La nouvelle loi « Informatique et Liberté » : Entrée en vigueur et décret d’application

Le décret n° 2019-536, a été publié le 30 mai 2019, pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

La publication du décret constitue la dernière étape de la mise en conformité du droit national avec le Règlement général sur la protection des données (RGPD) et la Directive « police-justice », applicable aux fichiers de la sphère pénale.

Le décret a pour objets principaux d’améliorer la lisibilité du cadre juridique national et de mettre en cohérence les dispositions réglementaires avec le droit européen et les mesures législatives nationales prises pour son application.

La CNIL avait rendu un avis sur ce texte le 9 mai 2019, en estimant que le texte atteignait ces objectifs.

Elle a néanmoins émis plusieurs observations en vue d’améliorer la sécurité juridique assurée par le texte aux personnes concernées comme aux organismes traitant des données, qui doivent disposer de règles claires, lisibles et cohérentes avec le RGPD. Elle a également souhaité préciser l’encadrement de certaines de ses procédures, notamment en matière de contrôle, de mise en demeure ou de sanction.

Ce décret marque enfin l’achèvement du processus d’adaptation du droit national au RGPD : sa publication permet l’entrée en vigueur de l’ensemble du nouveau cadre juridique « Informatique et Libertés ». La loi et son décret d’application, profondément remaniés, permettent dorénavant aux personnes comme aux organismes traitant des données d’appréhender de manière plus claire leurs droits et obligations en matière de protection des données à caractère personnel.

Source : https://www.cnil.fr/fr/entree-en-vigueur-de-la-nouvelle-loi-informatique-et-libertes-et-de-son-nouveau-decret-dapplication

Le RGPD, 1 an après son entrée en vigueur

Le 25 mai 2018, le règlement général sur la protection des données est entré en vigueur. Un an après, la CNIL dresse un premier bilan et note qu’une importante dynamique s’est mise en place auprès des particuliers et des professionnels.

Les Français sont plus sensibles aux problématiques de protection des données. En effet la CNIL a vu le nombre de plaintes déposées par les particuliers augmenter de 30%. Du côté des professionnels, l’appropriation se fait progressivement, avec la notification de violation de données, la désignation de DPO (délégué à la protection des données) et des demandes d’information accrus auprès de la CNIL.

L’année 2019 marque l’achèvement de la transition vers le RGPD. Il est essentiel que, désormais, les organismes appliquent complètement le nouveau texte. Dans l’instruction des plaintes et dans ses contrôles, la CNIL vérifiera donc pleinement le respect des nouvelles exigences. Elle en tirera au besoin toutes les conséquences, y compris en termes de sanction. Mais comme par le passé, elle fera preuve de discernement dans son action répressive, en tenant compte, notamment, de la bonne foi des organismes.

Le Cabinet ACCENS Avocats sera à vos côté sur toutes les questions relatives à la protection des données.

Source : https://www.cnil.fr/fr/1-de-rgpd-une-prise-de-conscience-inedite

Utilisation du numéro de sécurité sociale (NIR) dans les traitement de données des ESMS

A présent, nul n’ignore que le traitement des données personnelles est encadré depuis l’entrée en vigueur du RGPD, lequel définit de telles données comme toute information se rapportant à une personne physique identifiée ou identifiable.

Le Numéro d’Inscription au Répertoire (NIR), communément appelé « numéro de sécurité sociale » entre naturellement dans le cadre de cette définition et les traitements de cette donnée doivent donc être précisément encadrés.

L’article 22 de la loi n° 78-17 du 6 janvier 2018 relative à l’informatique, aux fichiers et aux libertés, dans sa rédaction issue de l’article 11 de la loi n° 2018-498 du 20 juin 2018, encadre le traitement du NIR et renvoie au gouvernement la charge d’en détailler ceux qui sont autorisés.

C’est donc le décret n° 2019-341 du 19 avril 2019 qui expose la liste de ces traitements, soit qu’ils portent sur l’exploitation du NIR, soit qu’ils portent sur la consultation du Répertoire National d’Indentification des Personnes Physiques.

Ces traitements sont répartis dans 8 grands champs d’application : la protection sociale ; la santé ; le travail et l’emploi ; la finance, la fiscalité et les douanes ; la justice ; les statistiques ; l’éduction et le logement.

Le décret ne comporte pas de date d’entrée en vigueur et est donc applicable au lendemain de sa publication au Journal Officiel, soit depuis le 22 avril 2019.

Traitement du NIR autorisé pour les ESSMS

Le décret prévoit toutes les hypothèses de recours au NIR, mais c’est particulièrement son article 2, A, 1°, j, qui précise ceux qui peuvent être mis en place par des ESSMS.

Ainsi, sont autorisés les traitements qui sont :

  • Nécessaires à la prise en charge des personnes à des fins sanitaires et médico-sociales
  • Nécessaires aux échanges avec les administrations et organismes chargés de la gestion d’un régime de base de la sécurité social ou habilités à la gestion d’un tel régime (ie : CPAM, MSA, RSI, SLM, etc.) ainsi qu’avec les MDPH.

Il y a lieu de considérer que ces conditions sont cumulatives.

En effet, la CNIL a rendu un avis en date du 14 mars 2019, par lequel elle apporte ses observations sur le projet de décret prévu par le gouvernement, modifié suite à cet avis et ayant abouti au décret du 19 avril 2019.

Le projet de décret prévoyait l’autorisation du traitement du NIR pour « la tenue du dossier de l’usager relatif à sa prise en charge ».

La CNIL, après avoir rappelé que l’utilisation du NIR doit être strictement limitée, a considéré que cette précédente formulation aurait pu permettre un traitement de cette donnée, sans qu’il n’y ait d’échange avec les professionnels de santé et les organismes de sécurité sociales.

Le gouvernement a donc modifié son projet en conséquence.

Précautions à prendre lors de l’utilisation du NIR dans un traitement

Le NIR est une donnée particulière, d’abord, parce qu’elle est la plus identifiante possible en FRANCE, et, ensuite, parce qu’elle est elle-même constituée de plusieurs données : genre, mois, année, département et commune de naissance.

