Délibération n° 2014-431
du 23 octobre 2014
portant avis sur un projet de décret en Conseil d'Etat autorisant les traitements de données à caractère personnel par les organismes gestionnaires des régimes obligatoires de base de l'assurance maladie pour l'accomplissement des missions de leurs services sociaux
La Commission nationale de l'informatique et des libertés,
Saisie par la ministre des affaires sociales, de la santé et des droits des femmes, le 28 juillet 2014 et par saisine rectificative le 10 octobre 2014, d'une demande d'avis concernant un projet de décret en Conseil d'Etat autorisant les traitements de données à caractère personnel par les organismes gestionnaires des régimes obligatoires de base de l'assurance maladie pour l'accomplissement des missions de leurs services sociaux,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de l'action sociale et des familles ;
Vu le code pénal, notamment son article 226-13 ;
Vu le code rural et de la pêche maritime ;
Vu le code de la sécurité sociale ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-I (1°) ;
Vu l'ordonnance n° 2005-1516 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Après avoir entendu M. Alexandre LINDEN, commissaire, en son rapport et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
Le projet de décret en Conseil d'Etat (ci-après " le projet ") soumis à la commission pour avis vise à créer une catégorie de traitements de données à caractère personnel nécessaires à l'exercice des missions d'accompagnement des personnes fragilisées par des problèmes de santé, de handicap ou de vieillissement incombant aux services sociaux de l'assurance maladie. Ces traitements comportent notamment le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) des assurés sociaux.
ils seront mis en œuvre par la Caisse nationale d'assurance maladie des travailleurs salariés (CNAMTS), la Mutualité sociale agricole (MSA) et le régime social des indépendants (RSI).
Le projet soumis à la commission est pris en application de l'article 27-I (1°) de la loi du 6 janvier 1978 modifiée qui prévoit que " sont autorisés par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés ", les traitements de données à caractère personnel mis en œuvre pour le compte d'une personne morale de droit public " qui portent sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques ".
L'article R. 115-1 du code de la sécurité sociale (CSS) prévoit que " Les organismes et administrations chargés de la gestion d'un régime obligatoire de base de sécurité sociale et, le cas échéant, les organismes habilités par la loi ou par une convention à participer à la gestion de ces régimes " sont autorisés à utiliser le NIR. Ces dispositions sont complétées par celles de l'article R. 115-2 qui précise que " l'autorisation donnée à l'article R. 115-1 vaut exclusivement pour les traitements mis en œuvre dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 " et pour des finalités au nombre desquelles ne figure pas la gestion du suivi social des assurés sociaux.
Dès lors que ces traitements sont substantiellement différents de ceux qu'autorisent les dispositions réglementaires en vigueur, ils doivent être autorisés par un nouveau décret en Conseil d'Etat pris après avis de la CNIL, en application de l'article 27-I (1°) précité.
Sur les finalités des traitements
Le projet est relatif à la mise en œuvre de traitements de données à caractère personnel destinés à l'exercice des missions des services sociaux des organismes gestionnaires des régimes obligatoires de base de l'assurance maladie.
L'article 1er du projet explicite le périmètre et les finalités des traitements mis en œuvre dans le cadre des activités précitées de l'assurance maladie.
Ces traitements ont vocation à permettre :
" 1° La prise en charge et le suivi des dossiers des assurés et de leurs ayants droit bénéficiaires de l'action des services sociaux des organismes de base d'assurance maladie ;
2° La gestion de la relation avec les assurés et leurs ayants droit bénéficiaires de l'action des services sociaux des organismes de base d'assurance maladie, au travers :
- de la gestion des offres de service individuelles ou collectives ;
- de la gestion des contacts, par courrier postal ou électronique, par accueil téléphonique ou physique et par téléservices ;
3° La prise en charge des populations exposées à un risque de précarité mentionnées à l'article L. 262-1 du code de la sécurité sociale, au travers de l'intervention sociale d'aide à la personne, d'opérations d'intérêt collectif ou d'opérations de développement social local ;
4° La communication, entre les caisses d'un même régime et entre ces caisses et les autres organismes de protection sociale, ainsi que, lorsqu'ils exercent des compétences en matière sociale, les collectivités territoriales et leurs établissements publics, les autres organismes et les associations, des informations nécessaires à l'accomplissement de leurs missions ;
5° Le pilotage de l'activité du service social aux niveaux national, régional et local et l'évaluation de la qualité du service rendu aux bénéficiaires et à leurs ayants droit. "
S'agissant de l'article 1er (4°) du projet, la commission relève que la notion de " communication " peut recouvrir la simple transmission d'informations à des organismes partenaires qui concourent à une mission commune d'action sociale dans le cadre de la mise en œuvre du traitement ou la création d'un dispositif particulier permettant le partage d'informations entre ces organismes.
