• Home  / 
  • DELIBERATION 04-058

DELIBERATION 04-058

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés,

Saisie pour avis par le ministère de la santé et de la protection sociale d'un projet de décret en Conseil d'Etat en application de l'article L. 121-6-1 du code de l'action sociale et des familles (saisine n° 04010218) ;

Vu la Convention n° 108 du 28 janvier 1981 du Conseil de l'Europe sur la protection des personnes à l'égard du traitement automatisé des données à caractère personnel.

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, pris ensemble le décret n° 78-774 du 17 juillet 1978 ;

Vu la loi n° 2004-626 du 30 juin 2004 relative à la solidarité pour l'autonomie des personnes âgées et des personnes handicapées portant modification des articles L. 121-6-1 et L. 116-3 du code de l'action sociale et des familles ;

Après avoir entendu M. Pierre Schapira, commissaire, en son rapport et Mme Charlotte-Marie Pitrat, commissaire du Gouvernement, en ses observations ;

Formule les observations suivantes :

Sur l'objet du projet de décret

Les terribles conséquences de la canicule de l'été 2003 ont conduit au vote de dispositions particulières dans le cadre de la loi relative à la solidarité pour l'autonomie des personnes âgées et des personnes handicapées afin d'organiser l'information et l'intervention des services sociaux et sanitaires auprès de ces personnes en cas de risques exceptionnels, notamment climatiques.

L'article 1er de cette loi oblige ainsi les maires à procéder au recueil de l'identité et des coordonnées des personnes âgées et handicapées qui souhaitent bénéficier du dispositif de veille et d'alerte ("plan Vermeil").

Ce texte prévoit que les registres nominatifs créés par les communes doivent être tenus dans le respect de la loi du 6 janvier 1978, et que les modalités de traitement de ces données nominatives sont fixées par décret en Conseil d'Etat pris après avis de la CNIL.

La Commission est ainsi amenée à se prononcer sur le projet de décret, accompagné de modèles de formulaires de recueil des données à destination des communes.

Sur les finalités poursuivies et la population concernée

L'article 1er du projet de décret précise que la finalité exclusive de ce registre est d'organiser, en cas de déclenchement du plan d'alerte et d'urgence, un contact périodique avec les personnes qui y figurent afin de leur apporter les conseils et l'assistance dont elles ont besoin.

S'agissant des personnes bénéficiaires du dispositif, le projet de décret vise en son article 4 d'une part les personnes âgées de 65 ans et plus résidant à leur domicile, d'autre part les personnes adultes handicapées résidant à leur domicile et bénéficiant de l'un des avantages prévus au code de l'action sociale et des familles ou d'une pension d'invalidité.

La Commission prend acte des critères retenus par le ministère de la santé et de la protection sociale pour définir précisément les catégories de bénéficiaires du dispositif au sein du projet de décret, et en particulier du fait que les personnes dépendantes âgées de moins de 65 ans bénéficiant de l'allocation personnalisée d'autonomie ou de l'aide ménagère ne sont pas concernées par ce dispositif.

Sur le caractère facultatif de l'inscription au registre et l'information des personnes concernées

La loi précise que l'inscription sur le registre communal ne concerne que les personnes qui en ont fait la demande et que les maires peuvent également procéder au recueil de données à la demande d'un tiers à la condition que la personne concernée, ou son représentant légal, ne s'y soit pas opposée.

Le caractère facultatif de l'inscription au registre est clairement rappelé au sein des articles 1 et 2 du projet de décret.

De plus, l'article 8 précise que la radiation du dispositif peut être opérée à tout moment sur simple demande.

S'agissant de l'information donnée aux personnes concernées, le projet de décret précise en son article 2 que le maire informe, par tous moyens appropriés, les habitants de la commune de la mise en place du registre municipal, de sa finalité et des modalités particulières d'inscription auprès des services municipaux ainsi que du caractère facultatif de la déclaration d'inscription, des catégories de services destinataires des informations collectées en cas de déclenchement du plan d'alerte et d'urgence susmentionné et de l'existence d'un droit d'accès et de rectification à leur bénéfice auprès de ces services.

Sur les modalités de recueil des données personnelles

Selon l'article 2 du projet de décret, la phase de recueil des données du registre communal doit être précédée d'une parfaite information, par tous moyens appropriés, des bénéficlaires potentiels du dispositif.

A cette fin, l'article 3 du projet de décret prévoit que le maire peut notamment recueillir auprès des organismes de sécurité sociale gérant les régimes obligatoires de base d'assurance maladie (caisses primaires d'assurance maladie, caisses de mutualité sociale agricole, caisses d'assurance maladie régionales des professions indépendantes) ou par extraction des fichiers sociaux communaux, les coordonnées de ses administrés âgés de 65 ans et plus.

Dans ce cas, les données communiquées par ces organismes se limitent aux nom, prénoms, civilité et adresse des personnes concernées ; elles sont retraitées par les organismes émetteurs pour être présentées, de façon sécurisée, sous forme d'un fichier communal à destination exclusive du maire.

