• Home  / 
  • DELIBERATION 2007-010

DELIBERATION 2007-010

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés,

Saisie pour avis par la Direction Générale de l'Action Sociale du ministère de l'emploi, de la cohésion sociale et du logement et du ministère de la santé et des solidarités le 3 janvier 2007 d'un projet de décret en Conseil d'Etat relatif au traitement automatisé de données à caractère personnel mis en oeuvre par les maisons départementales des personnes handicapées ;

Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et notamment ses articles 27-I-1° et 27-III ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 modifiée ;

Vu le Code de l'action sociale et des familles, et notamment ses articles L. 146-3 et L. 247-2 ;

Après avoir entendu Mme Anne DEBET, commissaire, en son rapport et Mme Pascale COMPAGNIE, commissaire du Gouvernement, en ses observations ;

Emet l'avis suivant :

La loi du 11 février 2005 pour l'égalité des droits et des chances, la participation et la citoyenneté des personnes handicapées a institué, dans chaque département, une Maison Départementale des Personnes Handicapées (MDPH) afin de simplifier les démarches nécessaires à la prise en charge du handicap, rendues complexes par la multiplicité des instances et des procédures. La MDPH constitue le "guichet unique" auprès duquel toute personne handicapée ou sa famille doit pouvoir trouver l'accueil, l'information, l'accompagnement et le conseil nécessaires et formaliser ses demandes de prestation ou d'orientation.

Le décret en Conseil d'Etat soumis pour avis à la Commission par la Direction Générale de l'Action Sociale le 3 janvier 2007 crée un modèle de traitement automatisé de données à caractère personnel mis en oeuvre au sein des MDPH, dont la finalité principale est l'enregistrement et l'instruction des demandes de prestations, le suivi des décisions prises et leur mise en oeuvre, ainsi que et la production de statistiques destinées à orienter les politiques de prise en charge des handicaps. A cet effet, le traitement servirait également à alimenter le système national d'informations mis en oeuvre par la Caisse Nationale de Solidarité pour l'Autonomie (CNSA).

S'agissant de traitements de données à caractère personnel mis en oeuvre pour le compte de l'Etat et d'une personne morale de droit public gérant un service public, qui porte sur des données parmi lesquelles figure le NIR, le système d'information des MDPH est organisé par un décret en Conseil d'Etat pris après avis motivé et publié de la CNIL, conformément aux dispositions de l'article 27-I, 1° de la loi du 6 janvier 1978 modifiée. La Commission a également été saisie d'un dossier de formalités préalables, conformément aux dispositions de l'article 30 de la loi du 6 janvier 1978 modifiée.

Ce projet de décret en Conseil d'Etat a vocation à constituer un acte réglementaire unique portant autorisation de création du traitement. Dès lors, il appartiendra au responsable du traitement de chaque MDPH qui répond aux conditions fixées par le décret de prendre un engagement de conformité de celui-ci à la description figurant dans l'autorisation, conformément aux dispositions de l'article 27-III de la loi du 6 janvier 1978. Pour les traitements ne répondant pas à ces conditions, une demande d'avis devra être adressée à la CNIL.

Sur la nature des données enregistrées

Les données à caractère personnel enregistrées concernent, d'une part, la personne handicapée et les personnes qui auraient déposé la demande pour son compte et, d'autre part, les membres de l'équipe pluridisciplinaire et de la commission des droits et de l'autonomie des personnes handicapées, pendant la durée de leur mandat.

Les informations collectées relatives aux personnes s'adressant aux MDPH et leurs représentants légaux sont les suivantes : numéro d'inscription au RNIPP, nom, prénom, date et lieu de naissance, nationalité et date d'entrée en France, adresse du domicile et de la résidence, nature du diagnostic et des déficiences, capacité juridique, situation familiale et composition de la famille, niveau de formation et situation professionnelle, ressources et domiciliation bancaire lorsque la demande porte sur l'attribution d'une prestation soumise à des conditions de ressources, qualité au titre de laquelle est exercée la fonction de représentant légal, situation des aidants familiaux au regard de l'emploi.

Certaines de ces données appellent les observations suivantes de la part de la Commission.

Le NIR serait utilisé, d'une part, dans le cadre des relations avec les organismes en charge de la mise en oeuvre des décisions des MDPH et, d'autre part, pour s'assurer de l'identité des personnes.