Dans le premier cas, la commission s'interroge sur l'opportunité de mentionner cette transmission au nombre des finalités des traitements.
En tout état de cause, la commission prend acte de l'engagement du ministère de faire figurer les organismes visés à l'article 1er (4°) au nombre des destinataires.
S'agissant de l'article 1er (5°), la commission estime que, dans la mesure où le pilotage de l'activité du service social s'inscrit dans la production de statistiques, ainsi qu'il a été indiqué par le ministère, celle-ci doit être expressément mentionnée afin de lever toute ambiguïté.
La commission ne conteste pas la légitimité de mettre en place des outils statistiques d'observation sociale afin de mieux connaître les populations aidées et d'assurer le suivi des interventions sociales afin de permettre d'élaborer des politiques d'action sociale appropriées. Elle prend acte des engagements du ministère que les analyses statistiques porteront sur des données préalablement anonymisées et que le projet de décret sera complété sur ce point.
La commission considère, sous réserve des observations précédentes, que la création des traitements précités et les finalités ainsi poursuivies sont déterminées, explicites et légitimes.
Sur les catégories de données à caractère personnel enregistrées
L'article 2 du projet prévoit le traitement des catégories de données à caractère personnel relatives aux assurés sociaux et leurs ayants droit, bénéficiaires du service social. Ces données concernent :
- l'identification des personnes (NIR ou la NIA et date d'attribution, nom de famille, d'usage, prénoms, sexe, date et lieu de naissance) ;
- leur vie personnelle (situation familiale, adresse postale, numéros de téléphone et adresse électronique, composition du foyer (nom de famille, nom d'usage, prénoms, année de naissance, lien de parenté avec l'assuré des membres du foyer) ;
- le montant des ressources des membres du foyer strictement nécessaires à l'examen des situations de précarité liées à la maladie, au handicap ou à la perte d'autonomie (montant et type de ressources charges, crédits, dettes) ; leur situation professionnelle (situation par rapport à la formation, l'emploi, statut professionnel) ;
- des données relatives aux modalités de prise en charge de la santé, comportant le cas échéant leur inscription dans un parcours de soins, leur éligibilité à la prestation de compensation du handicap, leur classement selon la grille " autonomie, gérontologie, groupe Iso ressources " (AGGIR), leur taux d'invalidité permanente partielle, l'exonération du ticket modérateur et la désignation d'un médecin traitant ;
- les avis des services médicaux et restrictions des aptitudes, comportant le cas échéant les mentions relatives à la consolidation, l'aggravation, l'inaptitude au travail ou au poste de travail ;
- leur couverture sociale (organismes de rattachement et régimes d'affiliation et leurs identifiants et coordonnées, bénéfice de la couverture maladie universelle, de la couverture maladie universelle complémentaire ou de l'aide à l'acquisition d'une complémentaire santé) ;
- leur situation sociale et l'appréciation des difficultés sociales, comportant les relations familiales, amicales, de voisinage ou associatives, strictement nécessaires à l'évaluation et au traitement des problématiques relatives à la perte d'autonomie et à l'isolement ;
- leur situation vis-à-vis des organismes sociaux en matière de droits et avantages et de prestations attribuées ;
- les informations nécessaires à la prise en charge de prestations dans le cadre de la prévention et de l'action sanitaire et sociale, comportant le type et les conditions du logement, les aides préventives et compensatoires telles que les aides à la personne ou au ménage, l'aide technique, les soins à domicile, l'action sociale et les aides facultatives ;
- les données relatives aux arrêts de travail, au versement d'indemnités journalières pour les risques maladie, maternité, paternité, accidents du travail et maladies professionnelles et au versement de pensions d'invalidité, de rentes consécutives à accidents du travail et maladies professionnelles ou de capitaux décès ;
- l'identification des partenaires institutionnels publics et privés, médico-sociaux et associatifs de l'assistant social pour la prise en charge du bénéficiaire de l'action du service social, à savoir, pour les personnes morales, leur type et leur raison sociale et, pour les personnes physiques, leurs nom et prénom, ainsi que les coordonnées postales, téléphoniques et électroniques.
Le ministère indique que les données précitées sont nécessaires aux organismes gestionnaires des régimes obligatoires de base de l'assurance maladie afin d'accomplir les missions dévolues à leur service social.
Toutefois, la commission relève que les données collectées dans le cadre des traitements envisagés varient en fonction des particularités des situations sociales rencontrées, du type de prestation ou de l'aide demandée et de la nature des actions individuelles et collectives à accomplir.