De plus, le projet de décret prévoit que les données ainsi obtenues ne peuvent servir à alimenter le registre communal en l'absence d'une demande d'inscription formulée par la personne concernée ou par un tiers.

Compte tenu de l'intérêt général poursuivi et du caractère limité de ces transmissions de données personnelles, la Commission estime que les garanties apportées dans le projet de décret sont satisfaisantes.

Elle considère néanmoins que l'article 3 du projet de décret devrait rappeler que les personnes contactées à partir de coordonnées extraites de fichiers sociaux sont expressément informées des modalités d'obtention de leurs coordonnées par la collectivité concernée.

L'article 8 du projet de décret prévoit que le recueil des données figurant dans le registre communal est réalisé soit à l'initiative de la personne concernée, soit à l'initiative d'un tiers (famille, voisinage, proches, professionnels médicaux ou paramédicaux, etc.).

Ainsi, la demande d'inscription sur le registre nominatif peut s'opérer à tout moment sur déclaration de la personne concernée ou de son représentant légal par tout moyen à sa disposition, soit par écrit ou, le cas échéant, à l'aide d'un formulaire mis à disposition par le maire, soit sur appel téléphonique ou, le cas échéant, enregistrement au numéro d'appel prévu à cet effet, soit par courrier électronique.

Lorsque la demande émane d'un tiers, l'article 8 du projet de décret prévoit qu'elle s'opère par écrit afin d'écarter toute demande d'inscription abusive.

Selon l'article 8, la demande est adressée au maire de la commune de résidence de l'intéressé, qui en accuserait réception dans un délai de huit jours. Dans tous les cas, cet accusé de réception est adressé à la personne dont il est procédé à l'inscription sur le registre nominatif communal ou à son représentant légal.

Il informe l'intéressé que la radiation du dispositif peut être opérée à tout moment sur simple demande de sa part et qu'à défaut la réception de l'accusé de réception vaut confirmation de son accord pour figurer sur le registre précité.

La Commission prend acte de ces procédures de recueil de données auprès de la personne concernée ou après de tiers, et des communes.

Sur la nature et la durée de conservation des données traitées

L'article 5 du projet de décret précise la nature des informations susceptibles de figurer dans le registre communal : il s'agit d'une part des éléments relatifs à l'identité et à la situation à domicile de la personne inscrite sur le registre (nom et prénoms, date de naissance, qualité au titre de laquelle elle est inscrite sur le registre nominatif, adresse, numéro de téléphone, coordonnées du service intervenant à domicile le cas échéant), et d'autre part des éléments relatifs à la demande (date, nom et qualité de la tierce personne ayant effectué la demande le cas échéant).

La Commission considère que ces données sont pertinentes, adéquates et non excessives au regard des finalités poursuivies.

Selon l'article 14, elles ne doivent pas être conservées au-delà du décès de la personne concernée ou de sa demande de radiation du registre nominatif (réalisable à tout moment sur simple demande).

A cet égard, l'article 6 précise que l'information du maire sur le changement de commune de résidence de la personne inscrite sur le registre nominatif vaut demande de radiation du registre.

Sur les destinataires et la confidentialité des données

Les articles 9, 10 et 11 du projet de décret prévoient que les destinaires des données prennent toutes les précautions utiles pour préserver la confidentialité et la sécurité des renseignements collectés et procèdent, le cas échéant, à leur communication dans des conditions propres à en assurer la confidentialité.

L'article 9 du projet de décret prévoit que sont seules habilitées à enregistrer, traiter, conserver, modifier les données du registre nominatif les personnes nommément désignées par le maire.

Cet article précise également que toutes les personnes concourant à la constitution, à l'enregistrement et à la mise à jour du registre nominatif ainsi que toutes les personnes ayant accès aux données contenues dans ce registre sont tenues au secret professionnel dans les conditions prévues aux articles 226-13, 226-14 et 226-31 du code pénal.

La Commission appelle l'attention du ministère sur la nécessité de limiter les transmissions des données figurant dans le registre communal aux seules personnes disposant d'une compétence particulière dans le domaine social ou sanitaire.

L'article 10 du projet de décret prévoit que le maire doit s'assurer de la confidentialité des données personnelles transmises, à sa demande au représentant de l'Etat dans le département en sa qualité d'autorité chargée de la mise en oeuvre du plan d'alerte et d'urgence.

Le préfet a également la possibilité, selon les termes de l'article 11, de communiquer de façon sécurisée tout ou partie des informations nominatives aux autorités chargées de l'organisation et de la coordination des interventions à domicile des services sociaux et sanitaires mobilisés pour la mise en oeuvre du plan d'alerte et d'urgence, dans la mesure où cette communication est nécessaire à leur action.

Cet article rappelle également que le préfet et les autorités qu'il en rend destinataires prennent toutes les précautions utiles pour préserver la confidentialité et la sécurité des renseignements qui leur sont communiqués.

La Commission prend acte de ces transmissions de données personnelles rendues nécessaires par le champ de compétence limité des maires et la nécessité d'agir sans délai en cas de déclenchement du plan "Vermeil" par l'autorité préfectorale.

