La Commission nationale de l'informatique et des libertés,
Saisie par le ministère des affaires sociales et de la santé d'une demande d'avis concernant un projet de décret autorisant la création de traitements automatisés de données à caractère personnel relatifs à la carte mobilité inclusion et modifiant le décret n° 2007-965 du 15 mai 2007 relatif au traitement automatisé de données à caractère personnel par les maisons départementales des personnes handicapées ;
Vu la convention n° 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de l'action sociale et des familles, notamment ses articles L. 241-3, R. 241-15 et R. 146-38 et suivants ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 11 (4°, a) et 27 (11, 4°) ;
Vu la loi n° 93-1419 du 31 décembre 1993 relative à l'Imprimerie nationale ;
Vu le projet de loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, notamment son article 107 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Après avoir entendu Mme Laurence DUMONT, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
L'article 107 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique prévoit la création de la carte « mobilité inclusion », laquelle a vocation à remplacer les cartes de priorité, d'invalidité et de stationnement à partir du 1er janvier 2017.
Ce texte prévoit qu'un décret en Conseil d'Etat détermine les modalités de protection des données à caractère personnel et de sécurisation de la carte, ainsi que les modalités spécifiques d'instruction et d'attribution de la carte pour les bénéficiaires de l'allocation personnalisée d'autonomie.
C'est dans ce contexte que la Commission a été saisie par le ministère des affaires sociales et de la santé, d'une demande d'avis portant sur un projet de décret venant préciser les traitements mis en œuvre par l'Imprimerie nationale, les conseils départementaux et les maisons départementales des personnes handicapées concernant la carte « mobilité inclusion ».
Dans la mesure où la mise en œuvre des traitements s'appuie, notamment, sur un téléservice de l'administration électronique, il y a lieu de faire application des dispositions prévues au 4° du II de l'article 27 de la loi du 6 janvier 1978 modifiée.
Sur les personnes concernées :
La carte « mobilité inclusion » peut porter une ou plusieurs mentions, à savoir :
- la mention : « invalidité » est attribuée à toute personne dont le taux d'incapacité permanente est au moins de 80 %, ou est absolument incapable d'exercer une profession et nécessite d'avoir recours à l'assistance d'une tierce personne pour effectuer les actes ordinaires de la vie ;
- la mention : « priorité » est attribuée à toute personne atteinte d'une incapacité inférieure à 80 %, rendant la station debout pénible ;
- la mention : « stationnement pour personnes handicapées » est attribuée à toute personne atteinte d'un handicap réduisant de manière importante et durable sa capacité et son autonomie de déplacement à pied ou qui impose qu'elle soit accompagnée par une tierce personne dans ses déplacements ;
- la mention : « stationnement pour personnes handicapées » est également attribuée aux organismes assurant le transport collectif de personnes handicapées ;
- les mentions : « invalidité » et « stationnement pour personnes handicapées » sont délivrées, à titre définitif, aux bénéficiaires de l'allocation personnalisée d'autonomie selon des modalités précisées aux I et III de l'article 107 de la loi pour une République numérique.
Sur les finalités :
La mise en œuvre de la carte « mobilité inclusion » repose sur plusieurs traitements.
1° S'agissant des traitements mis en œuvre par les conseils départementaux et les maisons départementales des personnes handicapées :
Pour réaliser les missions prévues à l'article L. 241-3 du code de l'action sociale et des familles, ces organismes mettent en œuvre des traitements en vue de permettre :
- l'instruction des demandes initiales ou de renouvellement de carte « mobilité inclusion » ;
- la transmission, à l'Imprimerie nationale, des informations nécessaires à la notification des décisions d'attribution ou de refus, à la fabrication, à la personnalisation et à l'envoi des titres ;
- le suivi des recours exercés par les demandeurs en cas de refus d'attribution du titre.