Elle rappelle que les catégories de données traitées doivent être adéquates, pertinentes et non excessives au regard du strict besoin du travail social poursuivi.
C'est pourquoi la commission prend acte de l'engagement du ministère que l'alinéa 1er de l'article 2 sera complété de la façon suivante : " Les traitements autorisés par l'article ler du présent décret peuvent porter sur les catégories de données suivantes en ce qui concerne les assurés sociaux et leurs ayants droit bénéficiaires du service social dès lors qu'elles s'avèrent strictement nécessaires et proportionnées à la finalité poursuivie par le traitement mentionnée à l'article ".
La commission souligne que l'utilisation du NIR doit être cantonnée aux finalités limitativement énumérées à l'article 1er du projet aux fins d'exercice par les organismes gestionnaires de régimes obligatoires de base de l'assurance maladie des missions de sécurité sociale qui leur sont confiées par la loi.
S'agissant de la production de statistiques, la commission rappelle que le développement des systèmes d'informations statistiques à partir des fichiers d'action sociale doit s'effectuer dans le respect de la vie privée des usagers des services sociaux.
En outre, la commission rappelle qu'en application des dispositions de l'article 6 (3°) de la loi du 6 janvier 1978 modifiée, les données recueillies doivent être fiables et non équivoques et ne pas contribuer à stigmatiser les personnes aidées. C'est pourquoi les typologies utilisées doivent éviter tout risque d'interprétation subjective et être définies en concertation avec les travailleurs sociaux.
Sur les destinataires ou catégories de destinataires habilités à recevoir communication de ces données
L'article 3 du projet prévoit que " sont destinataires des données mentionnées à l'article 2 les agents intervenant dans la prise en charge des assurés et soumis à une obligation de confidentialité, individuellement habilités par le directeur de chaque organisme d'assurance maladie pour l'exercice de leurs missions et dans la stricte mesure nécessaire à l'exercice de celles-ci ".
La commission en prend acte et demande qu'une politique de gestion rigoureuse des habilitations d'accès soit mise en œuvre en ce sens.
Par ailleurs, elle prend acte, comme souligné précédemment, de ce que les organismes visés à l'article 1er (4°) du projet seront visés en qualité de destinataires des données dans le cadre de leur compétence en matière sociale.
Les échanges d'informations ne devront porter que sur les données strictement nécessaires et proportionnées à la finalité poursuivie dans le cadre des missions des organismes précités et demande que le projet soit complété en ce sens.
La commission rappelle que seuls les organismes habilités à utiliser le NIR comme identifiant des usagers peuvent en être destinataires et prend acte de l'engagement du ministère que le projet sera complété en ce sens.
S'agissant des analyses statistiques visées à l'article 1er (5°), les organismes ne peuvent être destinataires que de données préalablement anonymisées.
Sur la durée de conservation des données
L'article 4 du projet prévoit que " les informations relatives à un assuré ou un ayant droit bénéficiaire de l'action du service social sont conservées pendant une durée maximale de dix-huit mois après la clôture par l'assistant social de l'intervention individuelle ou collective concernant ce bénéficiaire ou cet ayants droit.
Au-delà de ce délai, ces informations peuvent être archivées pendant trois ans maximum dans un environnement logique séparé ".
La commission observe que la durée habituellement fixée dans le cadre de traitements mis en œuvre à des fins de gestion des interventions conduites auprès des usagers par les services sociaux est de six mois à compter de la clôture du dossier.
Interrogé sur les raisons qui motivent l'allongement du délai à dix-huit mois, le ministère a indiqué que ce délai était justifié par la nécessite d'assurer le suivi des personnes en situation de désinsertion professionnelle auprès desquelles le service social organise des réunions d'information collectives et qui nécessite de revenir vers eux douze et dix-huit mois après celles-ci. La commission en prend acte mais rappelle que les personnes concernées doivent être mises en mesure de s'opposer à la conservation des données qui les concernent après la clôture du dossier et d'en demander la suppression.
La commission prend acte, en outre, de ce que les assistants de services sociaux sont régulièrement alertés sur la nécessité de clôturer un dossier à compter de la date à laquelle le travail social a pris fin. Elle estime toutefois que, compte tenu de la nature particulièrement sensible des données traitées, leur durée de conservation doit être strictement limitée et demande par conséquent que des procédures d'alerte automatiques soient mises en œuvre en cas de non-clôture du dossier au terme d'un délai déterminé.
La commission prend acte de ce que les durées de conservation prévues à l'article 4 du projet constituent des durées maximales et que les données seront archivées sous une forme anonyme ou supprimées. Elle prend acte des engagements du ministère de compléter le projet sur ce point.
