Délibération n° 2017-142 du 27 avril 2017 portant avis sur un projet de décret autorisant les traitements de données à caractère personnel destinés à la mise en œuvre de l'allocation personnalisée d'autonomie et de l'aide sociale à l'hébergement, par les conseils départementaux (saisine n° 17005716)

NOR : CNIX1713948X
JORF n°0109 du 10 mai 2017
Texte n° 347
Extrait du Journal officiel électronique authentifié PDF - 240,9 Ko

Version initiale


La Commission nationale de l'informatique et des libertés,
Saisie par la direction générale de la cohésion sociale d'une demande d'avis concernant les traitements mis en œuvre par les conseils départementaux pour la gestion de l'allocation personnalisée d'autonomie et de l'aide sociale à l'hébergement ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de l'action sociale et des familles, notamment son article L. 232-21-3 ;
Vu le code de la santé publique, notamment son article L. 6327-2 ;
Vu le livre des procédures fiscales, notamment son article L. 153 A ;
Vu la loi n° 51-711 du 7 juin 1951 modifiée sur l'obligation, la coordination et le secret en matière de statistiques, notamment son article 7 bis ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-1-2° ;
Vu l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu le décret n° 82-103 du 22 janvier 1982 relatif au répertoire national d'identification des personnes physiques ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;


