Délibération n° 2021-121 du 21 octobre 2021 portant avis sur un projet d'arrêté modifiant l'arrêté du 31 mars 2021 portant création d'un traitement automatisé de données à caractère personnel dénommé « SI Honorabilité » (demande d'avis n° 21011137)

Version initiale


La Commission nationale de l'informatique et des libertés,
Saisie par le ministre des solidarités et de la santé d'une demande d'avis concernant un projet d'arrêté modifiant l'arrêté du 31 mars 2021 portant création d'un traitement automatisé de données à caractère personnel dénommé « SI honorabilité » ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;


  • Sur la proposition de Mme Valérie PEUGEOT, commissaire, et après avoir entendu les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
    Emet l'avis suivant :
    Sur la finalité du traitement :
    Le projet d'arrêté ajoute une finalité à l'article 1er de l'arrêté du 31 mars 2021 afin que le traitement puisse permettre aux personnes habilitées de procéder à un contrôle de l'inscription ou non au fichier judiciaire national automatisé des auteurs d'infractions sexuelles ou violentes (FIJAISV) des personnes intervenant auprès de mineurs dans le cadre des activités relevant du contrôle des agences régionales de santé (ARS).
    Selon les précisions du ministère, la possibilité pour les directeurs généraux des ARS de consulter le FIJAISV résulte de la combinaison des articles 706-53-7 et R. 53-8-24 du code de procédure pénale, et s'inscrit dans le cadre des missions qui leur sont confiées par l'article L. 1431-2 du code de la santé publique.
    Sur les personnes concernées :
    Selon les précisions du ministère, toute personne ayant des contacts réguliers avec des mineurs fera l'objet d'un contrôle à court terme. Cela concernerait à la fois les salariés et les personnels non salariés, tels que des prestataires et des membres d'associations. Cependant, la Commission relève que ces derniers ne sont pas explicitement visés par le projet d'arrêté. En effet, l'article 1er, qui modifie la liste de données pouvant être collectées afin de requêter le FIJAISV, prévoit la collecte de la nature des professions suivantes : profession médicale, pharmacien, auxiliaire médical, aide-soignant, ambulancier, n'envisageant donc pas de professions autres, pouvant être exercées par des salariés ou des personnes non salariées. Au vu de la variété des professions pouvant entraîner une vérification dans le FIJAISV.
    Le ministère envisage d'ajouter au formulaire une catégorie « autres », qui serait « systématiquement renseignée, afin de conserver la possibilité de connaître la répartition des professions contrôlées ». Si la Commission comprend l'intérêt de la réalisation de statistiques concernant les professions contrôlées, elle rappelle que le ministère a lui-même entendu limiter la collecte d'informations relatives aux professions en prévoyant que la sélection d'une profession dans le système d'information à l'aide d'un menu déroulant.
    La Commission invite donc le ministère à compléter la liste des champs détaillant les professions ou les missions exercées par les personnes concernées et à ajouter en dernier recours une catégorie « autre », sans prévoir d'y associer un champ libre.
    Sur les destinataires et les personnes pouvant accéder aux données :
    L'article 1er du projet d'arrêté modifie l'arrêté du 31 mars 2021 afin que les personnes désignées par le directeur de l'établissement de santé ou médico-social ou, à défaut, les agents habilités des ARS puissent enregistrer les données relatives aux personnes dont l'honorabilité est contrôlée par les ARS dans le « SI Dépose », qui permet de requêter le FIJAISV. Selon les précisions du ministère, il sera demandé au directeur général de l'établissement concerné de désigner un ou deux collaborateurs. Selon les estimations du ministère, les collaborateurs seront pour la plupart membres de l'équipe de direction, par exemple issus de la direction des ressources humaines. La Commission prend acte de ce que le ministère s'est engagé à s'attacher à ce que les agents concernés soient en nombre limité et soient sensibilisés aux obligations attachées à cette habilitation.
    L'article 1er du projet d'arrêté modifie également l'arrêté du 31 mars 2021 afin que les agents des ARS habilités par le directeur général de l'ARS puissent accéder aux données enregistrées dans le portail « SI Retour ». La Commission relève que seuls ces agents auront accès à ce portail.