Elle rappelle que la conservation et l'archivage des données doivent être réalisés dans des conditions de sécurité conformes aux dispositions de l'article 34 de la loi du 6 janvier 1978 modifiée.
Sur l'information des personnes concernées
La commission prend acte de ce que, aux termes de l'article 6 du projet, " les personnes auxquelles se rapportent les données mentionnées à l'article 2 sont informées de l'existence d'un traitement les concernant, autorisé en application de l'article 1er, de ses finalités et des modalités d'exercice de leurs droits d'accès et de rectification ".
La commission relève que l'information délivrée aux personnes concernées ne comporte pas l'ensemble des mentions visées à l'article 32 de la loi du 6 janvier 1978 modifiée. Or, elle estime que seule une information claire, complète et explicite est de nature à permettre aux usagers d'exercer pleinement leurs droits. C'est pourquoi la commission demande que le projet soit complété sur ce point. Elle demande, notamment, que les personnes concernées soient clairement informées de l'existence de leur droit d'opposition, des conséquences éventuelles d'un refus à l'égard du traitement de leur demande, ainsi que des modalités d'exercice de leurs droits.
Elle rappelle que l'information des usagers doit se faire dans un langage compréhensible et selon des modalités appropriées et adaptées à leur état.
La commission rappelle enfin que le service social ne peut être destinataire d'informations nécessaires à l'identification de personnes susceptibles d'être sollicitées pour un suivi individuel ou collectif qu'après information des personnes concernées qui doivent être mises en mesure de s'y opposer.
Sur les droits d'accès, de rectification et d'opposition des personnes concernées
L'article 5 du projet prévoit que les droits d'accès et de rectification prévus aux articles 39 et 40 de la loi du 6 janvier 1978 modifiée s'exercent auprès du directeur de l'organisme de rattachement des personnes concernées.
L'article 7, alinéa 2, prévoit que le droit d'opposition prévu à l'article 38 de la loi du 6 janvier 1978 modifiée s'exerce selon les mêmes modalités.
La commission en prend acte.
La commission estime que ces modalités d'information et d'exercice des droits des personnes n'appellent pas d'observations.
Sur la sécurité des données et la traçabilité des actions
La commission prend acte de ce que l'article 7 du projet rappelle, d'une part, que les responsables de traitements doivent prendre " toutes les mesures nécessaires à la préservation de la sécurité des données tant à l'occasion de leur recueil que de leur consultation ", conformément à l'article 34 de la loi " Informatique et libertés " et, d'autre part, qu'il appartient aux responsables de traitement d'attester de la conformité des traitements précités au référentiel général de sécurité (RGS) prévu par le décret n° 2010-112 pris pour l'application des articles 9, 10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives.
La commission observe que le dossier technique joint à la demande d'avis porte exclusivement sur la méthodologie d'intégration de la sécurité dans les projets mis en œuvre par la CNAMTS.
La commission prend acte de l'engagement du ministère, d'une part, de produire, préalablement à la mise en œuvre du traitement par les autres régimes d'AMO, la documentation technique relative à ces régimes et, d'autre part, de tenir compte des observations qui seraient alors susceptibles d'être formulées par la CNIL.
La commission relève que la méthodologie appliquée par la CNAMTS est strictement cantonnée aux risques de sécurité. La commission demande dès lors que cette analyse porte également sur les risques liés à la vie privée des assurés sociaux.
La commission recommande que chacun des organismes gestionnaires des régimes obligatoires de base de l'assurance maladie développe une méthodologie lui permettant de gérer les risques d'une manière globale, et plus particulièrement les risques sur les libertés et la vie privée de leurs adhérents. Elle demande en outre que cette méthodologie lui soit transmise préalablement à la mise en œuvre des traitements.
Enfin, la commission rappelle que ces méthodologies doivent être régulièrement mises à jour, afin de prendre en compte les évolutions des technologies, et que les études de risques menées pour chacun des projets devront également être revues régulièrement afin, le cas échéant, de mettre à jour les mesures de sécurité initialement prévues.
Sur les formalités à accomplir
L'article 8 du projet prévoit qu'en application des dispositions du IV de l'article 26 de la loi du 6 janvier 1978 susvisée le responsable de chacun des traitements de données autorisés sur le fondement du présent décret adresse à la Commission nationale de l'informatique et des libertés, préalablement à sa mise en œuvre, un engagement de conformité aux dispositions du présent décret dans les conditions fixées à l'article 8 du décret n° 2005-1309 du 20 octobre 2005.
La commission en prend acte.
Les autres points du projet n'appellent pas, en l'état et au regard de la loi du 6 janvier 1978 modifiée, d'autres observations.
La présidente,
I. Falque-Pierrotin