La CNIL rappelle dans son avis du 14 mars 2019 que son utilisation ne doit être ni générale ni systémique, et cantonnée à la sphère médico-sociale, sauf motif d’intérêt public caractérisé. Elle fait ici application des principe généraux issus du RGPD.

Dans ce cadre, elle précise que les traitements demeurent soumis aux obligations posées par le RGPD et notamment :

  • Obligation de minimalisation des données, en raison de laquelle le traitement du NIR doit être limité aux seuls cas de besoin justifié par la finalité du traitement
  • Obligations préalables au traitement, la CNIL rappelant que de tels traitements doivent, a minima, faire l’objet d’une analyse d’impact préalable et, si le risque résiduel est élevé, qu’elle doit être consultée

Enfin, les données de santé sont des données sensibles et font l’objet d’un régime spécifique, dont l’interdiction du traitement est le principe et l’autorisation l’exception, conditionnée à l’application de règles strictes et protectrices (ie : tenue du registre, obligation de nommer un Délégué à la Protection des Données, etc.)

Or, une donnée de santé est non seulement une donnée qui porte sur la santé, mais également une donnée, qui, croisée avec d’autres, donne des indications sur la santé, ou encore une donnée traitée en vue d’être utilisée au plan médical.

Au regard de ces indications et compte tenu du cadre dans lequel les traitements du NIR sont autorisés pour les ESSMS, il y a lieu de considérer qu’il prendra le caractère de donnée de santé, et son traitement devra donc faire l’objet d’une vigilance particulièrement renforcée.

Il revient aux ESMS et au délégué à la protection des données (DPO) d’être vigilant quant à l’utilisation du NIR dans les fichiers de données (logiciels métiers, fichiers papier, word, excel, etc.).

Traitement de données personnel des MNA : la CNIL avait posé ses exigences

Au journal officiel du 31 janvier dernier était publié le décret n° 2019-57 du 30 janvier 2019 relatif aux modalités d’évaluation des personnes se déclarant mineures et privées temporairement ou définitivement de la protection de leur famille et autorisant la création d’un traitement de données à caractère personnel relatif à ces personnes.

Préalablement à la publication du décret le ministre de l’intérieur a demandé un avis à la CNIL, ce qui a été fait par une délibération n° 2018-351 du 27 novembre 2018 portant avis sur un projet de décret modifiant les articles R. 221-11 et R. 221-12 du code de l’action sociale et des familles relatifs à l’évaluation des personnes se déclarant mineures et privées temporairement ou définitivement de la protection de leur famille et autorisant la création d’un traitement de données à caractère personnel relatif à ces personnes.

Dans cette longue délibération, la CNIL va faire une analyse très approfondie de la conformité du traitement aux dispositions du RGDP. Nous reprenons ci-dessous l’avis de la CNIL dont la méthodologie est très rigoureuse.

Ainsi, commence-t-elle par apprécier l’objet du traitement à savoir répondre à certaines difficultés rencontrées par les conseils départementaux dans l’évaluation des mineurs non accompagnés (MNA) dont le nombre a très fortement augmenté dans la période récente.

Elle relève que le projet de décret :

  • vise à apporter le concours de l’Etat à l’identification des mineurs.
  • vise à préciser les conditions de mise en œuvre du traitement automatisé de données à caractère personnel mentionné à l’article 51 de la loi n° 2018-778 du 10 septembre 2018. Sur ce point, la CNIL ne manque pas de préciser que si elle avait été saisie du projet de loi pour une immigration maîtrisée et un droit d’asile effectif, celui-ci ne comportait pas ledit article introduit postérieurement à son avis en date du 8 février 2018, par voie d’amendement…

Ensuite la CNIL, précise que le traitement automatisé de données à caractère personnel dénommé « appui à l’évaluation de la minorité (AEM) » a pour finalité d’identifier, à partir de leurs empreintes digitales, les personnes se déclarant mineures et privées temporairement ou définitivement de la protection de leur famille, d’accélérer et fiabiliser l’évaluation de ces personnes et de prévenir le détournement du dispositif de protection de l’enfance par des personnes majeures ou qui se présentent successivement dans des départements différents.

Elle considère que ce traitement « AEM » qui a pour finalités la protection de l’enfance, en permettant l’identification des personnes se déclarant mineures et la lutte contre l’entrée et le séjour irréguliers des étrangers en France, relève du champ d’application du règlement (UE) 2016/679 du 27 avril 2016 susvisé (ci-après « RGPD »).

La commission relève suite que le projet de décret qui lui est soumis vise à modifier les dispositions du CESEDA relatives aux traitements concernant l’application de gestion des dossiers des ressortissants étrangers en France (« AGDREF 2 ») et VISABIO sur lesquels elle s’est déjà prononcée. Elle observe que cette modification doit permettre, d’une part, l’interrogation de ces traitements dans le cadre de l’évaluation de la situation de la personne se présentant comme mineure et, d’autre part, de rendre destinataires les agents chargés de la protection de l’enfance dans les conseils départementaux des données issues de l’interrogation de ces traitements.

Ensuite la CNIL va analyser les finalités du traitement « AEM » et les modifications apportées à « AGDREF 2 » et VISABIO, à savoir, permettre une meilleure efficacité du dispositif d’aide sociale à l’enfance (ASE) tout en permettant de remédier en partie aux difficultés rencontrées par les départements dans la prise en charge de ces mineurs notamment pour :

– 1° identifier, à partir de leurs empreintes digitales, les personnes se déclarant mineures et privées temporairement ou définitivement de la protection de leur famille et ainsi lutter contre la fraude documentaire et la fraude à l’identité ;

– 2° permettre une meilleure coordination des services de l’Etat et des services compétents en matière d’accueil et d’évaluation de la situation des personnes mentionnées au 1° ;

– 3° accélérer et rendre plus fiable cette évaluation ;

– 4° prévenir le détournement du dispositif de protection de l’enfance par des personnes majeures ou des personnes se présentant successivement dans plusieurs départements ».

Elle conclue que les finalités du traitement sont déterminées, explicites et légitimes, conformément aux dispositions de l’article 5-1-c du RGPD.

La commission relève par ailleurs que le traitement projeté vise à permettre l’identification de la personne présentée comme mineure. A cette fin, l’article 3 du projet de décret modifie les finalités des traitements « AGDREF 2 » et VISABIO afin d’ajouter la détermination et la vérification de l’identité d’un étranger qui se déclare mineur et privé temporairement ou définitivement de la protection de sa famille au titre des finalités actuellement prévues par le CESEDA et ainsi permettre l’interrogation de ces deux traitements dans le cadre du dispositif « AEM ».

Elle rappelle que les finalistés des traitements :

« AGDREF 2 » : garantir le droit au séjour des ressortissants étrangers en situation régulière et de lutter contre l’entrée et le séjour irréguliers en France des ressortissants étrangers . Ce traitement constitue ainsi le fichier principal de gestion administrative des étrangers en France et permet notamment la gestion, par les préfectures, des dossiers de ressortissants étrangers, la fabrication des titres de séjour et la gestion des mesures d’éloignement.

VISABIO : mieux garantir le droit au séjour des personnes en situation régulière et de lutter contre l’entrée et le séjour irréguliers des étrangers en France, en prévenant les fraudes documentaires.

Elle souligne que les finalités poursuivies par ces deux traitements que ces derniers sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques et qu’ils doivent dès lors faire l’objet d’une analyse d’impact sur la protection des données à caractère personnel (AIPD). Les traitements présentant un risque élevé ayant fait l’objet d’une formalité préalable avant le 25 mai 2018 ne sont toutefois pas immédiatement soumis à la réalisation de cette analyse, à moins que les conditions de mise en œuvre de ces traitements aient fait postérieurement l’objet d’une ou plusieurs modifications substantielles.

Sont ainsi concernés les traitements « AGDREF 2 » et VISABIO, qui sont, par nature, susceptibles d’engendrer des risques élevés pour les personnes concernées. Si une AIPD a bien été transmise à la commission concernant la modification des dispositions relatives au traitement « AGDREF 2 », elle estime que les modifications examinées du traitement VISABIO sont substantielles et qu’en conséquence les évolutions qui lui sont soumises nécessitent également la réalisation d’une analyse d’impact. Elle demande à ce que cette AIPD soit réalisée et lui soit, le cas échéant, transmise avant la mise en œuvre effective du traitement « AEM ».

La CNIL se penche ensuite sur la procédure d’identification de la personne se présentant comme mineure étrangère privée temporairement ou définitivement de la protection de sa famille :

Elle relève que le président du conseil départemental n’a pas l’obligation de solliciter le concours de l’Etat dans la réalisation de la procédure d’évaluation de la minorité. Ainsi, le mineur concerné ne serait pas systématiquement reçu en préfecture aux fins de vérification de son identité dans les conditions décrites ci-après.

Elle rappelle par ailleurs que dans l’hypothèse où une personne se présentant comme mineure refuserait de se soumettre à la collecte de ses empreintes digitales, l’information relative à ce refus sera transmise par la préfecture au président du conseil départemental. A cet égard, la commission souligne qu’un tel refus ne peut légalement et à lui seul, sans examen circonstancié de la situation, emporter des conséquences négatives pour la personne concernée.

En premier lieu, la commission prend acte de ce que la vérification de l’identité de la personne se présentant comme mineure se traduit dans un premier temps par la collecte de ses empreintes digitales, sans pour autant que celles-ci fassent l’objet d’un enregistrement, aux fins d’interrogation des bases « AGDREF 2 » et VISABIO.

Dans l’hypothèse d’une concordance, c’est-à-dire si la personne est déjà connue d’« AGDREF 2 » et/ou de VISABIO, et qu’elle y est enregistrée comme personne majeure étrangère, le préfet informe le conseil départemental de l’enregistrement de la personne concernée, ainsi que du motif d’enregistrement, dans ces traitements. A cet égard, la commission prend acte que les données ainsi transmises par le préfet au président du conseil départemental, issues des traitements « AGDREF 2 » et VISABIO, sont limitées à l’état civil de la personne (nom, prénom, date et lieu de naissance) et au motif d’enregistrement dans ce(s) traitement(s).

Elle rappelle qu’une attention particulière devra être portée aux conséquences d’une concordance avec le traitement VISABIO, compte tenu des enjeux spécifiques de fiabilité de certaines des données qui y sont enregistrées et notamment celles des empreintes digitales des mineurs ou des documents d’état civil.

Si la personne n’est pas connue d’« AGDREF 2 » en tant que personne s’étant déclarée mineure mais ayant déjà été évaluée majeure, l’agent de préfecture procède à la collecte des données d’état civil de la personne, à son enrôlement biométrique (collecte de ses empreintes digitales) et à l’enregistrement de l’image numérisée de son visage, aux fins de création d’une procédure « AEM ». A l’issue de la collecte de ces données, le traitement « AEM » permet de vérifier que la personne n’est pas déjà enregistrée en base, au moyen des données précédemment collectées. Si le système détecte une identité semblant correspondre à ces données, les données relatives à celle-ci sont affichées à l’agent de préfecture, ce dernier devant dès lors déterminer si la personne correspond effectivement à l’identité connue d’« AEM ». Il est possible à ce stade qu’une évaluation soit déjà en cours dans un autre département, ou que la personne ait déjà été déclarée mineure.

Dans ces deux hypothèses, l’information est transmise par la préfecture au président du conseil départemental à qui il reviendra de prendre l’attache du président du conseil départemental en charge de l’évaluation initiale. Si la personne a été évaluée majeure, cette information pourra être prise en compte par le président du conseil départemental pour décider d’interrompre le cas échéant l’évaluation. Si l’agent considère que la personne ne correspond pas à cette identité, la procédure d’enregistrement se poursuit normalement et l’agent de préfecture poursuit la création de la procédure « AEM ». Les données ainsi recueillies, à l’exception de l’image numérisée des empreintes digitales, sont éditées sous format PDF et transmises par voie dématérialisée et chiffrée au conseil départemental concerné, pour permettre la réalisation de la procédure d’évaluation de la minorité, telle que prévue par les articles R. 221-11 et R. 221-12 du CASF.

La commission rappelle que, conformément aux dispositions de l’article 51 de la loi n° 2018-778 du 10 septembre 2018 susvisée, aucun dispositif de reconnaissance faciale ne pourra être mis en œuvre à partir de la photographie collectée.

Elle relève que le projet de décret prévoit explicitement que le traitement « AEM » ne comporte aucun dispositif de recherche permettant l’identification à partir de l’image numérisée du visage. A cet égard, le ministère a précisé que l’identification de la personne concernée aux fins notamment de comparaison avec les bases précitées sera exclusivement subordonnée à une intervention humaine de l’agent de préfecture ou du conseil départemental chargé de s’assurer de la correspondance entre l’image numérisée du visage et l’image de la personne présente. Elle prend également acte de ce que les images numérisées des visages ne seront pas utilisées pour des comparaisons biométriques, les seules vérifications réalisées à partir de ces images étant des vérifications visuelles réalisées par les agents.

La CNIL analyse ensuite les données collectées notamment au regard des principes du RGPD :

Sur les données enregistrées dans le traitement « AEM »

Le décret prévoit, d’une part, que peuvent faire l’objet d’un enregistrement dans le traitement projeté : les images numérisées du visage et des empreintes digitales de deux doigts des personnes qui se déclarent mineures et privées temporairement ou définitivement de la protection de leur famille.

Cet article prévoit, d’autre part, que « peuvent également être enregistrées dans le traitement, des données et informations relatives aux personnes qui se déclarent mineures », dans la mesure où de telles données sont disponibles.

Il s’agit des données relatives à l’état civil, la nationalité, la commune de rattachement, aux coordonnées téléphoniques et électroniques, aux langues parlées, aux données relatives à la filiation, aux références des documents d’identité et de voyage détenus et du visa d’entrée délivré, à la date et aux conditions d’entrée en France ainsi qu’au conseil départemental chargé de l’évaluation. A l’issue de l’évaluation de la minorité de la personne concernée, des données peuvent être transmises par le conseil départemental à la préfecture. Elles portent uniquement sur le numéro de procédure du service de l’aide sociale à l’enfance, la date à laquelle l’évaluation de la situation de la personne a pris fin et, le cas échéant, la date de la mesure d’assistance éducative prise par le juge des enfants.

La commission relève que des indications sur les résultats de l’évaluation au regard de la minorité et de l’isolement de la personne concernée peuvent également être transmises en retour par le conseil départemental aux préfectures, à l’issue de l’évaluation. A cet égard, elle prend acte de ce que ces données sont uniquement relatives au fait que la personne est majeure ou mineure, et isolée ou non, si elle a été reconnue mineure, sur le territoire français. Ces données sont par ailleurs enregistrées dans le traitement sous forme de valeurs à sélectionner dans une liste de « type fermé ». Dans ces conditions, l’enregistrement de données relatives au résultat de l’évaluation de la minorité de la personne concernée n’appelle pas d’observation de la part de la commission.

Enfin, des données peuvent être enregistrées par l’agent de préfecture responsable du traitement, notamment : le numéro de procédure attribué par « AEM », ainsi que la date de notification au préfet de département et, à Paris, au préfet de police de la date à laquelle l’évaluation de la personne a pris fin. Cette dernière catégorie de données n’appelle pas d’observations de la part de la commission.

La commission considère que les catégories de données ainsi collectées dans le traitement « AEM » sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées, conformément à l’article 5-1-c du RGPD.

Sur les données enregistrées dans « AGDREF 2 »

La commission rappelle qu’en vertu du dernier alinéa de l’article R. 221-11 du CASF tel que modifié par le projet de décret, le président du conseil départemental notifie, en principe au terme de l’évaluation, la date et le sens de celle-ci.

L’article R. 221-15-5 du CESEDA issu de l’article 2 du projet de décret prévoit alors que lorsqu’une personne se déclarant mineure de nationalité étrangère est évaluée majeure, le traitement « AEM » transmet systématiquement les données collectées au traitement « AGDREF 2 ». Par voie de conséquence, l’article 4 du projet de décret modifie la section 1 de l’annexe 6-4 du CESEDA afin de prévoir que des données relatives aux ressortissants étrangers se déclarant mineurs et privés temporairement ou définitivement de la protection de leur famille, et évalués majeurs par le président du conseil départemental, peuvent faire l’objet d’un enregistrement dans le traitement « AGDREF 2 ».

A ce titre, sont collectées les données relatives à la commune de rattachement de l’intéressé, au conseil départemental chargé de l’évaluation, la date et les conditions d’entrée en France, le numéro de procédure attribué par le traitement « AEM » et le numéro de procédure du service de l’aide sociale à l’enfance, la date de fin de l’évaluation par le président du conseil départemental, le résultat de cette décision, la date de la mesure d’assistance éducative ainsi que la date de la notification au préfet de département et, à Paris, au préfet de police de la fin de l’évaluation par le président du conseil départemental ou de la saisine par le président de l’autorité judiciaire.

Le ministère a précisé qu’au titre du résultat de la décision d’évaluation de la minorité par le président du conseil départemental, est uniquement enregistrée la mention de majorité de la personne.

Au regard de ces précisions, et compte tenu de la finalité de lutte contre l’entrée et le séjour irréguliers des étrangers en France expressément assignée par la loi au traitement « AEM », la commission estime que les données enregistrées dans le traitement « AGDREF 2 » peuvent être regardées comme adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées, conformément à l’article 5-1-c du RGPD.

Enfin, la commission prend acte de ce qu’aucune donnée relative à la personne concernée n’est enregistrée dans le traitement VISABIO.

La CNIL s’attache à vérifier qui sont les destinataires des données collectées :

En premier lieu, le projet de décret prévoit que peuvent accéder, à raison de leurs attributions et dans la limite du besoin d’en connaître, à tout ou partie des données à caractère personnel et informations mentionnées à l’article R. 221-15-2 les agents des préfectures et des sous-préfectures chargés de la mise en œuvre de la réglementation concernant les ressortissants étrangers, individuellement désignés et spécialement habilités par le préfet et, à Paris, par le préfet de police, ce qui n’appelle pas d’observation particulière.

Il est également prévu que puissent accéder, dans les mêmes conditions, à tout ou partie des données à caractère personnel et informations mentionnées à l’article R. 221-15-2, les agents relevant des services centraux du ministère de l’intérieur chargés de l’immigration et du séjour, des systèmes d’information des étrangers en France et de l’administration du traitement, individuellement désignés et spécialement habilités par le ministre de l’intérieur.

La commission prend acte des précisions apportées par le ministère selon lesquelles, d’une part, les agents ainsi visés sont ceux de la direction générale des étrangers en France (DGEF) et de la direction des systèmes d’information et de communication (DSIC) et que, d’autre part, ces agents ont uniquement accès aux données enregistrées aux fins d’administration du traitement. Si l’accès de ces personnes aux données du traitement, pour le seul objet précité, n’appelle pas d’observation particulière de la commission, elle prend acte de l’engagement du ministère de modifier le projet de décret pour préciser les attributions des agents concernés, à savoir qu’ils sont en charge de l’administration du traitement, des applications relatives aux étrangers en France et des systèmes d’information.

Dans ces conditions, la commission estime que l’accès aux données du traitement des personnes visées par le projet de décret est légitime.

En deuxième lieu, le projet de décret prévoit qu’à des fins exclusives d’établissement de statistiques, les agents chargés des études statistiques affectés à la direction générale des étrangers en France peuvent accéder aux informations anonymisées obtenues à partir du traitement « AEM ». Dans la mesure où le ministère met en œuvre des mesures suffisantes afin de permettre de garantir l’anonymisation des données enregistrées dans le traitement à des fins uniquement statistiques, la commission considère que l’accès, dans ces conditions, par ces personnes aux données du traitement projeté n’appelle pas d’observation particulière.

En troisième lieu, le projet de décret prévoit que le procureur de la République, les personnes individuellement désignées et spécialement habilitées par lui, ainsi que les agents en charge de la protection de l’enfance du conseil départemental compétent, peuvent être destinataires des données enregistrées dans le traitement, à l’exception de l’image numérisée des empreintes digitales.

La commission prend acte des précisions apportées par le ministère selon lesquelles rendre le procureur de la République destinataire des données enregistrées dans le traitement a notamment vocation à permettre la transmission de ces données dans l’hypothèse où il solliciterait des informations complémentaires dans le cadre de sa saisine, conformément aux dispositions du code civil et du CASF, sans que l’image numérisée des empreintes digitales puisse lui être transmise.

En quatrième lieu, l’article 3 du projet de décret prévoit que peuvent être destinataires des données enregistrées dans les traitements « AGDREF 2 » et VISABIO, pour les besoins exclusifs de l’évaluation de la minorité de la personne se présentant comme mineur non accompagné, les agents chargés de la mise en œuvre de la protection de l’enfance individuellement désignés et spécialement habilités par le président du conseil départemental.

La commission prend acte de ce que cette disposition vise uniquement à permettre aux agents ainsi visés d’avoir connaissance des informations communiquées par la préfecture dans l’hypothèse d’une concordance entre les empreintes digitales de la personne et celles enregistrées dans les traitements « AGDREF 2 » et VISABIO, soit les données d’état civil (nom, prénom, date et lieu de naissance) ainsi que le motif d’enregistrement.

Au regard de ces précisions, elle estime que la transmission de données issues de ces traitements aux agents chargés de la mise en œuvre de la protection de l’enfance pour les besoins de l’évaluation de la minorité est légitime compte tenu des finalités poursuivies par le traitement projeté.

Enfin, l’article R. 611-4-2° du CESEDA prévoit l’accès au traitement « AGDREF 2 » des « agents chargés de l’application de la réglementation des étrangers, ainsi que de celle relative à l’accès à la nationalité française, dans les préfectures et les sous-préfectures, individuellement désignés et spécialement habilités par le préfet et, à Paris, par le préfet de police ». Ces mêmes agents peuvent par ailleurs être destinataires des données du traitement VISABIO, pour « l’application de la réglementation relative à la délivrance des titres de séjour, au traitement des demandes d’asile et à la préparation et à la mise en œuvre des mesures d’éloignement », conformément à l’article R. 611-12-2° du CESEDA.

Sans remettre en cause les besoins opérationnels pouvant conduire à autoriser l’accès de ces agents au traitement « AGDREF 2 » et la communication d’informations enregistrées dans VISABIO pour les finalités précitées, la commission estime que l’interrogation de ces deux bases par les agents de préfecture dans le cadre du dispositif « AEM » est de nature à étendre les cas dans lesquels ces agents peuvent accéder ou avoir connaissance des données enregistrées dans les traitements, au-delà de ce qui est actuellement prévu par les articles R. 611-4-2° et R. 611-12-2° du CESEDA. Dès lors, elle considère que les textes précités devraient être modifiés afin de prévoir ces extensions. A cet égard, elle prend acte de l’engagement du ministère de modifier le projet de décret en ce sens.

Sur la durée de conservation des données :

L’article 2 du projet de décret prévoit que les données sont effacées du traitement mentionné à l’article R. 221-15-1 au terme d’un délai d’un an à compter de la notification au préfet de département et, à Paris, au préfet de police de la date à laquelle l’évaluation de la personne a pris fin.

La commission prend acte des précisions apportées par le ministère selon lesquelles une telle durée doit permettre de s’assurer du caractère définitif de la situation des personnes évaluées. Plus précisément, cette durée a vocation à couvrir le placement définitif à l’aide sociale à l’enfance lorsqu’une mesure éducative est prononcée par le juge des enfants ainsi que la stabilisation de la situation administrative du mineur. La commission prend acte de ce que la durée de conservation retenue est identique, que la personne soit reconnue mineure ou majeure à l’issue de la procédure d’évaluation.

Le projet de décret prévoit par ailleurs que les données n’ayant fait l’objet d’aucune mise à jour dans un délai de dix-huit mois à compter de leur enregistrement sont effacées au terme de ce délai. La commission prend acte qu’est ici visée l’hypothèse dans laquelle le conseil départemental ne transmettrait pas les résultats de l’évaluation de la personne à la préfecture. A ce titre, elle estime qu’une demande de rectification formulée par la personne concernée ne peut constituer une mise à jour qui aurait pour conséquence de rallonger la durée de conservation des données enregistrées dans le traitement. La commission prend acte de l’engagement du ministère de modifier le projet de décret afin de limiter la conservation des données durant dix-huit mois en cas d’absence de mise à jour au seul cas d’une absence de transmission des données par le président du conseil départemental.

Enfin, en ce qui concerne les informations enregistrées dans le traitement « AGDREF 2 », l’article 3 du projet de décret précise que « les données relatives aux personnes faisant l’objet d’une mesure d’assistance éducative, prononcée par le juge des enfants saisi par l’intéressé sont effacées dès la notification au préfet de département et, à Paris, au préfet de police de cette mesure d’assistance éducative ».

La commission souligne l’importance de cette obligation d’effacement en cas de reconnaissance ultérieure de minorité d’une personne initialement évaluée majeure.

Elle relève toutefois, d’une part, que conformément à l’article 1191 du code de procédure civile, les décisions du juge des enfants sont susceptibles de faire l’objet d’un appel, et qu’ainsi la situation sera susceptible d’être réévaluée ultérieurement. Elle souligne, d’autre part, que l’article précité n’a pas pour effet d’inclure l’ensemble des hypothèses, qui devront être prises en compte le cas échéant, dans lesquelles une personne pourrait ultérieurement être reconnue mineure, que ce soit en appel sur un refus du juge des enfants ou à la suite de l’intervention de la juridiction administrative.

Au regard de ces éléments, la commission considère que les données enregistrées dans le traitement « AEM » sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées, conformément à l’article 5-1-e du RGPD.

Sur les droits des personnes concernées :

En premier lieu, le projet de décret prévoit que, préalablement à la collecte de ses données, la personne concernée est informée du traitement mis en œuvre notamment au moyen d’un formulaire dédié rédigé dans une langue qu’elle comprend ou dont il est raisonnable de supposer qu’elle la comprend.

De manière générale, la commission rappelle que dans la mesure où le traitement projeté s’adresse à des personnes mineures susceptibles de se trouver en situation de grande difficulté, des garanties devront être mises en œuvre afin de s’assurer du caractère effectif de l’information des personnes concernées ainsi que de la bonne compréhension, par ces dernières, des informations transmises. Elle rappelle à cet égard que l’article 12-1 du RGPD précise que la fourniture de cette information doit être fournie « d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant ».

A ce titre, elle estime que le formulaire précité devrait être complété afin de faire état des éléments suivants :

– l’interrogation des traitements « AGDREF 2 », VISABIO et « AEM » et les données utilisées pour procéder à cette interrogation ;

– la suppression des données enregistrées dans « AGDREF 2 » dans l’hypothèse où une personne serait finalement reconnue mineure par le juge, après avoir exercé son droit au recours ;

– la limitation du droit d’opposition de la personne au traitement.

La commission considère également que ledit formulaire devrait être explicité concernant les droits dont disposent effectivement les personnes concernées. Dans ce contexte, elle prend acte de l’engagement du ministère de modifier la notice explicative et de tenir compte des recommandations ainsi formulées.

Enfin, elle relève que le ministère a indiqué que le projet de décret sera modifié s’agissant en particulier des dispositions applicables au droit d’opposition et des raisons conduisant, en l’espèce, à l’écarter dans la mesure où il y a lieu de faire application des dispositions du règlement (UE) 2016/679 susvisé.

En deuxième lieu, le projet de décret prévoit que « les droits d’accès, de rectification et à la limitation s’exercent auprès du préfet et département et, à Paris, du préfet de police dans les conditions prévues respectivement aux articles 15, 16 et 18 du règlement (UE) 2016/679 du 27 avril 2016 ».

A cet égard, le ministère a précisé que les demandes relatives à l’exercice de ces droits par les personnes concernées pourront être adressées par voie postale au préfet, à la suite de quoi l’intéressé sera reçu en préfecture où le préfet pourra vérifier son identité grâce à la production d’un document d’identité ou de voyage et/ou par vérification de ses empreintes digitales « en cas de doute ».

La commission rappelle que l’article 12-6 du RGPD prévoit que lorsque le responsable du traitement a des « doutes raisonnables » quant à l’identité de la personne physique qui demande à faire valoir l’exercice de ses droits, il peut demander que lui soient fournies « des informations supplémentaires nécessaires pour confirmer l’identité de la personne concernée ». En l’espèce, elle estime que la vérification des empreintes digitales de la personne concernée, pour l’exercice de ces droits, apparaît proportionnée dans la seule hypothèse où le préfet ne peut établir la validité du ou des titres présentés.

Sous cette réserve, la commission considère que les droits d’accès, de rectification et à la limitation des personnes concernées sont effectifs, conformément aux dispositions des articles 15, 16 et 18 du RGPD. Elle rappelle, en tout état de cause, que les éventuelles réclamations des personnes concernées relatives à l’exercice de leurs droits pourront être adressées au délégué ministériel à la protection des données, dont les coordonnées figurent dans la notice explicative précitée.

En dernier lieu, la commission prend acte de l’exclusion des droits à l’effacement et à la portabilité, ce qui n’appelle pas d’observation particulière au regard des dispositions des articles 17-3-b et 20-3 du RGPD.

Sur les mesures de sécurité :

Concernant le chiffrement des données biométriques stockées dans les bases de données, la commission relève que cette mesure fait partie de celles identifiées au cours de la réalisation de l’analyse d’impact relative à la protection des données comme devant être mises en place avant la mise en œuvre du traitement. Sans remettre en cause les éléments apportés par le ministère relatifs aux difficultés techniques de mettre en œuvre de telles mesures, la commission considère que les données biométriques devraient être systématiquement chiffrées lorsqu’elles sont conservées dans une base de données centralisée.

Par ailleurs, interrogé sur les modalités de chiffrement de la base de correspondance entre les données biométriques et les données d’identification des personnes, le ministère a indiqué que ces données seront chiffrées au moyen de l’algorithme 3DES, considéré comme obsolète depuis plusieurs années et dont l’usage est déconseillé par l’Agence nationale de sécurité des systèmes d’information. La commission invite dès lors le ministère à revoir les modalités de chiffrement de ces données afin de s’assurer que celles-ci soient à l’état de l’art.

