble des données afin d’adapter les moyens déployés à la situation d’urgence ;
  6. la CIAV accède à l’ensemble des données des victimes d’attentats afin de contacter les proches des victimes ou de répondre à leurs demandes d’information.

Concernant les établissements de santé :

Les établissements de santé qui prennent en charge les victimes constituent l’une des sources des données avec les CUMP et les SAMU.

En cas de situation exceptionnelle, le déclenchement du plan blanc au sein des établissements permet l’activation d’une cellule de crise qui assure un pilotage unifié des opérations, la communication avec les médias, les pouvoirs publics, le recensement des victimes et les relations avec les familles. Les membres de cette cellule de crise et ceux des services d’urgence seront les utilisateurs de SI-VIC, spécialement habilités, au sein des établissements et ainsi responsables de la saisie des informations relatives aux victimes.

Les établissements de santé ne peuvent visualiser et saisir des données que dans le ressort de leur établissement, sans accès aux données des victimes prises en charge dans d’autres établissements. Néanmoins, lorsqu’un patient est pris en charge dans un établissement, il peut, dans son parcours de soin, être transféré dans un autre établissement de santé ; le premier établissement conserve les droits d’accès aux données de ce patient.

Seuls les établissements identifiés par les ARS comme étant susceptibles de participer à la prise en charge des victimes d’attentats sont concernés par le présent traitement. Parmi ces établissements figurent les HIA, qui dépendent du SSA.

Concernant les CUMP :

Les CUMP ont notamment pour mission de mettre en place un (ou des) PUMP afin de prodiguer des soins médico-psychologiques immédiats aux victimes et à toutes personnes impliquées dans l’événement.

Les CUMP assurent également le recensement, via l’application SI-VIC, des données relatives aux personnes qu’elles prennent en charge. Elles établissent pour chaque victime un certificat médical contenant la première déclaration sur leur localisation au moment de l’attentat et attestant des répercussions médico-psychologiques de l’événement, ou une attestation de prise en charge.

Concernant les ARS :

Conformément aux dispositions de l’article L. 1431-2 du CSP, les agences régionales de santé […] contribuent, dans le respect des attributions du représentant de l'Etat territorialement compétent, à l'organisation de la réponse aux urgences sanitaires et à la gestion des situations de crise sanitaire . En vertu de l’article L. 1435-6 du même code L'agence régionale de santé a accès aux données nécessaires à l'exercice de ses missions contenues dans les systèmes d'information des établissements de santé […] Les agents de l'agence régionale de santé n'ont accès aux données de santé à caractère personnel que si elles sont strictement nécessaires à l'accomplissement de leurs missions. Ils sont tenus au secret professionnel .

En cas de situation exceptionnelle, une cellule régionale d’appui et de pilotage sanitaire (CRAPS) est activée au sein des ARS. Les agents spécialement habilités de cette cellule utiliseront l’outil SIVIC sous la responsabilité d’un référent SI-VIC au sein de la CRAPS.

Concernant la DGS :

En application de l’article D. 1421-1 du CSP, la DGS […] centralise les alertes sanitaires. En liaison avec les autres ministères et institutions concernés, elle organise et assure la gestion des situations d'urgence sanitaire ; elle coordonne ou participe à la préparation des réponses aux situations sanitaires exceptionnelles .

Lors de la survenue d’une situation sanitaire exceptionnelle, la DGS active le Centre opérationnel de réception et de régulation des urgences sanitaires et sociales (CORRUSS). Le personnel du CORRUSS, spécialement habilité, accédera à l’ensemble des données de SI-VIC en cas de situation sanitaire exceptionnelle.

Concernant le SSA :

Conformément aux dispositions de l’article R. 6147-120 du CSP, le SSA peut apporter son concours pour faire face aux urgences résultant de catastrophes ou de sinistres d'une ampleur particulière .

Le personnel habilité au sein du SSA visualise l’ensemble des données de SI-VIC afin de répondre aux situations d’urgence en coordination avec la DGS.

Concernant la CIAV :

La CIAV a été créée par la circulaire du Premier ministre du 12 novembre 2015, modifiée le 10 novembre 2017. À ce jour, elle a vocation à intervenir uniquement en cas d’attentat terroriste. Elle a notamment pour mission d’informer les victimes et leurs familles et de s’assurer de la prise en charge par les services compétents .

Au sein de la CIAV, une politique de gestion des habilitations est mise en œuvre afin de réserver l’accès aux données de SI-VIC aux seuls représentants du ministère de la santé au sein de la CIAV et aux personnes en charge de la direction de la CIAV.

La Commission relève qu’afin d’assurer une remontée rapide des informations, la CIAV accède à l’ensemble des données saisies par les établissements de santé sans attendre la phase de consolidation des données par les ARS, la DGS et le SSA.

Si la Commission mesure l’importance d’informer le plus rapidement possible les familles des victimes, elle considère que cette remontée d’informations ne doit pas se faire au détriment de leur fiabilité. Etant donné les circonstances dans lesquelles le traitement SI-VIC sera mis en œuvre, l’exactitude des informations communiquées aux familles des victimes apparaît primordiale.

La Commission rappelle qu’en application de l’article 6-4° de la loi Informatique et Libertés , les données à caractère personnel traitées doivent être exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées .

La Commission prend acte de ce qu’une procédure de consolidation des données est organisée afin que les données soient mises à jour rapidement. Elle recommande que le statut vérifié ou consolidé des fiches relatives aux victimes soit formalisé dans l’outil aux fins de fiabilisation.