2° S'agissant des traitements mis en œuvre par l'Imprimerie nationale :
L'Imprimerie nationale met en œuvre des traitements ayant pour finalité :
- la fabrication et la personnalisation de la carte « mobilité inclusion » ;
- la sécurisation du titre afin, notamment, de limiter les risques de fraude ; l'envoi, pour le compte du président du conseil départemental, du courrier relatif à la décision d'attribution ou de refus du titre ;
- la production de statistiques relatives aux bénéficiaires et demandeurs de la carte « mobilité inclusion », correspondant à des données agrégées ne permettant pas d'identifier les bénéficiaires et les demandeurs, ainsi que la transmission de ces statistiques aux conseils départementaux, aux maisons départementales des personnes handicapées et au ministère en charge des personnes handicapées ;
- le contrôle, par les services de la police nationale, de la gendarmerie nationale et des polices municipales, de la validité de la mention « stationnement pour personnes handicapées ».
Interrogé sur les modalités de réalisation des contrôles, le ministère précise qu'une application mobile s'appuyant sur la technologie 20-DOC sera déployée. Ce dispositif permettra de vérifier la validité du titre en « flashant » un code apposé sur le support.
A l'occasion de cette vérification, les forces de l'ordre n'auront accès qu'au statut valide ou non du titre, et au motif d'invalidation le cas échéant (titre perdu, volé, détérioré, suppression des droits, date de validité dépassée, numéro de titre inexistant).
Les forces de l'ordre pourront, en outre, procéder aux vérifications via un serveur vocal dédié, nécessitant la saisie du numéro du titre, afin d'accéder aux mêmes informations liées à son statut de validité.
Par ailleurs, l'Imprimerie nationale met en œuvre un téléservice ayant pour finalité de permettre, via deux portails :
- aux bénéficiaires, de suivre les étapes de délivrance du titre, à partir de la notification de la décision d'attribution ou de refus, de transmettre une photographie, et de solliciter un duplicata ou un second exemplaire du titre ;
- aux agents des conseils départementaux et des maisons départementales des personnes handicapées, de suivre l'état d'avancement de la fabrication et de l'envoi des titres et de transmettre les photographies des bénéficiaires à l'Imprimerie nationale.
La commission relève que les bénéficiaires pourront procéder au paiement d'un duplicata ou d'un second exemplaire de la carte « mobilité inclusion » directement via le téléservice. La production du duplicata entraîne l'invalidation du titre qu'il remplace. La demande de second exemplaire maintient la validité du premier titre.
La commission estime que les finalités sont déterminées, explicites et légitimes.
Elle rappelle enfin que l'article 107 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique prévoit que les modalités d'instruction et d'attribution de la carte pour les bénéficiaires de l'allocation personnalisée d'autonomie seront précisées par un décret en Conseild'Etat. Elle observe toutefois que le projet de décret qui luiest soumis n'apporte aucune précision sur ce point.
Sur la nature des données :
Les projets d'articles R. XX-2 et R. XX-13 indiquent que les données à caractère personnel traitées sont relatives :
- à l'identification des demandeurs et des bénéficiaires de la carte « mobilité inclusion » : nom, prénom, nom d'usage, date et lieu de naissance, sexe, décès le cas échéant, adresse postale et électronique, numéro de téléphone, numéro d'identifiant unique issu du système d'information de l'Imprimerie nationale ;
- à l'identification des destinataires de la notification de la décision d'attribution ou de refus du titre, s'ils sont différents des demandeurs ou des bénéficiaires : nom, prénom, nom d'usage, qualité de représentant légal, nom de l'organisme le cas échéant, adresse postale et électronique, numéro de téléphone ;
- aux informations relatives à la décision du président du conseil départemental : mentions et sous-mentions, type de demandes, date de la décision, date de début et durée des droits accordés, motivations de la décision, délais et voie de recours en cas de refus d'attribution, date et nature des recours et suites données le cas échéant ;
- aux autres informations nécessaires à la gestion du titre : date de réception de la demande de fabrication, date d'envoi de la notification de la décision et de la demande de photographie, photographie, numéro du titre, date d'envoi du titre, événements relatifs aux envois ou aux titres, informations relatives aux demandes de duplicata ou de second exemplaire ;
- aux informations nécessaires à la transaction en cas de demande de duplicata ou de second exemplaire : numéro de la carte de paiement, date d'expiration et cryptogramme visuel.
La commission relève que la carte « mobilité inclusion » peut en outre comprendre l'une des sous-mentions suivantes : « besoin d'accompagnement » et « besoin d'accompagnement cécité ». L'éligibilité à ces sous-mentions est décidée par les conseils départementaux et les maisons départementales des personnes handicapées lors de l'instruction des demandes, selon les critères fixés à l'article R. 241-15 du code de l'action sociale et des familles. La commission rappelle que le traitement de ces données s'inscrit dans le cadre des traitements propres aux conseils départementaux et aux maisons départementales des personnes handicapées.
La commission considère que les données traitées sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées.
Sur les destinataires des données :
Sont destinataires des informations strictement nécessaires à l'exercice de leurs missions et dans la limite de leurs attributions :
- les agents de l'Imprimerie nationale dûment habilités ;
- les agents des conseils départementaux, désignés et habilités par le président du conseil départemental ;
- les agents des maisons départementales des personnes handicapées, et le cas échéant des commissions des droits et de l'autonomie des personnes handicapées, désignés et habilités par leurs directeurs ;
- les forces de l'ordre dans le cadre des vérifications des titres portant la mention : « stationnement pour personnes handicapées ».
La commission considère que les personnes ci-dessus mentionnées présentent un intérêt légitime à accéder en tout ou partie aux données.
Sur les durées de conservation des données :
Les projets d'articles R. XX-10, R. XX-11 précisent les durées de conservation des données traitées par l'Imprimerie nationale, à savoir :
- un an à compter de la fin de la validité de la carte « mobilité inclusion » en cas de décision d'attribution ;
- six mois après l'envoi de la notification en cas de refus d'attribution ;
- trois mois pour les données de connexion ;
Les informations liées aux cartes de paiement sont supprimées immédiatement après la transaction.
La commission observe que ces durées permettront à l'Imprimerie nationale de gérer directement les demandes de duplicata ou de second exemplaire, d'identifier d'éventuels doublons dans le cadre de la lutte contre la fraude, de faciliter le renouvellement des titres et de réémettre les courriers de notification de décision de refus d'attribution du titre en cas de besoin.
S'agissant des données traitées par les conseils départementaux, le projet d'article R. XX-15 précise que celles-ci seront conservées au maximum cinq ans à compter de la date d'expiration de validité de la dernière décision intervenue ou pendant laquelle aucune intervention n'a été enregistrée dans le dossier de la personne.
La commission note que cette durée a été choisie en cohérence avec celle applicable aux maisons départementales des personnes handicapées dans le cadre de l'instruction des demandes prévue à l'article R. 146-40 du code de l'action sociale et des familles.
Elle rappelle qu'à l'expiration de cette période, les données doivent être supprimées de manière sécurisée par chaque responsable de traitement ou archivées à titre définitif, dans des conditions définies en conformité avec les dispositions du code du patrimoine relatives aux obligations d'archivage des informations du secteur public. Elle relève à cet égard que les données traitées par les conseils départementaux seront archivées pendant dix ans, en cohérence avec les dispositions de l'article R. 146-40 du code de l'action sociale et des familles, concernant les traitements mis en œuvre par les maisons départementales des personnes handicapées.
La commission souligne enfin que les données appelées à alimenter la base dédiée aux vérifications des forces de l'ordre ne permettent pas d'identifier les personnes concernées (statut valide ou non du titre, motif d'invalidité, numéro du titre) et qu'en conséquence, celles-ci seront conservées sans limitation de durée.
Elle considère que les données traitées ne sont pas conservées au-delà du temps nécessaire à l'accomplissement des finalités pour lesquelles elles ont été collectées.
Sur l'information et les droits des personnes :
Aux termes des projets d'articles R. XX-5 et R. XX-14, les personnes concernées seront informées, conformément à l'article 32 de la loi du 6 janvier 1978 modifée, au moyen de mentions disponibles sur les courriers de notification des décisions d'attribution ou de refus, ainsi que sur le téléservice.
Les droits d'accès et de rectification s'exerceront auprès de l'Imprimerie nationale ou des organismes instructeurs selon les traitements concernés.
La commission prend note que le projet de décret écarte l'application du droit d'opposition, en application du dernier alinéa de l'article 38 de la loi du 6 janvier 1978 modifiée précitée.
Sur les mesures de sécurité :
La commission souligne que le projet d'article 107 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique prévoit que les modalités de sécurisation de la carte seront précisées par un décret en Conseil d'Etat. Or, elle relève que le projet de décret n'apporte pas de précision sur ce point. Elle estime par conséquent que le projet de décret devrait être complété sur ces aspects.
A cet égard, le ministère a néanmoins apporté certaines précisions dans le cadre de l'instruction du dossier.
Les échanges de données entre les organismes instructeurs et l'Imprimerie nationale s'opèrent via des canaux de communication chiffrés, assurant l'authentification de la source et de la destination.
La commission souligne que la circulation de documents sur support « papier », en particulier des photographies des bénéficiaires, doit faire l'objet de mesures organisationnelles visant à assurer leur sécurité et leur confidentialité.
Les données stockées par l'Imprimerie nationale sont chiffrées. Celles relatives à la sous-mention : « besoin d'accompagnement cécité », disposent par ailleurs d'un second niveau de chiffrement.
Les portails d'accès au téléservice de l'Imprimerie nationale sont sécurisés au moyen du protocole HTTPS. Ils bénéficient d'une surveillance permanente et fournissent, le cas échéant, des alertes de sécurité.
Les données de connexion au téléservice des agents habilités des organismes instructeurs leur sont communiquées de manière sécurisée.
Les agents habilités de l'Imprimerie nationale accèdent au système d'information en s'authentifiant au moyen d'une carte à puce. Une journalisation des opérations de création, modification et suppression est par ailleurs réalisée. Différents profils d'habilitation sont prévus afin de gérer les accès aux données.
Des sauvegardes sont régulièrement réalisées et testées afin de vérifier leur intégrité. Celles-ci sont en outre chiffrées et stockées dans un endroit garantissant leur sécurité et leur disponibilité.
La commission rappelle enfin que le traitement étant un téléservice au sens de l'ordonnance n° 2005-1516 du 8 décembre 2005, il doit être conforme au Référentiel général de sécurité (RGS) prévu par le décret n° 2010-112 du 2 février 2010. En conséquence, il appartient à l'Imprimerie nationale d'attester formellement de la sécurité de ce téléservice au travers d'une homologation, et d'en publier l'attestation d'homologation.
La commission considère que les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée. Cette obligation nécessite toutefois la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.
Sur les formalités préalables :
La commission prend acte que l'article 3 du projet de décret prévoit que, préalablement à la mise en place ou à l'évolution de leurs traitements, les conseils départementaux et les maisons départementales des personnes handicapées réalisent « un engagement de conformité » aux dispositions du projet de décret.
Elle relève toutefois qu'au regard des dispositions prévues, notamment, aux articles 25-11, 26-IV et 27-111 de la loi du 6 janvier 1978 modifiée, les traitements concernés ne sont pas de ceux qui peuvent faire l'objet d'un tel allègement de formalités. En ce sens, il appartient aux conseils départementaux de réaliser les formalités idoines décrites à l'article 23-1 de ladite loi.
La commission prend toutefois acte que l'article 2 du projet de décret introduit des modifications rédactionnelles au décret n° 2007-965 du 15 mai 2007, afin d'intégrer les traitements relatifs à la carte « mobilité inclusion ». Elle rappelle que ce décret constitue un acte réglementaire unique (RU-005) autorisant les traitements mis en œuvre par les maisons départementales des personnes handicapées.