Elle considère toutefois que cette multiplication des destinataires départementaux ou locaux ne doit en aucun cas se réaliser au détriment de la sécurité et de la tranquillité des personnes âgées et handicapées identifiées et localisées dans les registres communaux.

Elle appelle ainsi l'attention du ministère sur les risques liés à la multiplication des destinataires des données contenues dans les registres communaux et l'invite à rappeler l'obligation de ne transmettre aux services identifiés par le préfet que les données strictement nécessaires au regard de leur champ de compétence technique et géographique.

De plus, elle estime nécessaire que l'article 11 précise, à l'égal de l'obligation pesant sur les maires au sein de l'article 9, que les personnes susceptibles d'être rendues destinataires de tout ou partie des données contenues dans les registres communaux et la nature des données susceptibles d'être communiquées à chacune d'entre elles sont désignées par le préfet. Ces personnes devraient disposer d'une compétence particulière dans le domaine social ou sanitaire.

Sur les formalités déclaratives applicables

La Commission observe que le projet de décret en Conseil d'Etat qui lui est soumis définit un cadre strict pour la mise en oeuvre des registres communaux dans tous ses aspects "informatique et libertés" (finalité, données traitées, durée de conservation, destinataires des données, sécurité des données, information des personnes concernées, droit d'accès et de rectification, droit d'opposition).

Elle considère qu'elle a ainsi été mise en mesure, à l'occasion de cet examen, d'exercer un contrôle a priori sur les registres communaux afin de s'assurer du respect des principes reconnus par la loi du 6 janvier 1978.

Il lui apparaît dès lors possible que le projet de décret dispense de formalités déclaratives les 36.000 communes, les organismes sociaux visés à l'article 30 du projet de décret, les services préfectoraux et l'ensemble des autres services rendus destinataires des données par le préfet, sous réserve de satisfaire à l'ensemble des conditions de traitement des données personnelles posées par ce texte intégrant les réserves formulées par la Commission.

Ainsi, la Commission estime que les dispositions des articles 7 et 12 du projet de décret devraient être reprises au sein d'un même article conditionnant la dispense de déclaration au strict respect de l'ensemble des dispositions précédentes (c'est-à-dire aux articles 1 à 11, 13 et 14 du projet de décret soumis à l'appréciation de la Commission).

Elle considère que cet article, intégré comme disposition finale (article 13), devrait être formulé de la manière suivante :

"Les organismes mettant en oeuvre des traitements de données personnelles dans le respect de l'ensemble des dispositions du présent décret sont dispensés, par dérogation à l'article 12 du décret n° 78-774 du 17 juillet 1978, de présenter à la Commission nationale de l'informatique et des libertés le dossier de demande d'avis avant le même objet que lesdites dispositions.

Tout autre traitement des données recueillies dans les conditions du présent décret doit préalablement faire l'objet de formalités déclaratives auprès de ladite Commission dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978."

Emet un avis favorable au projet de décret en Conseil d'Etat présenté par le ministère de la santé et de la protection sociale sous réserve que :

- l'article 3 du projet de décret prévoie que les personnes contactées à partir de coordonnées extraites de fichiers sociaux sont expressément informées des modalités d'obtention de leurs coordonnées par la collectivité concernée ;

- l'article 11 précise, à l'égal de l'obligation pesant sur les maires au sein de l'article 9, que les personnes susceptibles d'être rendues destinataires de tout ou partie des données contenues dans les registres communaux, et la nature des données susceptibles d'être communiquées à chacune d'entre elles sont désignées par le préfet ;

- les dispositions des articles 7 et 12 du projet de décret soient intégrées au sein d'un même article final conditionnant la dispense de déclaration au strict respect de l'ensemble des dispositions précédentes (c'est-à-dire aux articles 1 à 11, 13 et 14 du projet de décret soumis à l'appréciation de la Commission) et que cet article final soit formulé de la manière suivante :

"Les organismes mettant en oeuvre des traitements de données personnelles dans le respect de l'ensemble des dispositions du présent décret sont dispensés, par dérogation à l'article 12 du décret n° 78-774 du 17 juillet 1978, de présenter à la Commission nationale de l'informatique et des libertés le dossier de demande d'avis ayant le même objet que lesdites dispositions.

Tout autre traitement des données recueillies dans les conditions du présent décret doit préalablement faire l'objet de formalités déclaratives auprès de ladite Commission dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978.

Appelle l'attention du ministère de la santé et de la protection sociale :

- sur la nécessité de rappeler aux maires et aux préfets l'obligation de limiter l'accès aux données figurant dans les registres communaux aux seules personnes disposant d'une compétence particulière dans le domaine social ou sanitaire ;

- sur les risques liés à la multiplication des destinataires des données contenues dans les registres communaux et sur l'importance de rappeler l'obligation de ne transmettre aux services désignés par le préfet que les données strictement nécessaires au regard de leur champ de compétence technique et géographique.

Le Président, Alex TURK.

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: