La commission a été saisie le 21 mars 2013 pour avis par le ministère de la défense d'un projet de décret autorisant la mise en œuvre par la Caisse nationale militaire de sécurité sociale (CNMSS) d'un traitement de données à caractère personnel dénommé « dossier unique ».
Les articles L. 115 et L. 128 du code des pensions militaires d'invalidité et victimes de la guerre prévoient le droit aux soins médicaux gratuits et à l'appareillage pour les titulaires d'une pension attribuée au titre du même code.
La gestion des dossiers de prise en charge des soins médicaux et d'appareillage a été attribuée à la CNMSS par décision du 9 janvier 2008 du ministre de la défense à la suite de la suppression de la direction des statuts, des pensions et de la réinsertion sociale du ministère de la défense, dans le cadre de la révision générale des politiques publiques.
En vertu de l'article L. 713-20 du code de la sécurité sociale, la CNMSS a également pour rôle de coordonner son action sanitaire et sociale (aide à domicile ou secours médico-social) en faveur de ses ressortissants avec celle des services sociaux dépendant du ministère de la défense.
Sur la finalité du traitement :
La finalité du taitement est de faciliter l'échange d'informations entre les partenaires de l'action sanitaire et sociale en faveur des ressortissants de la CNMSS, de coordonner l'instruction et d'assurer le suivi des dossiers relatifs aux prestations complémentaires allouées aux personnels militaires affiliés à la CNMSS, à leur famille, aux personnels civils du ministère de la défense et aux titulaires d'une pension militaire d'invalidité.
Ainsi, le traitement permettra :
― la gestion des demandes, le paiement et le suivi des dossiers des bénéficiaires de prestations supplémentaires et de secours médico-sociaux ;
― le recensement et la diffusion des montants d'aides consécutives aux blessures subies, en opération, par les militaires et les personnels civils du ministère de la défense ;
― la gestion des demandes et le suivi des prestations versées aux titulaires d'une pension militaire d'invalidité à la suite d'une maladie ou d'une blessure.
La commission considère que la finalité poursuivie est déterminée, explicite et légitime.
Sur la nature des données traitées :
Les catégories de données traitées sont les suivantes :
― les données d'identification des personnes bénéficiaires d'aides (nom, prénom, adresse, numéro de téléphone, courriel, date et lieu de naissance, identifiant défense) ;
― leur numéro d'identification au répertoire national d'identification des personnes physiques, pour les seules opérations nécessaires à la gestion financière des demandes d'aides ;
― les données relatives à leur situation familiale, notamment l'identification des autres personnes composant le foyer et leur lien de parenté avec le bénéficiaire ;
― les données relatives à leur vie professionnelle (unité d'affectation, zone géographique d'action sociale défense de rattachement, statut, armée d'appartenance, grade, date d'entrée en service et date prévue de fin d'activité ou de contrat) ;
― les données relatives à leur vie professionnelle (revenu, situation financière) ;
― les données relatives à leur blessure en opérations (nom et localisation de la mission, dates de début et de fin prévue, de la mission, événement de guerre, évacuation médicale ou stratégique, date de la blessure, activités exercées et circonstances de la blessure, type de prise en charge).
Ces données apparaissent pertinentes au regard de la finalité poursuivie, conformément aux dispositions de l'article 6 (3°) de la loi du 6 janvier 1978 modifiée susvisée.
En outre, l'article 1er du projet de décret précise que le traitement ne peut enregistrer de données à caractère personnel de la nature de celles mentionnées au I de l'article 8 et au I de l'article 27 de la loi du 6 janvier 1978 modifiée susvisée que dans la stricte mesure où leur exploitation est nécessaire aux finalités susmentionnées.
A cet égard, la commission rappelle que, si les données traitées comportant des données de santé à caractère personnel et que ces dernières font l'objet d'un hébergement auprès d'un tiers, ce dernier devra disposer d'un agrément, conformément à l'article L. 1111-8 du code de la santé publique.
Sur la durée de conservation des données :
L'article 4 du projet de décret prévoit que les données enregistrées seront conservées jusqu'à l'extinction des droits des intéressés. En cas de contentieux, ce délai est prorogé, le cas échéant, jusqu'à l'intervention d'une décision juridictionnelle devenue définitive.
La conservation des données dans les conditions précitées n'appelle pas d'observation de la commission.
Sur les destinataires des données :
Les destinataires des données sont les agents habilités des organismes suivants dont la liste figure à l'article 3 du projet de décret :
― la Caisse nationale militaire de sécurité sociale ;
― les cellules d'aide aux blessés des armées ;
― la sous-direction de l'action sociale de la direction des ressources humaines ;
― la sous-direction des pensions de la direction des ressources humaines du ministère de la défense ;
― le service de santé des armées ;
― l'Office national des anciens combattants et victimes de guerre ;
― les mutuelles ;
― les associations militaires chargées d'une mission de prévoyance au profit de leurs adhérents ;
― la formation administrative d'affectation du demandeur de la prestation.
Les destinataires susmentionnés n'ont accès qu'aux données à caractère personnel et aux informations strictement nécessaires à leur mission. Ils peuvent y accéder directement à raison de leurs attributions respectives et du besoin d'en connaître.
L'article 5 du projet de décret prévoit que les personnes concernées par les données traitées choisissent les destinataires mentionnés à l'article 3 du projet de décret qui peuvent accéder aux données les concernant.
Les accès dans les conditions précitées n'appellent pas d'observations de la part de la commission.
Sur l'information et le consentement des personnes :
Les personnes concernées sont informées, conformément à l'article 32 de la loi du 6 janvier 1978 modifiée susvisée, par une mention sur le formulaire de collecte d'information et par publication du décret au Journal officiel de la République française.
L'article 5 du projet de décret prévoit que l'adhésion au dossier unique requiert le consentement exprès des personnes concernées par le traitement ou de leurs représentants légaux.
Ces modalités d'information et de consentement des personnes apparaissent suffisantes.
Sur les droits d'accès, de rectification et d'opposition des personnes :
L'article 8 du projet de décret prévoit que les droits d'accès et de rectification prévus aux articles 39 et 40 de la loi du 6 janvier 1978 modifiée susvisée s'excercent auprès de la CNMSS.
L'article 5 du projet de décret prévoit, dans des conditions conformes à l'article 38 de la loi du 6 janvier 1978 modifiée susvisée, que les personnes concernées par les données traitées peuvent exercer leur droit d'opposition à tout moment auprès de la CNMSS. Elles peuvent à tout moment se retirer du dispositif ou refuser la communication de leurs données à l'un des destinataires préalablement désigné.
Ces modalités d'exercice des droits des personnes apparaissent satisfaisantes.
Sur la sécurité des données et la traçabilité des actions :
Des profils d'habilitation sont prévus afin de gérer les accès aux données en tant que de besoin.
Le responsable de traitement a mis en place une politique de mot de passe et impose l'utilisation de mots de passe disposant de huit caractères, composés de trois types de caractères distincts parmi les minuscules, majuscules, chiffres ou caractères spéciaux. La commission rappelle que les mots de passe doivent être modifiés par l'utilisateur dès sa première connexion, puis régulièrement.
Une journalisation des opérations de consultation, création et modification du traitement est réalisée. Ces données sont conservées pendant une durée de cinq ans.
Des sauvegardes quotidiennes sont réalisées. Ces sauvegardes sont conservées dans un coffre ignifugé.
Les transferts de données sont sécurisés au moyen du protocole SSL ou par le recours à des réseaux virtuels privés.
Les mesures de sécurité mises en place n'appellent pas d'observation.
Les autres points du projet de décret n'appellent pas, en l'état et au regard de la loi du 6 janvier 1978 modifiée susvisée, d'autres observations de la commission.