L'essentiel :
1. La CNIL estime que les catégories de données traitées, notamment celles pouvant être qualifiées de sensibles et celles relatives aux infractions, sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
2. Par ailleurs, si la CNIL rejoint l'analyse du ministère selon laquelle les personnes mises en cause dans une réclamation ou un signalement ne sauraient être informées au stade préliminaire de l'investigation, elle estime néanmoins que ces personnes devraient être informées dans l'hypothèse où une mesure individuelle présentant un caractère de gravité (telle une sanction ou une transmission du dossier à l'autorité judiciaire) est prise à leur égard à l'issue de l'instruction du dossier, au plus tard au moment où elles sont informées de cette mesure.
3. Enfin, elle estime que les modalités d'authentification envisagées pour les accédants au traitement doivent faire l'objet d'une attention particulière, notamment pour les comptes d'administration, qui devraient systématiquement recourir à une authentification multifacteur. Elle souligne également l'importance d'une gestion rigoureuse des habilitations et de la sensibilisation des utilisateurs aux risques d'usurpation d'identité.

La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (« loi informatique et libertés »), notamment son article 8.I (4° a) ;
Après avoir entendu le rapport de M. Philippe Latombe, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :

I. - La saisine
A. - Le contexte

La qualité du système de santé est, depuis plusieurs années, un sujet d'attention des politiques publiques qui suscite de vives attentes de la part des usagers. Cette préoccupation s'est rapidement élargie aux secteurs social et médicosocial.
Sur le plan institutionnel, elle s'est traduite par le fait que dès leur création, en 2010, pour organiser la politique de santé dans les régions, les Agences régionales de santé (ARS) ont été notamment chargées de recevoir et traiter des signalements et des réclamations concernant la qualité des soins. A cela s'ajoutent de nombreux dispositifs et voies d'action ouverts aux usagers et à leurs proches (possibilité de saisir un ordre professionnel, le directeur d'un établissement concerné, des commissions et des cellules spéciales, etc.).
Ces actions ont permis d'identifier le sujet des maltraitances des personnes âgées ainsi que des adultes souffrant d'un handicap et d'en faire une priorité de ces secteurs. A la suite des Etats généraux des maltraitances (2023), le Législateur a introduit dans le code d'action sociale et des familles (CASF) l'article L. 119-2, qui crée une obligation, pour toute personne ayant connaissance de faits de maltraitance, de les signaler aux pouvoirs publics.
Afin de rationaliser et centraliser la remontée des réclamations, un outil unique est mis en place. Il offre à l'ensemble des parties prenantes un dispositif commun permettant d'harmoniser les pratiques, de simplifier les processus de gestion et de fiabiliser la production des statistiques et des indicateurs de pilotage.

B. - L'objet de la saisine

Le projet de décret soumis à l'avis de la CNIL prévoit la création d'un nouveau traitement automatisé de données, appelé « système d'information réclamations national » (« SIRENA »). Le projet a fait l'objet d'une saisine rectificative.
Ce traitement doit permettre :

- aux particuliers, d'émettre des signalements et des réclamations rentrant dans le périmètre du dispositif, ainsi que, le cas échéant, d'être informés des suites qui y seront données ;
- d'affecter ces réclamations et signalements aux autorités administratives compétentes pour assurer leur traitement ;
- aux services concernés des ARS, les services déconcentrés de l'Etat chargés des solidarités et des conseils départementaux, d'assurer la gestion et le suivi de ces réclamations et signalements ;
- de produire des données statistiques à des fins d'appui et d'amélioration des politiques publiques relatives à la protection des personnes majeures en situation de vulnérabilité et à la prise en charge sanitaire, sociale et médico-sociale.

Dans ce cadre, les termes « réclamations » et « signalements » sont entendus comme suit :

- le terme « réclamation » correspond à une requête émanant d'usagers et mettant en cause la qualité de la prise en charge, des soins ou du service rendu par un établissement ou professionnel de santé, ou médico-social, un transporteur sanitaire ou toute personne mettant en cause la santé des usagers.

Des réclamations reçues via le SI-SIRENA sont susceptibles de concerner n'importe quel usager, qu'il soit mineur ou majeur.

- le terme « signalement » est, lui, limité aux actes de maltraitance envers les personnes majeures en situation de vulnérabilité du fait de leur âge ou de leur handicap, définis à l'article L. 119-1 du CASF.

Les signalements ne peuvent concerner que des personnes majeures en situation de vulnérabilité.
Enfin, le traitement projeté vise, à terme, à remplacer le traitement existant « SI RECLAMATIONS » ou « SI REC » qui n'assurait que la gestion des réclamations, à l'exclusion des signalements de maltraitances.

II. - L'avis de la CNIL
A. - Sur les personnes dont les données peuvent être traitées

L'article 2 du projet de décret distingue différentes catégories de personnes dont les données peuvent être traitées dans le cadre du SI SIRENA.
A cet égard, la CNIL observe que ces catégories ne semblent pas couvrir les données de témoins éventuellement mentionnés dans les signalements, ou encore de personnes tierces sollicitées au cours des enquêtes éventuellement menées suite à la réception des signalements.
Dans ces conditions, elle recommande au ministère de compléter l'article 2 du projet de manière à y inclure l'ensemble des personnes dont les données sont susceptibles d'être traitées.

B. - Sur les données traitées
a) Sur les données sensibles

L'article 2 du projet de décret indique que certaines de données traitées sont susceptibles de constituer des données révélant directement ou indirectement « l'origine raciale ou ethnique, ou concernant la santé ou l'orientation sexuelle » des personnes concernées, au sens de l'article 9.1 du RGPD.
Le traitement de ces catégories de données est fondé sur l'exception prévue par l'article 9.2 g du RGPD, à savoir la nécessité résultant d'un motif public important.
Le bénéfice de cette disposition est réservé aux traitements prévus par le droit d'un Etat membre qui doit être « proportionné à l'objectif poursuivi, respecter l'essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée. »
La CNIL relève qu'en l'espèce, les échanges de données dans le cadre du traitement projeté sont prévus par l'article L. 119-2 du CASF, lequel prévoit que le partage des informations relatives à une situation individuelle est limité à ce qui est strictement nécessaire à l'évaluation et au traitement du signalement, et exige que les conditions de mise en œuvre de ce système d'information soient précisées par un décret soumis à l'avis préalable de la CNIL.
Eu égard aux garanties prévues par le projet de décret (notamment gestion fine des habilitations, secret professionnel et prise en compte de l'intérêt de la personne en situation de vulnérabilité), et à l'objectif de protection des personnes vulnérables poursuivi par le projet, la CNIL estime que les conditions posées par le RGPD sont remplies.

b) Sur les données relatives aux infractions

Il résulte des éléments communiqués par le ministère que certaines réclamations, et notamment des situations de maltraitance remontées via le SI SIRENA, pourraient recevoir une qualification pénale.
Dans ces conditions, certaines informations traitées pourraient être qualifiées de « données relatives aux infractions » au sens de l'article 46 de la loi « informatique et libertés » modifiée. Partant, leur traitement n'est en principe possible que s'il relève de l'une des hypothèses limitativement énumérées à cet article.
La CNIL observe cependant que le traitement de telles données dans le contexte spécifique de lutte contre les maltraitances à l'encontre de personnes majeures en situation de vulnérabilité du fait de leur âge ou de leur handicap est directement prévu par l'article L. 119-2 du code de l'action sociale et des familles (CASF). En tout état de cause, elle constate que les structures destinataires des données traitées sont des personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales, de sorte que ce traitement relève de l'hypothèse prévue au 1° de cet article 46.
Dans ces conditions, la CNIL invite le ministère à compléter le projet de décret afin de mentionner explicitement le traitement de données relatives aux infractions.

C. - Sur les durées de conservation

La version initiale du projet prévoyait, s'agissant de certaines catégories de données traitées, une durée de conservation pouvant aller jusqu'à 20 ans à compter de la date de majorité des personnes concernées.
Interrogé sur les raisons susceptibles de justifier une conservation aussi longue des données, le ministère a rectifié le projet initial de manière à limiter les durées de conservation des données traitées dans le cadre du SI SIRENA de manière suivante :

- pour la conservation en base active : pendant un an à compter de la clôture de la réclamation, c'est-à-dire la prise de la décision définitive concernant les suites à lui réserver, telles qu'une décision de classement, une notification d'une décision ou des observations à un établissement de santé ou médico-social, ou encore la transmission, le cas échéant, du dossier à l'autorité judiciaire sur le fondement de l'article 40 du code de procédure pénale ;
- pour la conservation en archivage intermédiaire : pendant six ans à compter de la fin de conservation en base active.

La CNIL accueille favorablement ces modifications et estime ces durées nécessaires au regard des finalités pour lesquelles les données sont traitées.

D. - Sur l'information des personnes

L'article 5 du projet de décret prévoit que l'ensemble des personnes concernées, à l'exception des « personnes mises en cause dans la réclamation », sont informées du traitement de leurs données, conformément aux dispositions des articles 13 et 14 du RGPD.
Le ministère a indiqué que l'information des personnes mises en cause était susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs du traitement. En particulier, s'agissant du signalement des situations de maltraitance, une telle information pourrait notamment :

- dissuader les usagers d'émettre des signalements ou de témoigner dans le cadre des signalements déjà ouverts, par peur de représailles ;
- générer ou aggraver des comportements violents de la part des personnes mises en cause, à l'égard des autres personnes concernées.