    Selon les précisions du ministère, aucune condition n'est a priori fixée pour déterminer la liste des personnes au sein des ARS habilitées ou désignées pour le « SI Dépose » et le « SI retour », en raison notamment de l'absence d'organigramme type de ces agences. La Commission prend acte de ce que le ministère s'est engagé à recommander des profils de personnes pouvant remplir ces missions en fonction de leurs compétences ou des missions qui leur sont confiées dans les instructions adressées aux ARS.
    Le III de l'article 4 de l'arrêté du 31 mars 2021 n'est pas modifié par le projet d'arrêté. Ainsi, la liste des personnes destinataires des données enregistrées dans le portail « SI Retour » mais non habilitées n'est pas modifiée. Il n'est donc pas possible pour les agents des ARS qui ont accès aux données de « SI retour » de les communiquer aux directeurs d'établissements. La Commission prend acte de ce que le ministère s'est engagé à modifier le projet d'arrêté sur ce point.
    Sur l'information et l'exercice des droits des personnes :
    Pour les personnes non salariées (prestataires, associatifs…), les sociétés ou associations seront informées en amont et seront en charge d'un premier niveau d'information des personnes. La Commission prend acte de ce que le ministère s'est engagé à proposer des documents type d'information à destination de ces acteurs afin de faciliter l'information des personnes.
    Sur les droits d'accès, de rectification et d'opposition des personnes :
    Les droits des personnes concernées s'exercent auprès de l'ARS compétente et, à défaut, auprès du secrétariat général du ministère de la santé. Ce dernier, qui ne dispose pas d'un accès au FIJAISV, aura pour tâche d'assurer la prise en compte des demandes d'exercice des droits par les ARS. La Commission prend acte de ce que le ministère s'est engagé à préciser ces éléments dans le document d'information destiné aux personnes concernées.
    Sur la sécurité des données et la traçabilité des actions :
    L'architecture du « SI Honorabilité » et ses mesures de sécurité existantes ont déjà fait l'objet d'analyses par la Commission et ne présentent pas de nouveaux développements majeurs. L'AIPD ainsi que le plan d'action associé ont été mis à jour afin de prendre en compte la nouvelle finalité du traitement.
    La Commission relève que le « SI Honorabilité » intégrait dès son homologation les mesures de sécurité permettant de garantir le cloisonnement des données en fonction des différents types d'utilisateurs et de leur domaine d'intervention. Ce mécanisme de cloisonnement sera ainsi réutilisé pour le contrôle effectué par les ARS. Elle prend acte de ce que le ministère a réduit la durée de conservation des codes retour du FIJAISV conformément à ses engagements et de ce que des numéros d'identification non incrémentaux ont été mis en œuvre afin de rendre plus difficile à un attaquant ou utilisateur malveillant de déduire des informations concernant les personnes faisant l'objet d'un contrôle d'honorabilité.
    Selon les précisions du ministère, le chiffrement des transmissions de données entre le « SI Retour » et les serveurs du ministère de la justice lors de l'envoi et la réception automatiques des données liées à l'interrogation du FIJAISV a de même été implémenté. La Commission rappelle que la mise en place de ce chiffrement doit s'accompagner d'une authentification mutuelle entre les serveurs. Elle relève qu'une plateforme sécurisée pour l'appel aux serveurs gérant le casier judiciaire est en cours de réalisation et invite le ministère à prioriser le développement de cette plateforme.
    Les traces techniques seront conservées pendant une durée conforme aux recommandations de la Commission. Elle rappelle néanmoins que la conservation de ces traces doit être assortie à un mécanisme proactif de contrôle automatique, contribuant à la détection des comportements anormaux par la génération d'alertes. Elle rappelle que les traces fonctionnelles doivent de même être conservées pendant une durée de six mois à un an pour des finalités de sécurité et être adossées à un mécanisme proactif de contrôle, conformément à ses recommandations.
    Les autres points du projet d'arrêté n'appellent pas d'observations de la Commission.


La présidente,
M.-L. Denis

Extrait du Journal officiel électronique authentifié PDF - 209,6 Ko
Retourner en haut de la page