La Commission nationale de l'informatique et des libertés,
Vu la convention no 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/ CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protect ion des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de la santé publique, notamment son article L. 3131-9-1 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Saisie par la ministre des solidarités et de la santé d'une demande d'avis concernant un projet de décret relatif au système d'information d'identification unique des victimes ;
Après avoir entendu M. Alexandre LINDEN, commissaire, en son rapport, et M. Michel TEIXEIRA, adjoint au commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La Commission a été saisie par la ministre des solidarités et de la santé d'une demande d'avis concernant un projet de décret relatif au système d'information d'identification unique des victimes.
La loi n° 2016-1827 du 23 décembre 2016 de financement de la sécurité sociale pour 2017 a créé 1'a1ticle L. 3131-9-1du code de la santé publique (CSP) qui prévoit la mise en place d'un système d'information d'identification unique des victimes en cas de situation sanitaire exceptionnelle et renvoie à un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, le soin préciser la nature des données recueillies et de fixer les modalités de leur transmission dans le respect des règles garantissant la protection de la vie privée.
Le projet de décret (ci-après le « projet ») entre dans ce cadre.
Les modalités d'information des personnes, les durées de conservation des données et les mesures de sécurité mises en œuvre seront décrites dans les formalités relatives au traitement.
Sur les données collectées :
Le projet d'article R. 3131-10-1 liste les catégories de données à caractère personnel enregistrées dans le système d'information d'identification unique des victimes.
S'agissant des victimes, les données traitées sont les suivantes :
les données permettant le dénombrement des personnes prises en charge pour une consultation ou une hospitalisation dans un établissement de santé ou par les professionnels des cellules d'urgence médico-psychologiques (CUMP) ;
les données à caractère personnel relatives à l'identification des personnes
précitées ;
les données à caractère personnel relatives à la prise en charge sanitaire, y compris médico-psychologique de ces personnes ;
les données à caractère personnel portant sur l'identité et les coordonnées des personnes à contacter relativement à ces personnes.
La Commission observe que les catégories de données relatives aux utilisateurs finaux du système d'information ne sont pas mentionnées et recommande que le projet soit complété sur ce point.
Par ailleurs, le ministère a précisé que, concernant ces utilisateurs, seront collectées les données d'identification suivantes : numéro de l'uti1isateur, nom usuel, nom de naissance, prénom, sexe, date de naissance, entité de rattachement, code établissement du fichier national des établissements sanitaires et sociaux (le cas échéant), code région (région et zone de défense), numéro de répertoire partagé des professionnels de santé (pour les professionnels de santé), numéro de la carte de professionnel de santé ou de la carte de personnel autorisé, e-mail de récupération du mot de passe à usage unique, numéro de téléphone mobile, mot de passe, niveau de droits d'accès administrateur.
Concernant la collecte du numéro de téléphone mobile, la Commission prend acte de ce que le ministère a précisé qu'il s'agira, en principe, du numéro de téléphone professionnel de l'utilisateur. Dans l'hypothèse où le professionnel ne dispose pas d'un numéro de téléphone mobile professionnel, il n'y aura aucune obligation pour celui-ci de communiquer son numéro personnel.
Sur les destinataires :
Le projet d'article R. 3131-10-2 du CSP prévoit que sont destinataires des données enregistrées dans le système d'information d'identification unique des victimes :
- les agents des établissements de santé, les services d'aide médicale urgente, les personnes intervenant au sein des CU MP dans le cadre de la prise en charge des victimes ;
- les agents des agences régionales de santé (ARS). Le ministère a précisé que cet accès s'inscrit dans le cadre de leur mission de gestion des situations de crise sanitaire (article L. 1431-2 du CSP). L'ARS située dans le territoire de survenue de l'événement accède aux données du système d'information sur son périmètre de compétence. Elle peut ainsi veiller à la cohérence des données enregistrées par les établissements de santé et à la ventilation des patients dans le système de soins ;
- les agents du ministère chargé de la santé. La direction générale de la santé (DGS) a pour mission, en liaison avec les autres ministères et institutions concernés, d'organiser et d'assurer la gestion des situations d'urgence sanitaire (article D. 1421-1 du CSP). Les agents habilités de la DGS (essentiellement le centre opérationnel de régulation et de réponse aux urgences sanitaires et sociales) accèdent aux données du système d'information. Ainsi, elle peut veiller à la cohérence des données au niveau national et analyser la répartition des patients dans l'ensemble du système de soins ;
- les agents du ministère de l'intérieur et de la justice. Dans le cas d'attentats, certains agents habilités de ces ministères participent à la cellule interministérielle d'aide aux victimes. Le ministère a précisé que d'autres agents des ministères de l'intérieur et de la justice, dans leurs missions de mise en œuvre de l'enquête judiciaire, d'identification judicaire et d'établissement d'une liste de suivi de victimes accèderont également aux données dans leur périmètre de compétence ;
- les agents du ministère des affaires étrangères. Le ministère a précisé que cet accès s'inscrit dans leurs missions de lien avec les autorités étrangères chargées de recueillir les appels téléphoniques des familles de victimes et d'y répondre.
Ces destinataires accèdent aux données dans la stricte mesure où elles sont nécessaires à l'exercice des missions qui leur sont confiées.
La Commission observe que l'article L. 3131-9-1 du CSP prévoit désormais que les données sont transmises « dans le but d'assurer la gestion de la crise et le suivi des victimes, aux agents désignés au sein (…) des ministères compétents ».
Elle prend acte de ce que le législateur a ainsi entendu permettre à ces destinataires d'accéder aux données enregistrées dans le système d'information unique des victimes.
Sur les modalités de transmission des données :
La Commission prend acte de l'engagement du ministère de compléter le projet afin de préciser que les données collectées sont enregistrées, conservées et transmises dans des conditions permettant d'en garantir la sécurité, la confidentialité et l'intégrité.Liens relatifs
La présidente,
I. Falque-Pierrotin