(Demande d'avis n° 21004242)
La Commission nationale de l'informatique et des libertés,
Saisie par le ministre des solidarités et de la santé d'une demande d'avis concernant sur un projet de décret relatif au système d'information d'identification unique des victimes (SIVIC) ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
Vu l'article L. 3131-9-1 du code de la santé publique (CSP) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (loi « informatique et libertés ») ;
Après avoir entendu le rapport de Mme Valérie PEUGEOT, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Emet l'avis suivant :
La Commission a été saisie d'un projet de décret relatif au système d'information d'identification unique des victimes modifiant les dispositions du décret n° 2018-175 du 9 mars 2018, codifié au code de la santé publique. Ce traitement, dénommé « SIVIC » et dont le ministre en charge de la santé est responsable, est prévu par l'article L. 3131-39-1 du CSP, vise, en cas d'évènement constituant une situation sanitaire exceptionnelle ou étant de nature à impliquer de nombreuses victimes, notamment en cas d'accidents collectifs, à assurer la gestion de ces évènements et le suivi des victimes.
L'article L. 3131-9-1 du CSP renvoie à un décret en Conseil d'Etat, pris après avis de la Commission, le soin de préciser la nature des données recueillies et de fixer les modalités de leur transmission dans le respect des règles garantissant la protection de la vie privée.
Sur la finalité du traitement
Le projet d'article R. 3131-10-1 du CSP détaille les finalités de « SIVIC », qui ne figurent pas dans le décret n° 2018-175 du 9 mars 2018. La Commission accueille favorablement cette modification, qu'elle estime de nature à favoriser le respect du principe de transparence.
Sur la nature des données traitées
Le projet d'article R. 3131-10-2 du CSP détaille les catégories de données à caractère personnel qui seront enregistrées dans « SIVIC » et qui se rapportent à trois catégories de personnes : les personnes prises en charge, les personnes à contacter afin de les informer de la prise en charge d'un proche (personnes contact) et les utilisateurs du système d'information.
S'agissant des personnes prises en charge :
Le numéro d'identification des personnes au répertoire national d'identification des personnes physiques en tant qu'identifiant national de santé (NIR INS) est ajouté dans les catégories de données collectées, notamment afin d'améliorer l'identitovigilance et de détecter les éventuels doublons. Si la Commission comprend cet objectif, elle relève toutefois que ce traitement est susceptible de concerner un grand nombre de personnes, notamment dans l'hypothèse où le dispositif serait utilisé dans le cadre d'un événement de grande ampleur.
La Commission relève également que le projet de texte qui lui est soumis est un décret en Conseil d'Etat, d'un niveau de norme permettant d'élargir les cas d'utilisation du NIR. Toutefois, cette modification aboutit à prévoir une utilisation du NIR hors des cas prévus par le décret n° 2019-341 du 19 avril 2019 relatif à la mise en œuvre de traitements comportant l'usage du numéro d'inscription au répertoire national d'identification des personnes physiques ou nécessitant la consultation de ce répertoire (décret cadre NIR).
Elle s'interroge par ailleurs sur le fondement juridique permettant la collecte du NIR INS dans « SIVIC ». En effet, elle rappelle que le traitement de cette donnée est notamment encadré par les dispositions des articles L. 1111-8-1 et R. 1111-8-1 et suivants du CSP, l'article 30 de la loi informatique et libertés, ainsi que par le décret cadre NIR.
A cet égard, elle précise que le référencement à l'aide de l'identifiant national de santé doit être réalisé, selon les termes de l'article R. 1111-8-3 du CSP et de l'article 2-B-1° du décret précité, « par des professionnels, établissements, services et organismes mentionnés à l'article L. 1110-4 et des professionnels constituant une équipe de soins en application de l'article L. 1110-12 et intervenant dans la prise en charge sanitaire ou médico-sociale de la personne concernée ».
Or, la Commission relève que n'appartiennent pas à ces catégories le ministère chargé de la santé, désigné comme responsable de traitement, ainsi que la plupart des personnes visées au projet d'article R. 3131-10-3, tels que, par exemple, les personnels relevant des ministères de l'intérieur, de la justice et des affaires étrangères. Elle relève par ailleurs que le projet d'article R. 3131-10-3-V° prévoit la transmission du NIR INS dans le système d'information mis en place pour organiser les échanges définis à l'article 10-6 du code de procédure pénale, qui ne s'inscrivent pas dans la prise en charge sanitaire ou médico-sociale des personnes concernées.
A cet égard, et comme elle a eu l'occasion de le faire dans ses précédents avis, la Commission attire l'attention du ministère sur les risques engendrés en matière de vie privée par l'élargissement substantiel du nombre d'organismes et de personnes amenées à traiter le NIR dans ce contexte et sur l'impérieuse nécessité de cantonner l'utilisation du NIR INS aux sphères sanitaire et médico-sociale dans les conditions prévues par le code de la santé publique. Elle invite donc le ministère à clarifier le projet sur ce point, notamment s'agissant de la qualification juridique du NIR utilisé dans « SIVIC ».
Selon les précisions du ministère, l'enregistrement des données sera réalisé uniquement par les personnels administratifs des établissements de santé. Les professionnels de santé ne pourront que leur fournir des informations complémentaires.
La Commission attire l'attention du ministère sur le fait que le détail des différentes catégories de données collectées dans le cadre de « SIVIC » (poids, état de conscience, type et établissement d'hospitalisation, attestation de prise en charge clinique, etc.) ainsi que le contexte de leur recueil impliquent nécessairement le traitement de données de santé à caractère personnel, au sens de l'article 4-15) du règlement général sur la protection des données (RGPD). A ce titre, elle prend acte de ce que le ministère s'engage à faire preuve d'une vigilance particulière s'agissant des modalités de recueil de ces informations et à sensibiliser les personnes renseignant « SIVIC », notamment s'agissant des zones de commentaires libres ou « blocs-notes », susceptibles de contenir des données non pertinentes.
S'agissant des utilisateurs :
Concernant la collecte du numéro de téléphone mobile des utilisateurs du système d'information, prévue par le projet d'article R. 3131-10-2 2., la Commission prend acte, comme elle l'avait fait dans sa délibération n° 2017-322 du 7 décembre 2017, de ce qu'il s'agira en principe, du numéro de téléphone professionnel de l'utilisateur. Elle acte également que dans l'hypothèse où le professionnel ne dispose pas d'un numéro de téléphone mobile professionnel, la collecte d'un numéro personnel ne pourra lui être imposée.
La Commission prend acte de ce que le ministère s'est engagé à supprimer l'adverbe « notamment » du projet d'article, afin que soit dressée une liste exhaustive des données adéquates, pertinentes et limitées à celles nécessaires.
Sur la durée de conservation des données
Le projet de décret ne mentionne pas la durée de conservation des données qui seront contenues dans « SIVIC ». Selon les précisions du ministère, les données concernant les personnes prises en charge et les personnes contact sont conservées pendant une durée de deux ans à compter de la clôture de l'événement, à l'issue de laquelle les données seront supprimées. Les données de journalisation relatives à l'utilisation du système seront conservées un an après la clôture de l'événement avant d'être supprimées.
En outre, selon les indications du ministère, dans l'hypothèse d'événements impliquant uniquement des prises en charge médico-psychologiques, la clôture de l'évènement interviendra trente jours après l'ouverture de l'événement. Dans le cas contraire, un événement est clos « au plus tard trente jours après que le dernier patient a quitté l'hôpital » ou « jusqu'à la fin de l'hospitalisation complète du dernier patient de l'évènement ». Interrogé sur les critères de fin de l'hospitalisation, le ministère a précisé que le suivi de l'hospitalisation doit inclure les soins de suites et de réadaptation, ainsi que les hospitalisations en psychiatrie à l'issue d'une prise en charge dans un service de médecine, de chirurgie ou d'obstétrique. Par ailleurs, la Commission relève que la clôture d'un évènement n'est pas définitive car, selon les précisions du ministère, un événement pourrait être réouvert à l'initiative des agences régionales de santé (ARS) ou de la direction générale de la santé (DGS), lorsqu'une personne doit être réhospitalisée après la clôture de l'évènement. Dès lors, la Commission invite le ministère à préciser clairement dans le projet de décret les critères et modalités de calcul de la durée de conservation des données.
La Commission prend acte de ce que les données des utilisateurs de « SIVIC » seront conservées jusqu'à la fermeture du compte utilisateur.
La Commission invite le ministère à modifier le projet de décret afin d'indiquer la durée de conservation des données, pour chaque catégorie de personnes concernées.
Sur les destinataires des données
L'article L. 3131-9-1 du CSP prévoit que les données de « SIVIC » peuvent être transmises « dans le but d'assurer la gestion de l'événement et le suivi des victimes, aux agents désignés au sein des agences régionales de santé et des ministères compétents ».
Le projet d'article R. 3131-10-3 prévoit toutefois la transmission des données de « SIVIC » à l'Agence nationale de santé publique (ANSP), lors d'évènements de nature épidémique ou biologique, destinataire non mentionné dans l'article L. 3131-9-1 du CSP.
Tout en prenant acte de ce que le ministère s'est engagé à modifier le projet de décret afin que seules des données pseudonymisées soient transmises à l'ANSP, la Commission s'interroge sur la possibilité pour le projet de prévoir une telle transmission.
Par ailleurs, la Commission rappelle, dans l'hypothèse où « SIVIC » devrait être interconnecté avec d'autres systèmes d'information, que de tels rapprochements nécessiteraient de modifier le projet de décret ainsi que les textes encadrant leur mise en œuvre et que les catégories de destinataires devront être conformes aux textes en vigueur et notamment l'article L. 3131-9-1 du CSP.
Enfin, la communication de données est susceptible d'entraîner l'extension de la durée de conservation des données de « SIVIC », qui ne semble pas être prévue par les textes.
Sur l'information des personnes
La Commission invite le ministère à faire figurer dans le projet de décret les modalités d'information des personnes dont les données ont vocation à être traitées dans « SIVIC ». En outre, au vu de la sensibilité des données concernées, et en raison du contexte justifiant sa mise en œuvre, la Commission estime nécessaire que, conformément à l'article 12 du RPGD, le ministère diffuse sur son site web une information concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples afin que l'ensemble de la population puisse avoir connaissance de l'existence de « SIVIC » et appréhender son étendue et ses interconnexions.
Concernant les personnes prises en charge :
Selon les précisions du ministère, les personnes prises en charge seront informées du traitement des données à caractère personnel les concernant dans le cadre de « SIVIC » par la remise d'une attestation à l'issue d'une prise en charge somatique ou médico-psychologique. La Commission s'interroge sur la temporalité de l'information : l'issue d'une prise charge médico-psychologique pouvant intervenir dans un délai variable après la survenue de l'événement et, par conséquent, l'enregistrement des données dans « SIVIC ». Elle invite le ministère à prévoir une information des personnes prises en charge préalablement à leur inscription dans « SIVIC » et, dans l'hypothèse où les personnes ne seraient pas en état de recevoir cette information, à leur en faire part dès que leur état le permet. La Commission prend acte de ce que le ministère recommande aux établissements d'informer la famille ou le proche de confiance des personnes prises en charge à l'occasion de leur visite éventuelle.
Plus généralement, la Commission rappelle que selon les termes de l'article 12 du RGPD, l'information délivrée doit être concise, transparente, compréhensible et aisément accessible, en des termes clairs et simple. Elle insiste, au vu de la situation de particulière vulnérabilité dans laquelle se trouvent les personnes concernées par le traitement, sur la nécessité de tenir le plus grand compte de ces principes. Ainsi, ayant pris connaissance du modèle de document d'information, la Commission :
- relève qu'il y est fait mention que « SIVIC » n'implique pas le traitement de données médicales. La Commission considère que cette mention est de nature à remettre en cause la bonne compréhension du traitement envisagé, ce dernier portant sur des données concernant la santé ;
- invite le ministère à modifier les informations relatives à la durée de conservation des données dans l'attestation afin d'éviter un renvoi aux dispositions réglementaires du CSP.
La Commission prend acte de ce que le ministère s'est engagé à y préciser la limitation des droits des personnes concernées, conformément à l'article 23.2.h du RGPD.
Concernant les personnes contact :
Le ministère n'a pas précisé la façon dont les personnes contact seront informées du traitement dans « SIVIC » des données à caractère personnel les concernant. La Commission prend acte de ce que le ministère s'est engagé à prévoir une information individuelle des personnes contact et à leur communiquer un document comportant l'ensemble des mentions prévues par le RGPD.
Concernant les utilisateurs de « SIVIC » :
Selon les précisions du ministère, les utilisateurs sont informés du traitement des données à caractère personnel les concernant par le biais des conditions générales d'utilisation (CGU) de « SIVIC » qui seront affichées et validées par l'utilisateur lors de sa première connexion et après chaque mise à jour des CGU. La Commission relève que l'information ne se limite pas à l'affichage des CGU et est être complétée par des informations disponibles sur une page dédiée disponible sur le portail « SIVIC » auxquelles les utilisateurs pourront se reporter pendant toute la durée du traitement.
Sur les droits d'accès, de rectification et d'opposition des personnes
Le projet d'article R. 3131-10-4 exclut l'exercice du droit d'opposition et ne mentionne pas le droit d'effacement des personnes concernées par « SIVIC ». Selon les précisions du ministère, le droit d'effacement et d'opposition ne peuvent être exercés en raison de l'objectif de « SIVIC ».
La Commission analyse ces exclusions comme la mobilisation des dispositions de l'article 23 du RGPD qui permettent de limiter les droits des personnes pour garantir, notamment, des objectifs importants d'intérêt public dans le domaine de la santé publique. La Commission prend acte de ce que le ministère s'est engagé à modifier le projet de décret afin qu'il mentionne les raisons pour lesquelles les droits des personnes sont limités ainsi que les risques pour les droits et libertés que présente le traitement, conformément à l'article 23.2.g du RGPD.
Selon les précisions du ministère, les droits des personnes pourront être exercés auprès de la DGS et, pour les personnes prises en charge, auprès de l'établissement de santé ou de la cellule d'urgence médico-psychologique porteur des informations renseignées dans l'outil. La Commission prend acte de ce que le ministère s'est engagé à compléter le projet de décret en conséquence.
Sur la sécurité des données et la traçabilité des actions
Le traitement projeté, réalisé à grande échelle et incluant notamment des données sensibles, a fait l'objet d'une analyse d'impact relative à la protection des données et a fait l'objet d'une homologation de sécurité avant sa mise en production.
En raison de la sensibilité des données contenues dans « SIVIC », l'hébergement de ses services sera réalisé par un prestataire externalisé certifié hébergeur de données de santé (HDS).
Des mesures de chiffrement permettant d'assurer l'intégrité et la confidentialité des données traitées seront mises en place dans le cadre du traitement, tant concernant le stockage, les sauvegardes, les flux d'accès que les échanges de données. Les mécanismes techniques mis en œuvre pour ces mesures sont conformes à l'état de l'art, et notamment aux préconisations du référentiel général de sécurité (RGS) ; les données sensibles, dont le NIR INS, seront chiffrées au repos en base de données et lors des sauvegardes, par des algorithmes à l'état de l'art au moyen de boîtiers chiffrants. Une compartimentation des données au moyen de méthodes cryptographiques est également prévue pour amoindrir les risques de réidentification des patients.
Concernant l'habilitation des personnes pouvant accéder aux données traitées, une matrice d'habilitation a été réalisée afin de gérer les accès en tant que de besoin et selon des profils d'habilitation permettant une granularité des accès.
Concernant l'authentification des utilisateurs habilités, différents modes d'authentification sont disponibles au sein de « SIVIC » : une authentification forte par carte CPx, une authentification forte à deux facteurs par mot de passe à usage unique et une authentification simple par mot de passe conforme à la délibération n° 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe. Les fonctionnalités liées à la gestion des comptes nécessitent l'utilisation d'une authentification forte. L'accès aux données métier de « SIVIC » requiert soit une authentification par mot de passe, soit une authentification par carte CPx si celle-ci a été préalablement enregistrée dans « SIVIC ». La Commission note que des recommandations relatives à l'authentification par carte CPx seront communiquées aux utilisateurs pendant leurs formations et font partie de la documentation associée à l'outil, mais rappelle sa recommandation de sécuriser l'accès aux données de santé par une authentification forte à deux facteurs.
Concernant l'authentification des utilisateurs habilités conformément au référentiel « Identifiant national de santé » (INS), des tests d'adéquation seront réalisés et validés par le centre national de dépôt et d'agrément (CNDA) afin de s'assurer de la bonne adéquation de « SIVIC » avec le téléservice « INSi ». Le traitement projeté fera l'objet d'une auto-homologation afin de pouvoir appeler ce téléservice via une connexion authentifiée par certificat serveur. Dans ce cadre, La Commission prend acte de ce que le téléservice ne sera appelé que sur l'action volontaire et manuelle de l'utilisateur via un bouton dans le dossier « SIVIC » et qu'un tel appel ne sera effectué que lors d'une opération de recherche par traits d'identité du patient. Elle prend acte également de ce que des traces fonctionnelles seront mises en place comprenant l'utilisateur, la structure, la date et l'heure de l'appel au téléservice et rappelle le besoin de suivi et de remontée d'alertes liées à cette fonctionnalité.
Concernant les fonctionnalités d'exportation liées à un évènement au sein d'un établissement de santé, SAMU ou ARS, la Commission relève la mise en œuvre d'une limitation des données extraites au strict nécessaire au respect du droit d'en connaître des utilisateurs habilités et des habilitations mises en place pour chaque profil, ainsi que de traces fonctionnelles reprenant l'auteur, la date et l'heure de l'extraction. Elle prend acte de ce que le ministère s'est engagé à mettre en place un message de sensibilisation lors de chaque extraction et rappelle le besoin de suivi et de remontée d'alertes liées à cette fonctionnalité présentant un risque résiduel important.
Les données pseudonymisées peuvent être exportées dans le cadre de la gestion d'événements de nature épidémique ou biologique conformément aux missions d'alerte et de veille sanitaire à des services du ministère de la santé ainsi qu'à l'ANSP. La Commission prend acte de ce qu'aucune donnée d'identité ne sera présente dans ces exportations et que des travaux sont en cours pour hacher le numéro SINUS grâce à une fonction de hachage cryptographique à l'état de l'art et à un sel de hachage généré grâce à une clé stockée dans un boîtier chiffrant. Les exportations seront ensuite chiffrées et transmises aux destinataires via des protocoles sécurisés.
Concernant la disponibilité des données, un plan de reprise d'activité sera mis en œuvre et les sauvegardes seront répliquées sur un site secondaire distant géographiquement.
La durée de conservation des traces fonctionnelles est fixée à deux ans après la clôture de l'évènement. Le ministère justifie cette durée par la nécessité de veiller et d'assurer les accès aux personnes habilitées dans le cadre de leurs missions, ainsi que de pouvoir utiliser ces traces dans le cadre de réquisitions judiciaires. La Commission précise cependant que le point de départ de la durée de conservation, qui peut être très éloigné de la date de génération de la trace, et la durée de conservation elle-même ne sont pas conformes à ses recommandations habituelles, qui st de conserver les traces fonctionnelles pendant une durée maximum d'un an à partir de la génération de la trace fonctionnelle. Elle rappelle que des procédures de contrôle doivent être mises en œuvre de manière régulière afin d'identifier des accès non autorisés et doivent donner lieu, le cas échéant, à l'établissement d'un rapport de violation des données dans un délai raisonnable. Elle note que les traces techniques, comprenant les données d'usage du service par ses utilisateurs, seront conservées pendant une durée d'un an à partir de la clôture de l'événement. Elle demande en conséquence de réduire au strict nécessaire la durée de conservation des traces fonctionnelles et de choisir une durée fixée, à échéance glissante pour les durées de conservation des traces fonctionnelles et techniques, ou d'apporter une justification particulière démontrant un risque élevé pour les personnes concernées nécessitant de conserver ces traces au-delà de la durée recommandée, notamment en cas de possibilité de détournement de finalité du traitement.
La Commission rappelle que, dans l'hypothèse où « SIVIC » serait interfacé avec d'autres traitements, aucune base de données ne devrait rassembler l'ensemble des informations recueilli dans chacun des traitements interconnectés et que les transmissions de données devraient être sécurisées par des algorithmes et protocoles à l'état de l'art. Elle rappelle que des mesures de sécurité et de minimisation adéquates devraient être mises en place afin de réduire les risques liés à ce type de transmission.
Enfin, la Commission relève qu'un centre opérationnel de sécurité collectera et analysera les traces et événements produits par les logiciels, serveurs et équipements réseau de « SIVIC » ainsi que les différents services de sécurité. Elle recommande ici encore que les traces applicatives et événements collectés et analysés soient conservés pendant une durée conforme à ses préconisations. Concernant les données collectées par ce centre opérationnel, le ministère a précisé que ces traces ne comporteront pas de données de santé ou de « données directement nominatives » des patients et des utilisateurs. La Commission en prend acte.