Concernant les échanges de données au format PDF entre les préfectures et les conseils départementaux, la commission prend acte de ce que ces échanges de données seront chiffrés. Elle appelle néanmoins l’attention du ministère sur le fait que des procédures de génération et de gestion des clés de chiffrement devront être mises en place, afin de garantir l’effectivité de la mesure de chiffrement. La commission rappelle également que les échanges de données entre les préfectures et le procureur de la République devront faire l’objet des mêmes mesures de chiffrement.

Concernant les transmissions de données entre l’application « AEM » et les postes de travail des agents de préfecture, la commission relève que ces échanges auront lieu sur le réseau interne du ministère, qui fait l’objet de mesures de sécurité à l’état de l’art permettant de garantir la confidentialité des données y transitant.

La commission prend acte de ce que des mesures de traçabilité permettront de conserver une trace des actions réalisées par les utilisateurs dans l’outil. Le projet de décret prévoit que ces données seront conservées pendant 6 ans. Le ministère a par ailleurs indiqué qu’une fois que les données relatives aux personnes se présentant comme mineures seront supprimées de l’application, seules les données relatives aux agents seront conservées.

Les autres mesures de sécurité n’appellent pas de remarque particulière de la commission.

Sous réserve des précédentes observations, la commission estime que les mesures de sécurité décrites par le responsable de traitement sont conformes à l’exigence de sécurité prévue par l’article 32 du RGPD. Elle rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques. A cet égard, elle rappelle qu’il conviendra d’apporter une attention spécifique à la réévaluation des mesures de sécurité dans le cadre de la mise à jour impérative de l’analyse d’impact.

A n’en pas douter, le présent avis de la CNIL démontre, s’il en est encore besoin, qu’en matière de données personnelles, la rigueur dans la mise en œuvre du RGPD est de mise, surtout d’agissant de données concernant des personnes fragiles.

Les gestionnaires d’ESMS doivent, également, être sensibles à ses enjeux dans le cadre des traitements de données personnels qu’ils mettent en œuvre.

Le Cabinet ACCENS peut vous accompagner.

Certification du délégué à la protection des données (DPO)

Vous êtes nombreux à poser la question sur la nécessité d’une certification pour être DPO, que ce soit pour le personnel ou en cas d’externalisation.

Conformément à l’article 11-I-2° f bis de la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, la Commission nationale de l’informatique et des libertés (CNIL) est compétente pour :

  • Agréer des organismes en vue de délivrer la certification des compétences du délégué à la protection des données (DPO) sur la base de critères qu’elle a adoptés ;
  • Élaborer ou approuver les critères d’un référentiel de certification des compétences de personnes.

Par délibération n°2018-317 en date du 20 septembre 2018, la CNIL a adopté les critères du référentiel d’agrément d’organismes de certification pour la certification des compétences de personnes physiques en tant que délégué à la protection des données (DPO), tel que visé à la section 4 du chapitre IV du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

Par une deuxième délibération, n°2018-318, du même jour, la CNIL a adopté les critères du référentiel de certification des compétences du délégué à la protection des données (DPO), tel que visée à la section 4 du chapitre IV du règlement (UE) 2016/679 susmentionné.

En conséquence, la CNIF ne délivre pas et ne délivrera pas elle-même de certification DPO.

En revanche, ce sont les organismes certificateurs, lorsqu’ils auront été agréés par la CNIL, qui délivreront la certification aux personnes remplissant les conditions préalables et ayant réussi l’épreuve écrite.

La certification ne sera donc possible que lorsque les premiers agréments auront été délivrés par la CNIL aux organismes certificateurs. Les personnes intéressées par cette certification pourront alors se rapprocher de ces organismes en vue d’être certifiés.

En l’état aucun agrément n’a été délivré par la CNIL aux organismes certificateurs.

Il n’est donc pas possible d’être certifié.

Échange et partage des données de santé : la MSS, messagerie sécurisée de santé

Avec la mise en application du RGPD, le 25 mai 2018, il est important de rappeler que l’utilisation d’une messagerie sécurisée de santé protégeant les données médicales de vos patients est une obligation légale.

Dans une délibération du 12 juin 2014 (2014-239) la CNIL donne l’autorisation unique de mise en œuvre, par les professionnels et établissements de santé ainsi que par les professionnels du secteur médico-social habilités par la loi, les traitements de données à caractère personnel ayant pour finalité l’échange par voie électronique de données de santé à travers un système de messagerie sécurisée.

Ces échanges sont indispensables à la bonne prise en charge des patients.Pour ce faire il faut impérativement respecter les conditions suivantes :

  • Le service de messagerie doit garantir l’identité de l’émetteur et du destinataire d’un message en vérifiant leur appartenance à un référentiel d’identification national ou local
  • Le service de messagerie doit assurer la sécurité des messages et des pièces jointes lors de leur transfert
  • Le service de messagerie sécurisée de santé doit assurer la conservation sous une forme sécurisée des messages et des pièces jointes

Pourtant actuellement plus de 80%, des échanges entre professionnel de santé se font dans un cadre non sécurisé, à cause de contraintes techniques et organisationnelle :

  • Des systèmes de messagerie sécurisés non interopérables,
  • Des conditions de confidentialités des échanges pas toujours satisfaisantes,
  • Des échanges de données de santé en forte croissance (essentiellement avec des messageries non sécurisées).

 Pour répondre à ces problématiques les ordres de santé proposent une messagerie sécurisée MSSantée.

Depuis le 1er mars 2018, la messagerie gratuite MSSanté, proposée par les ordres de santé, s’intitule désormais « Mailiz ». Ses fonctionnalités, inchangées, permettent des échanges totalement sécurisés et tracés entre professionnels de santé.

À la clé, la protection des données des patients, le respect du secret professionnel et de la réglementation.

Cliquez ici pour en savoir plus sur la messagerie gratuite MSSanté

Actualité du RGPD dans le secteur social et médico-social

Vous êtes nombreux à nous solliciter sur l’obligation de désigner un Délégué à la Protection des Données, également appelé DPO.

En effet, dans le cadre de questionnaires qui vous sont transmis par les administrations compétentes, il vous est demandé si vous avez mis en place un DPO.

Certains d’entre vous considèrent qu’il n’est pas obligatoire de désigner un tel intervenant, qu’il soit interne ou externe (mutualisé).

Il convient d’avoir à l’esprit que le RGPD prévoit la présence obligatoire d’un délégué à la protection des données pour :

  • Les autorités et organismes publics ;
  • Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle.
  • Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » (données biométriques, génétiques, relatives à la santé, la vie sexuelle, l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale) ou relatives à des condamnations pénales et infractions.

Les établissements et services sociaux et médico-sociaux gèrent pour la plupart et par nature des données sensibles.

Se pose dès lors la question de la notion de grande échelle. Sur ce point aucune définition n’est communiquée en l’état. Les exemples donnés autour du RGPD concernent soit des micro-structures, soit des méga-structures.

Aussi, pour les plus petites structures, une telle désignation ne nous semble pas obligatoire.

Pour autant, faut-il ne pas désigner de DPO si le volume de données est faible ?

Ce n’est pas la position de la CNIL qui encourage dans tous les cas la désignation d’un Délégué à la protection des données.

En effet, le DPO va apporter au service. Il s’intègre dans la logique de protection des droits des usagers. En effet, sa mission consiste à accompagner le responsable du traitement dans la mise en conformité au RGPD, notamment dans le cadre des analyses d’impacts. Il va aider l’ESMS à respecter les principes du RGPD (minimisation des données, proportionnalité, sécurité, durée de conservation).

A ce titre, le cabinet ACCENS Avocats propose une prestation de DPO externalisée qui donne satisfaction à ses clients, grâce la fine de leurs problématiques.

Réécriture de la loi informatique et libertés par l’Ordonnance n° 2018-1125 du 12 décembre 2018

Afin de prendre en considération le Règlement Général sur la Protection des Données (RGPD), la loi n°2018-493 en date du 20 juin 2018 est venue modifier la loi Informatique et Libertés du 6 janvier 1978.

La mouture 2018 a confié au Gouvernement la mission de réécrire, par voie d’ordonnance, la loi Informatique et Libertés, dans un souci de simplification et de clarification.

Les dispositions obsolètes devaient être retirées, les dispositions du RGPD intégrées.

Voilà chose faite, l’ordonnance n° 2018-1125 en date du 12 décembre 2018 étant parue le 13 décembre au JO.

Reprenant les grands principes de la loi d’origine (informatique au service des citoyens ; nécessaire coopération internationale en ce domaine), l’ordonnance clarifie le plan de ladite loi, en y mettant en exergue les apports du RGPD.

Les dispositions de la présente ordonnance entreront en vigueur au plus tard le 1er janvier 2019.

Formez-vous au RGPD

Il reste encore des places !

Le 5 mars 2019, le Cabinet ACCENS Avocats organise une session de formation au RGPD, à Angers. Cette formation, animée par Pierre Naitali, permet d’appréhender la réglementation nouvelle qu’est le RGPD.

Au programme :

  • Introduction : Présentation de l’évolution de la question des données personnelles
  • Présentation générale du RGPD (définition du traitement des données personnelles, les acteurs, les entreprises concernées)
  • Les grands principes du RGPD
  • Les nouvelles obligations (registre des traitements, DPO, rôle de la CNIL et sanctions)
  • La méthodologie de mise en conformité (cartographie, registre des traitements, analyse d’impact, documentation)
  • Le rétroplanning d’une mise en conformité

Animation : Pierre NAITALI, Avocat au Cabinet ACCENS AVOCATS

Participants : Directeur, Responsable administratif et financier, responsable ressources humaines, responsable informatique, personnel en charge de la mise en conformité

Support : Présentation Powerpoint, exemples

Inscription : 300€ (restauration non-comprise)
Nombre de places limité.
Pour vous inscrire, contactez le secrétariat ici ou au 02 41 42 48 80

Près de 150 ESMS accompagnés pour le RGPD

Le Cabinet ACCENS AVOCATS accompagne près de 150 ESMS pour la mise en œuvre du RGPD et la fonction de délégué à la protection des données (DPO).

Pour ce faire, le Cabinet ACCENS AVOCATS a développé une méthodologie rigoureuse et efficace.

D’abord, le Cabinet ACCENS AVOCATS a développé un logiciel dédié à la mise en conformité RGPD et à l’accompagnement en tant que DPO.

Cet outil permet de suivre intégralement la mise en conformité en simplifiant les échanges entre le Cabinet ACCENS AVOCATS et les ESMS. Les ESMS peuvent renseigner directement les informations qui les concernent.

Le Cabinet ACCENS AVOCATS les analyse avant d’aller en échanger avec les professionnels des établissements. Ainsi peuvent être identifiées les données collectées et élaborés les registres.

Grace à ces analyses, le Cabinet peut proposer des plans d’action à ses clients pour permettre le mise en conformité.

Parallèlement le Cabinet ACCENS AVOCATS anime des actions d’information/sensibilisation des professionnels.

A cette occasion, le Cabinet ACCENS AVOCATS y insiste sur le caractère didactique de la démarche et s’inscrit clairement dans une démarche d’accompagnement et non dans un cadre coercitif vis-à-vis des professionnels.

La confiance ainsi instaurée permet de garantir une très bonne qualité de prestation. Elle contribue à la prise de conscience de l’enjeu que constitue le traitement des données personnelles des personnes accompagnées.

D’ores et déjà, le Cabinet ACCENS AVOCATS accompagne près de 150 établissements, ce qui en fait un spécialiste du RGPD dans les ESMS.

L’accompagnement par le Cabinet ACCENS AVOCATS concerne des gestionnaires qui gère un établissement ou un lieu de vie et d’accueil, jusqu’à plusieurs dizaines d’établissements ou services.

A la fin de l’année 2019, le Cabinet ACCENS AVOCATS prévoit d’accompagner plus de 400 ESMS.