  • Après avoir entendu Mme Marie-France MAZARS, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
    Emet l'avis suivant :
    Le présent projet de décret, soumis à la Commission pour avis, par la direction générale de la cohésion sociale (DGCS), sur le fondement de l'article 27-1-2° de la loi du 6 janvier 1978 modifiée, est pris pour l'application des dispositions de l'article L. 232-21-3 du code de l'action sociale et des familles (CASF), Cet article, issu de la loi n° 2015-1776 du 28 décembre 2015 relative à l'adaptation de la société au vieillissement, dispose que les conseils départementaux, dans le cadre de leur mission d'attribution de l'allocation personnalisée d'autonomie (APA) et de l'aide sociale à l'hébergement (ASH), procèdent au traitement de données à caractère personnel parmi lesquelles figure le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR).
    Le présent avis relève la nécessité de compléter le projet d'acte réglementaire concernant les données collectées, les destinataires des données dans le cadre de la finalité statistique, la durée de conservation, les mentions d'informations délivrées aux personnes ainsi que les mesures de sécurité.
    Le projet de de décret a vocation à constituer un acte réglementaire unique auquel les conseils départementaux, responsables de traitement pour les traitements qui y sont envisagés, devront effectuer un engagement de conformité avant de mettre en place les traitements qui y sont décrits.
    Sur la finalité du traitement :
    La Commission relève que le traitement est mis en œuvre pour des finalités qui correspondent aux finalités d'attribution, de gestion, de contrôle d'effectivité de l'APA et de l'ASH, ainsi que de statistiques, mentionnées à l'article L. 232-21-3 du CASF.
    La Commission considère que ces finalités sont déterminées, explicites et légitimes.
    Sur la nature des données traitées :
    Le projet d'article R. 232-41 énumère les données devant être collectées en distinguant celles relatives aux demandeurs et bénéficiaires de l'APA, de celles relatives aux demandeurs et bénéficiaires de l'ASH.
    La Commission note que le décret n° 2017-344 du 16 mars 2017 relatif aux transmissions de données sur l'allocation personnalisée d'autonomie et l'aide sociale à l'hébergement liste les catégories des données transmises à la direction de la recherche, des études, de l'évaluation et des statistiques (DREES). En toute hypothèse, la Commission rappelle que seules les données pertinentes au regard des finalités statistiques pourront être transmises aux organismes chargés de les réaliser.
    Le projet d'article R. 232-42 dispose que les conseils départementaux vérifient le NIR qui a été fourni par un demandeur de l'APA ou de l'ASH. Interrogée sur les modalités de cette vérification, la DGCS a indiqué qu'il pourrait être envisagé que les conseils départementaux effectuent cette vérification du NIR via la consultation du système national de gestion des identifiants (SNGI), via le répertoire national commun de la protection sociale (RNCPS) auquel les départements ont déjà accès, ou par le biais de la carte Vitale des demandeurs et bénéficiaires.
    Sous ces réserves, la Commission considère que les données listées sont adéquates, pertinentes et non excessives au regard des finalités poursuivies par le responsable de traitement.
    Sur les sources de collecte des données :
    Le projet d'article R. 232-43 énonce que les données peuvent être collectées directement auprès des personnes concernées ou communiquées par la direction générale des finances publiques et les organismes de protection sociale.
    S'agissant des administrations fiscales, celles-ci sont amenées à communiquer aux conseils départementaux des informations relatives aux demandeurs et bénéficiaires de l'APA pour l'évaluation de leurs ressources. Cette transmission est prévue à l'article L. 153 A du livre des procédures fiscales. La Commission prend acte que la référence à cet article sera ajoutée dans le projet d'article R. 232-43 afin de déterminer clairement les transmissions de données envisagées.
    La Commission rappelle que les modalités de transmission des informations, par les administrations fiscales, seront fixées par un décret en Conseil d'Etat sur lequel la Commission devra être saisie pour avis, en application des dispositions de l'article L. 153 A précité.
    S'agissant de la transmission par les organismes de protection sociale, la Commission recommande à la DGCS que le projet d'article R. 232-43 indique qu'il ne s'agit pas d'une transmission de données par les organismes de protection sociale mais d'un accès à leurs données via la consultation du RNCPS par les conseils départementaux.
    Sur les destinataires des données :
    Le projet d'article R. 232-44 liste les catégories de personnes pouvant accéder aux données pour la gestion des aides tandis que le projet d'article R. 232-45 liste les destinataires des données intervenant dans l'accompagnement des personnes âgées. La Commission relève qu'en revanche, les organismes ou services destinataires des données pour l'accomplissement des finalités statistiques, dont fait partie la DREES, ne sont pas mentionnés dans le projet d'acte réglementaire, et demande à ce qu'ils y soient ajoutés, conformément aux dispositions de l'article 29 de la loi du 6 janvier 1978 modifiée.
    La Commission considère que ces destinataires présentent un intérêt légitime à accéder aux données du présent traitement, dans la limite de leurs attributions et sous réserve que les données effectivement accessibles présentent un lien direct et nécessaire avec leurs fonctions. Elle estime le projet d'article R. 232-45 pourrait être rédigé sur le modèle de l'article R. 232-44 en précisant que les personnes accèdent aux « informations strictement nécessaires à l'exercice de leur mission et dans la limite de leurs attributions ».
    Sur les durées de conservation des données :
    Une durée de six ans a été fixée par la DGCS afin de permettre aux conseils départementaux de conserver les informations pendant une durée suffisante pour transmettre les informations aux services ministériels chargés des statistiques.
    La Commission rappelle que les données collectées et traitées pour les besoins du suivi social ne peuvent être conservées dans la base active au-delà de deux ans à compter du dernier contact avec la personne ayant fait l'objet de ce suivi, sauf dispositions législatives ou réglementaires contraires.
    A l'expiration de ces périodes, les données doivent être détruites de manière sécurisée ou archivées dans des conditions définies en conformité avec les dispositions du code du patrimoine relatives aux obligations d'archivage des informations du secteur public.
    S'agissant des données de connexion des agents accédant aux données du traitement, la Commission prend acte que la DGCS modifiera le projet d'acte réglementaire pour ne retenir qu'une durée de conservation de trois mois et supprimer le dernier alinéa du projet d'article R. 232-48.
    Sur l'information et les droits des personnes :
    La Commission propose que le projet d'article R. 232-47 soit modifié afin, d'une part, que l'intégralité des mentions d'information prévues à l'article 32 de la loi du 6 janvier 1978 modifiée figure sur un même support pour garantir une information effective des personnes et, d'autre part, que soit ajoutée dans les informations devant être délivrées aux personnes concernées, la durée de conservation ou, le cas échéant, les critères permettant de la déterminer.
    La Commission estime qu'il conviendrait d'intégrer l'ensemble de ces informations dans le courrier de notification du versement des aides afin que ces informations figurent dans un document ayant vocation à être conservé par les demandeurs et bénéficiaires des aides.
    Sous ces réserves, la Commission considère que ces modalités d'information et d'exercice des droits sont satisfaisantes.
    Sur les mesures de sécurité et de confidentialité :
    La Commission rappelle que le responsable de traitement doit prendre toutes les précautions utiles au regard des risques présentés par le traitement pour préserver la sécurité des données à caractère personnel. Il doit notamment s'assurer que :


    - toute transmission d'information via un canal de communication non sécurisé, par exemple internet, s'accompagne de mesures adéquates permettant de garantir la confidentialité des données échangées, telles qu'un chiffrement des données ;
    - les personnes habilitées disposant d'un accès aux données s'authentifient avant tout accès à des données à caractère personnel, dans des conditions conformes aux dispositions du code de la santé publique ;
    - un mécanisme de gestion des habilitations soit mis en œuvre et régulièrement mis à jour pour garantir que les personnes habilitées n'ont accès qu'aux seules données effectivement nécessaires à la réalisation de leurs missions. Le responsable de traitement doit définir et formaliser une procédure permettant de garantir la bonne mise à jour des habilitations ;
    - des mécanismes de traitement automatique garantissent que les données à caractère personnel seront systématiquement supprimées, à l'issue de leur durée de conservation, ou feront l'objet d'une procédure d'anonymisation rendant impossible toute identification ultérieure des personnes concernées ;
    - les accès à l'application fassent l'objet d'une traçabilité afin de permettre la détection d'éventuelles tentatives d'accès frauduleux ou illégitimes. Les accès aux données considérées comme sensibles, au regard de la loi du 6 janvier 1978 modifiée, doivent quant à eux être spécifiquement tracés en incluant un horodatage, l'identifiant de l'utilisateur, ainsi que l'identification des données concernées, et ceci pour les accès en consultation, modification ou suppression. Les données de journalisation doivent être conservées pendant une durée de six mois glissants à compter de leur enregistrement, puis détruites ;
    - l'externalisation de l'hébergement de données de santé à caractère personnel soit réalisée dans les conditions prévues dans le code de la santé publique.


    Concernant les mécanismes d'anonymisation, il conviendra de s'assurer que les statistiques produites ne permettent aucune identification, même indirecte, des personnes concernées.
    L'usage d'outils ou de logiciels développés par des tiers dans le cadre de la mise en œuvre d'un traitement de données à caractère personnel reste sous la responsabilité du responsable de traitement, qui doit notamment vérifier que ces outils ou logiciels respectent les obligations que la loi met à sa charge.
    Enfin, le responsable de traitement conserve la responsabilité des données à caractère personnel communiquées ou gérées par ses sous-traitants. Le contrat établi entre les parties doit mentionner les obligations incombant au sous-traitant en matière de préservation de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instructions du responsable de traitement.
    La Commission prend note que si l'accès du SNGI est rendu opérationnel pour la vérification du NIR, cet accès sera encadré par une convention rendant obligatoire la conformité au standard Interops. A cet égard, la Commission rappelle l'importance de la mise à jour régulière de ces référentiels pour prendre en compte l'évolution des technologies et notamment conserver sa conformité avec la nouvelle version du référentiel général de sécurité (RGS).


La présidente,
I. Falque-Pierrotin


Le vice-président délégué,
M.-F. Mazars

Extrait du Journal officiel électronique authentifié PDF - 240,9 Ko
Retourner en haut de la page