Sur le respect des droits des personnes :

En ce qui concerne les attentats, les personnes (victimes et proches) seront informées du traitement de leurs données à caractère personnel et des modalités d’exercice de leurs droits d’accès, de rectification et d’opposition au moment de la prise de contact avec la CIAV.

Dans la mesure où les données ont été initialement recueillies par les établissements de santé pour un autre objet (à des fins de prise en charge), et compte tenu de la sensibilité des circonstances du recueil des données, la Commission estime, en application de l’article 32-III de la loi Informatique et Libertés , que le moment choisi pour délivrer l’information est satisfaisant.

Dans les situations où la CIAV n’est pas activée (hors des situations d’attentats), les personnes (victimes et proches) seront informées du traitement de leurs données et des modalités d’exercice de leurs droits par l’établissement de santé ou la CUMP qui a pris en charge la personne.

La Commission rappelle l’importance que l’information joue dans l’exercice effectif des droits des personnes. Elle recommande, dans les deux situations, qu’un document d’information soit remis aux personnes afin de porter à leur connaissance les éléments d’information prévus par l’article 32 de la loi.

S’agissant des modalités d’exercice des droits reconnus aux personnes par la loi, la Commission prend acte de ce que les coordonnées du service du ministère de la santé en charge de l’exercice des droits seront communiquées aux personnes concernées et qu’une adresse électronique sera dédiée à ces demandes.

Sur la durée de conservation :

Les données relatives aux victimes sont conservées pendant la durée de leur prise en charge dans le système de soins.

Ainsi, si la CIAV n’accède aux données que pendant sa période d’activation, les ARS, la DGS et le SSA ont besoin de connaître la ventilation des victimes dans le système de soins jusqu’à la fin de leur prise en charge afin d’assurer leurs missions de réponse aux SSE.


Eu égard aux finalités poursuivies, la durée de conservation des données n’appelle pas d’observations de la part de la Commission.

Sur la sécurité des données et la traçabilité des actions :

Le traitement SI-VIC est constitué d’une plateforme s’appuyant pour partie sur des services hébergés au sein de systèmes d’information de différents organismes :

  • le groupement d’intérêt public (GIP) observatoire régional des urgences de la région Provence-Alpes-Côte d’Azur ;
  • ainsi que le GIP Midi-Pyrénées Informatique hospitalière, une structure publique de coopération inter-hospitalière disposant d’un agrément pour l’hébergement de données de santé.

L’architecture de la plateforme peut être considérée comme à l’état de l’art du fait, notamment, de la mise en œuvre d’un cloisonnement du réseau en fonction des services, de l’utilisation de pare-feux, de la mise en place d’un reverse proxy afin de garantir la légitimité des requêtes venant d’Internet ou encore de la mise en œuvre d’un mécanisme de défense contre les attaques de type déni de service distribué (distributed denial of service, DDoS).

S’agissant des modalités d’accès des utilisateurs, une matrice d’habilitations est définie. Celle-ci prévoit, notamment, un accès restreint pour les personnes enrôlées de manière temporaire (cas des professionnels de santé devant prendre en charge la victime).

Deux modes d’authentification sont prévus :

  • une authentification simple basée sur un couple identifiant - mot de passe pour les utilisateurs temporaires ;
  • une authentification forte basée sur l’envoi de SMS ou d’emails.

Toutefois, le responsable de traitement indique que ce second mode est provisoirement désactivé dans la mesure où il pourrait conduire à une impossibilité de s’authentifier si le téléphone de la personne ou un accès à l’adresse électronique est impossible. S’agissant des personnes accédant aux données de santé, la Commission rappelle qu’une authentification mettant en œuvre la carte de professionnel de santé est requise. La Commission prend acte de ce qu’une étude est en cours de réalisation par l’ASIP santé afin de déterminer le moyen d’authentification adéquat pour le traitement.

Pour les personnes n’accédant pas aux données de santé, la Commission rappelle que l’authentification des personnes au moyen d'un identifiant et d'un mot de passe individuels doit respecter la délibération n° 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe mise à jour le 22 juin 2017, et notamment prévoir un mécanisme limitant le nombre de tentatives erronées successives (comme par exemple un blocage du compte ou une temporisation).

S’agissant des transferts d’informations entre les différents systèmes d’information participant à SI-VIC, la Commission rappelle que ceux-ci doivent garantir leur confidentialité. A ce titre, le recours à des web services entre SI-VIC et SINUS mettant en œuvre le protocole HTTPS est considéré comme satisfaisant.

S’agissant des protocoles de sécurité, la Commission rappelle que les versions à utiliser doivent être les plus récentes, lesquelles corrigent des vulnérabilités ou des erreurs de conception. En outre, les éléments de sécurité intervenant dans ces protocoles, notamment quant à leur nature ou leur taille, doivent être définis selon les préconisations contenues dans les annexes B1 et B3 du référentiel général de sécurité.

Une traçabilité des accès et des actions est mise en œuvre.

Sous réserve des précédentes observations les mesures de sécurité décrites par le responsable de traitement sont conformes à l’exigence de sécurité prévue par l’article 34 de la loi Informatique et Libertés .

La Commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.

La Présidente

Isabelle FALQUE-PIERROTIN




Nature de la délibération: AUTORISATION
Date de la publication sur legifrance: 12 janvier 2018