Par ailleurs, le ministère indique que cette information n'est en pratique pas toujours matériellement possible dans la mesure où les réclamations émises via le SI SIRENA ne permettent pas toujours d'identifier avec précision la ou les personnes visées, les informations rapportées par les déclarants n'étant pas toujours suffisamment complètes et précises.
Dans ces conditions, le ministère entend invoquer le bénéfice de l'article 14.5 b du RGPD pour exclure l'information des personnes mises en cause.
L'article 14.5 b du RGPD indique par ailleurs qu'« en pareils cas, le responsable du traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles. » Les éléments fournis par le ministère indiquent à cet égard que les informations relatives à l'existence et les caractéristiques du traitement seront rendues disponibles sur le site web du ministère.
Dans ces conditions, la CNIL rejoint l'analyse du ministère selon laquelle les personnes mises en cause dans les réclamations ne sauraient être systématiquement informées au stade préliminaire de l'investigation. Elle estime néanmoins que ces personnes devraient en être informées dans l'hypothèse où la gestion de la réclamation ou du signalement conduirait à l'adoption d'une mesure individuelle produisant des conséquences d'une certaine gravité à leur égard (telle qu'une sanction disciplinaire ou transmission du dossier à l'autorité judiciaire par exemple). La CNIL estime que dans un tel cas, l'information des personnes visées devrait intervenir au plus tard au moment de la prise de la mesure individuelle en question.
Partant, elle recommande au ministère de compléter le projet de décret en ce sens.

E. - Sur les droits des personnes

Le II de l'article 5 du projet de décret prévoit que l'ensemble des personnes concernées pourront exercer leurs droits d'accès et de rectification des données, à l'exception du droit d'opposition qui est écarté.
En particulier, le droit d'accès est ouvert aux « personnes mises en cause dans la réclamation ». Ainsi et quand bien même celles-ci ne seront pas systématiquement informées de l'existence de réclamations les concernant, elles pourraient exercer spontanément le droit d'accès aux données aux fins d'obtenir, le cas échéant, de l'existence de procédures les concernant.
Interrogé sur ce point, le ministère a indiqué qu'en pareil cas, aucune donnée susceptible de révéler l'identité des autres parties prenantes (déclarant, victime, témoins éventuels, agents instructeurs, etc.) ne sera communiquée aux personnes mises en cause.
La CNIL prend acte de ces éléments, qui n'appellent pas d'observations particulières de sa part.

F. - Sur les mesures de sécurité

Le ministère indique que l'accès au traitement envisagé repose sur une authentification via le service ProConnect, lequel utilise l'adresse de messagerie professionnelle comme identifiant principal et l'accès à cette messagerie comme moyen d'authentification initial et de recouvrement d'accès.
Eu égard à la sensibilité des données traitées et en l'absence d'informations permettant d'évaluer la sécurité des services de messagerie de l'ensemble des entités concernées, la CNIL recommande la mise en place d'une authentification à deux facteurs pour l'accès au SI SIRENA. Ce mode d'authentification renforcé devrait être mis en œuvre dès la création du traitement, a minima pour les comptes d'administration.
Afin de limiter les risques de détournement de ces droits d'administration, la CNIL recommande que toute demande d'habilitation ainsi que tout octroi de nouveaux droits fassent l'objet d'une notification auprès des administrateurs de l'entité concernée, dans le cadre d'une procédure formalisée de gestion des accès.
La CNIL recommande également que le ministère s'assure que l'opérateur du service ProConnect procède à des vérifications appropriées des noms de domaine associés aux adresses de messagerie professionnelle utilisées comme identifiants. Ces vérifications doivent permettre de garantir que les domaines concernés correspondent bien à des entités autorisées, le cas échéant sur la base d'une liste de référence fournie par le ministère. Le responsable du traitement est invité à formaliser ces exigences, notamment par des engagements contractuels lorsque cela est pertinent, afin de garantir la mise en œuvre de contrôles destinés à empêcher la création ou l'utilisation de comptes fictifs ou usurpés.
De plus, afin de réduire les risques de violation de données liés à la compromission de comptes, la CNIL recommande la mise en œuvre d'actions de sensibilisation et de formation des utilisateurs aux risques d'usurpation d'identité, notamment en matière de phishing et d'ingénierie sociale.
Par ailleurs, le ministère indique que les données techniques et de traçabilité relatives à l'utilisation du traitement par les personnes disposant d'un compte utilisateur font l'objet d'un enregistrement et sont conservées pendant une durée d'un an.
A cet égard, la CNIL rappelle que la mise en œuvre de mesures de journalisation ne constitue une garantie effective de sécurité que si elle s'accompagne de modalités d'exploitation permettant d'assurer la détection d'événements anormaux et, le cas échéant, l'investigation d'incidents de sécurité. Elle recommande donc que des modalités de consultation, d'analyse et d'alerte associées à ces journaux soient définies et mises en œuvre de manière proportionnée aux risques, en particulier pour les accès disposant de privilèges élevés.
Les autres dispositions du projet de décret n'appellent pas d'observations de la part de la CNIL.