S'agissant de la première finalité, et dans la mesure où les MDPH reprennent les compétences des COTOREP et des CDES, qui étaient elles-mêmes autorisées à utiliser le NIR dans leurs rapports avec la sécurité sociale, elle n'appelle pas d'observation de la part de la Commission.

S'agissant de la seconde finalité, le recours au NIR pour certifier l'identité des personnes auprès du Système National de Gestion de l'Identité (SNGI) de la CNAVTS n'appelle pas d'observation de la Commission.

Le NIR serait également utilisé comme numéro du dossier de l'usager, dans le cadre de l'instruction et en cas de transfert du dossier.

La Commission considère que si un numéro unique national est nécessaire, la création d'un identifiant spécifique aux personnes handicapées serait susceptible de les stigmatiser. En conséquence, elle admet que le numéro de sécurité sociale puisse être utilisé comme identifiant des usagers des MDPH à des fins d'instruction de leur dossier.

S'agissant des données médicales, la nature du diagnostic et des déficiences sera renseignée selon les nomenclatures CIM et CIH. A cet égard, le projet de décret devra être complété de façon à mentionner que ces données seront recueillies sous cette forme.

S'agissant de la nationalité et la date d'entrée en France, recueillies afin de permettre de vérifier, pour l'attribution des prestations aux personnes de nationalité étrangère, hors les ressortissants des Etats membres de l'union européenne, que l'intéressé est en situation régulière de séjour en France, la Commission prend acte de ce que seule la nationalité, sous la forme "français, ressortissant CEE, hors CEE" est enregistrée dans l'application. A cet égard, le projet de décret devra également être complété de façon à mentionner que cette donnée sera recueillie sous cette forme.

Sur les destinataires des informations

La Commission observe que les services du ministère ont amélioré la rédaction du texte sur ce point pour tenir compte des observations de celle-ci. Toutefois, la Commission propose de préciser la rédaction du projet de décret s'agissant notamment des personnes qui ont accès aux informations médicales et d'adopter la rédaction suivante :

Article R. 146-36 :

Peuvent accéder à l'application au sein des maisons départementales des personnes handicapées :

- les agents habilités par le directeur de la maison dans la limite de leurs attributions respectives et pour l'exercice des finalités précitées ;

- les agents de la maison départementale dont dépend la nouvelle résidence de la personne ayant déposé une demande ou obtenu une décision en sa faveur en cas de déménagement, dans les mêmes conditions ;

- les médecins de l'équipe pluridisciplinaire pour les informations à caractère médical et, sous leur responsabilité, les personnes habilitées par eux.

Article R. 146-36 :

Sont destinataires des informations au sein des organismes intervenant dans la gestion de la prise en charge du handicap :

I - les agents habilités dans la limite de leurs attributions respectives et pour l'exercice de leur mission dans le cadre des finalités précitées :

a. du conseil général pour le paiement des prestations prévues aux articles L. 245-1 et suivants du Code de l'action sociale et des familles, des transports scolaires ou des prises en charge de services ou établissements sociaux et médico-sociaux relevant de sa compétence ;

b. de la caisse d'allocations familiales pour le paiement des prestations prévues aux articles L. 541-1 et suivants et L. 821-1 et suivants du Code de la sécurité sociale ;

c. des organismes de protection sociale chargés du financement des prises en charge des services et établissements sociaux et médico-sociaux ;

d. des organismes de sécurité sociale,

e. de l'inspection académique pour la mise en oeuvre des décisions d'orientation scolaire ;

f. des organismes en charge du service public de l'emploi, notamment de la direction départementale du travail, de l'emploi et de la formation professionnelle, et de l'agence nationale pour l'emploi, pour mettre en oeuvre les décisions d'orientation professionnelle ;

g. des organismes mentionnés à l'article L. 323-11 du code du travail,

h. des établissements et services médico-sociaux accueillant des personnes handicapées

i. des organismes contribuant au fonds départemental de compensation, sous forme de statistiques agrégées.

j. de l'organisme départemental en charge des paiements effectués dans le cadre du fonds de compensation,

k. de la direction départementale des affaires sanitaires et sociales sous forme de statistiques agrégées.

l. des organismes mentionnés à l'article L. 146-3 pour les missions soustraitées définies par la convention.

II - Les agents habilités de la DRESS pour ce qui concerne les informations individuelles nécessaires à la constitution des échantillons statistiquement représentatifs mentionnés à l'article L. 247-4 du code de l'aide sociale et des familles.

III - Le directeur de la caisse nationale de solidarité pour l'autonomie pour ce qui concerne les données anonymisées et agrégées mentionnées à l'article L. 247-2 du code de l'action sociale et des familles.

Sur les droits des personnes concernées

La Commission constate qu'une information individuelle et préalable des usagers sur l'existence du traitement, sa finalité, les destinataires des informations et leur droit d'accès est prévue sur les formulaires de demande et par affichage dans les locaux des MDPH.

Elle relève également que le droit d'accès aux informations enregistrées et aux données formalisées qui ont contribué à l'élaboration et au suivi d'une décision et à la mise en oeuvre de cette dernière est prévu. L'indication des modalités de cet accès figure sur les formulaires de demande que les usagers ont à remplir ainsi qu'en bas de page des courriers émis par la MDPH.

Le projet de décret exclut l'exercice du droit d'opposition en application des dispositions de l'article 38, alinéa 3 de la loi du 6 janvier 1978 qui dispose que ce droit ne s'applique pas "lorsque le traitement répond à une obligation légale ou lorsque l'application de ces dispositions a été écartée par une disposition expresse de l'acte autorisant le traitement".

La Commission prend acte de ces dispositions qui n'appellent pas d'observations de sa part.

S'agissant de la durée de conservation des données

La Commission prend acte du fait que les données à caractère personnel concernant les demandeurs ne peuvent être conservées au-delà de cinq ans après la dernière intervention sur le dossier ou à compter de l'échéance de la décision la plus tardive. Passé ce délai, le dossier doit être archivé et ne doit plus figurer dans l'application. Les données archivées sur un support distinct sont conservées dix ans dans des conditions de sécurité équivalentes à celles applicables aux données "vivantes".

Les données concernant les membres de l'équipe pluridisciplinaire et de la commission des droits et de l'autonomie sont conservées pendant la durée de leur activité.

Concernant les mesures de sécurité mises en place

Les utilisateurs de l'application seront habilités et nommément désignés par le responsable du traitement. Ils ne pourront accéder au traitement qu'à l'aide d'un identifiant et d'un mot de passe individuel ou tout autre dispositif sécurisé équivalent. Il sera procédé à la joumalisation des connexions à l'application.

La Commission prend acte de ce que lorsque l'accueil des personnes, la gestion des données et l'évaluation des personnes handicapées sont confiées par les MDPH à l'un des organismes mentionnés à l'article L. 146-3 du Code de l'action sociale et des familles, la convention signée par la MDPH avec l'organisme doit définir les opérations que celui-ci est autorisé à réaliser à partir des données à caractère personnel auquel il a accès, ainsi que des engagements qu'il prend pour garantir leur sécurité et leur confidentialité, en particulier l'interdiction d'utiliser les données à d'autres fins que celles indiquées par la convention.

La Commission estime que si ces mesures de sécurité sont satisfaisantes, elle méritent cependant d'être précisées dans la mesure où elles ne font pas référence à la nécessité de renouveler le mot de passe et proposent une durée de conservation des traces de connexions excessive au regard de la finalité de la joumalisation. En outre, des mesures de sécurités renforcées seront adoptées lorsque la base physique est partagée avec d'autres entités.

Par conséquent, la Commission propose la rédaction suivante :

"Des mesures de protection physiques et logiques sont prises pour assurer la sécurité du traitement et des données, empêcher toute utilisation détournée ou frauduleuse des données, notamment par des tiers non autorisés, et préserver leur intégrité."

L'accès à l'application n'est ouvert qu'aux agents habilités et nommément désignés. Les accès individuels à l'application s'effectuent par un identifiant et un mot de passe, régulièrement renouvelés, ou tout autre dispositif sécurisé au moins équivalent.

Un dispositif est mis en place, tel qu'un réseau privé virtuel, afin de limiter les connexions à distance aux seuls postes de travail des agents des collectivités ou de leurs groupements habilités à accéder au système d'information.

En cas de recours à l'un des organismes mentionnés à l'article L. 146-3 du Code de l'action sociale et des familles pour l'exécution des prestations, des engagements contractuels seront pris afin de garantir la sécurité et la confidentialité des données.

Une journalisation des connexions est assurée, la durée de conservation des données de connexions étant fixée à 6 mois".

Le président, Alex TURK.

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: