Après avoir entendu Mme Marie-France MAZARS, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
L'article 89 de la loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé modifie les missions des maisons départementales des personnes handicapées (MDPH) en instaurant la mise en place des plans d'accompagnement global, dispositifs complémentaires aux plans personnalisés de compensation, destinés à construire des solutions d'accompagnement et d'accueil en établissement de toutes personnes en situation de handicap et en particulier les cas complexes.
La loi n° 2015-1776 du 28 décembre 2015 relative à l'adaptation de la société au vieillissement modifie les missions de la Caisse nationale de solidarité pour l'autonomie (CNSA) en renforçant son rôle de connaissance de l'offre médico-sociale et d'analyse des besoins des personnes handicapées sur le territoire.
Ces changements impliquent de modifier les traitements de données à caractère personnel mis en œuvre par les MDPH et la CNSA afin de leur permettre la réalisation de ces nouvelles missions.
La Commission est ainsi saisie d'un projet de décret modifiant les dispositions réglementaires concernant le système d'informations des MDPH et le système national d'information statistique mis en oeuvre par la CNSA.
Sur les modifications apportées au système d'information mis en oeuvre par les MDPH :
A titre liminaire, la Commission relève qu'en application des articles 70 et 75 de la loi relative à l'adaptation de société au vieillissement précitée, qui ont complété les articles L. 14-10-1 et L. 247-2 du code de l'action sociale et des familles (CASF), les MDPH devront désormais utiliser un système d'information commun, conforme à des normes d'interopérabilité définies par la CNSA. Ces référentiels seront approuvés par arrêté du ministre en charge des personnes handicapées pris après avis de la Commission.
La Commission rappelle qu'elle devra donc être saisie de ce projet d'arrêté afin d'émettre un avis éclairé sur les caractéristiques de ce système d'information commun.
Sur la finalité des traitements :
L'article 1er du projet de décret prévoit de de compléter la finalité relative à l'instruction des demandes de prestations ou d'orientation de la personne handicapée en prenant en compte :
- l'identification des attentes et des besoins des personnes, et le cas échéant de leurs proches aidants, ainsi que les prestations requises permettant de définir les interventions dans les domaines de l'accompagnement, de l'éducation et de la scolarisation, des soins, de l'insertion professionnelle sociale ou de l'aide aux aidants ;
- la connaissance de la situation des personnes justifiant d'un plan d'accompagnement global.
La finalité relative au suivi des parcours individuels de la personne handicapée est également complétée pour intégrer le recueil des suites données par les établissements, services et dispositifs intégrés aux dispositifs d'orientation.
Dans la mesure où ces modifications résultent de la mise en place du plan d'accompagnement global prévu à l'article 89 de la loi de modernisation de notre système de santé précitée, et dans la logique d'analyse des besoins des personnes handicapées sur le territoire confiée à la CNSA, ces modifications n'appellent pas d'observations de la Commission.
Le projet de décret prévoit également de compléter la finalité relative à la simplification des usagers par la participation des MDPH à la coordination des parcours de santé complexes.
La Commission relève que cette mission est prévue par l'article 74 de la loi du 26 janvier 2016 précitée et aura principalement pour objectifs d'informer et orienter les personnes handicapées et organiser leur parcours lorsque celui-ci est défini comme complexe, c'est-à-dire "lorsque l'état de santé, le handicap ou la situation sociale du patient rend nécessaire l'intervention de plusieurs catégories de professionnels de santé, sociaux ou médico-sociaux ".
L'article 1er du projet de décret ajoute enfin une finalité relative à la gestion des ressources humaines et de financement des MDPH. La Commission relève que cet ajout répond à l'obligation prévue à l'article L. 146-3-1 du CASF, pour les MDPH de transmettre à la CNSA des informations relatives à l'utilisation des financements qu'elles ont reçus, à leurs effectifs et à leurs activités.
La Commission estime que ces nouvelles finalités sont déterminées, explicites et légitimes conformément aux dispositions de l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
Sur les données traitées :
Le projet de décret prévoit que les MDPH ont recours au numéro d'inscription des personnes au répertoire national d'identification des personnes physiques (NIR) pour :
- référencer les données recueillies par l'équipe pluridisciplinaire mentionnée à l'article L. 146-8 dans le cadre de leurs missions et assurer les échanges d'informations nécessaires à la mise en œuvre des interventions requises dans un objectif d'inclusion : éducatives et de scolarisation, thérapeutiques, d'insertion professionnelle ou sociale, d'aide aux aidants ;
- transmettre les notifications de décisions et informations contenues dans le formulaire de demande, à l'organisme chargé de la mise en œuvre de ces décisions dès lors que cet organisme est autorisé à utiliser ce numéro ;
- transmettre les données à la Caisse nationale de solidarité pour l'autonomie en application de l'article L. 146-3 du présent code.
La Commission rappelle que dans son avis sur le décret n° 2007-965 du 15 mai 2007 précité, elle avait admis que le numéro de sécurité sociale puisse être utilisé comme identifiant des usagers des MDPH à des fins d'instruction de leur dossier.
Pour ce qui concerne les échanges avec la CNSA, la Commission avait pu se prononcer sur la création de l'article 73 de la loi n° 2015-1776 du 28 décembre 2015 relative à l'adaptation de la société au vieillissement dans son avis en date du 27 mars 2014. Elle avait ainsi estimé que la transmission du NIR pour des raisons liées au besoin de chaîner le parcours des personnes apparaissait légitime et répondait à l'objectif de cantonner le NIR à la prise en charge dans la sphère médico-sociale.
Si la Commission ne remet pas en cause aujourd'hui une telle utilisation, elle rappelle néanmoins que cette transmission ne pourra être effectuée qu'à des fins de suivi des personnes sur la durée et que seules les personnes strictement habilitées de la CNSA pourront être amenées à traiter une telle donnée.
Concernant les personnes handicapées, l'article 1er du projet de décret prévoit de modifier l'article R. 146-39 du code de l'action sociale et des familles par l'ajout de données relatives à leurs besoins.
Le projet de décret prévoit également la collecte des données suivantes concernant les aidants :
- date de naissance ;
- cohabitation avec la personne aidée ;
- lien de parenté avec la personne aidée ;
- situation au regard de l'emploi ;
- nature de l'aide apportée ;
- attentes et besoins.
La Commission relève que la collecte de ces données sera facultative et prend acte des précisions apportées par le ministère selon lesquelles ces données permettront d'affiner la connaissance du profil des aidants et d'examiner les demandes d'aides telles que l'affiliation gratuite à l'assurance vieillesse formulées en faveur de l'aidant d'une personne handicapée.
La Commission constate également que des données relatives à de nouvelles catégories de personnes sont collectées, à savoir les membres du groupe opérationnel de synthèse dont la création est prévue par l'article 89 de la loi n° 2015-1776 du 28 décembre 2015 relative à l'adaptation de la société au vieillissement dans le cadre de la mise en place des plans d'accompagnement global et les coordonnateurs de parcours dont la désignation est rendue obligatoire pour les MDPH par cette même loi.
Le projet de décret prévoit que les données collectées relatives à ces deux catégories de personnes sont les noms, prénoms, adresses professionnelles et qualités, ce qui n'appelle pas d'observations particulières de la Commission.
Sur les destinataires des données :
Le projet de décret prévoit l'ajout de nouveaux destinataires dans le cadre de l'instauration des plans d'accompagnement global.
Auront ainsi accès aux données contenues dans les traitements mis en oeuvre par les MDPH, les agents du département, les agents de l'agence régionale de santé et les agents des organismes d'assurance maladie et autres professionnels pour le strict besoin de mise en place du plan d'accompagnement global.
Au regard de la sensibilité des informations transmises, la Commission estime que le projet de décret devrait rappeler que seules les personnes strictement habilitées auront accès aux données et que toute transmission d'information doit s'accompagner de mesures adéquates permettant de garantir la confidentialité des échanges, telles qu'un chiffrement des données.
D'autre part, le projet de décret prévoit que les agents du département et de l'agence régionale de santé sont destinataires de l'ensemble des informations sur la situation des personnes bénéficiant d'une orientation vers un établissement social ou médico-social, sous forme de données statistiques agrégées ou de données individuelles anonymisées.
Interrogé sur ce point, le ministère a précisé que ces organismes en tant que financeurs de dispositifs d'accueil de personnes handicapées nécessitent de connaître les besoins des usagers et l'offre disponible sur le territoire.
La Commission estime que la rédaction actuelle du projet de décret est ambiguë. Elle recommande d'indiquer explicitement que ces organismes pour les fins citées ci-dessus, ne sont destinataires que de données statistiques anonymisées donc non identifiantes.
Sur la création d'un téléservice :
Le projet de décret prévoit la création d'un téléservice qui permettra aux personnes handicapées de formuler toutes les demandes de droits et de prestations existantes qui étaient jusqu'à présent adressées aux MDPH sur format papier.
La Commission prend acte des informations apportées par le ministère selon lesquelles l'utilisation de ce téléservice sera facultative pour les usagers.
Elle relève que l'instruction des demandes de prestations formulées par les personnes handicapées était déjà prévue par le décret du 15 mai 2007 précité qui détermine les données collectées nécessaires au traitement de ces demandes, les destinataires et les durées de conservation de ces données.
Ces modalités de traitement ne sont pas modifiées par la mise en place du téléservice.
La Commission rappelle néanmoins que les droits des personnes devront être mis en œuvre conformément aux dispositions des articles 38 à 40 de la loi du 6 janvier 1978 modifiée.
Par ailleurs, au regard de l'essor des téléprocédures, la Commission souhaite insister sur l'importance de prendre en considération les difficultés auxquelles peuvent être confrontés les usagers soumis à l'accomplissement de formalités dématérialisées (difficulté d'accès à internet ou encore insuffisance des connaissances dans le domaine du numérique).
C'est pourquoi, elle estime nécessaire d'accompagner les usagers, en les informant notamment des dispositifs leur permettant d'être assistés dans leurs démarches, tels que les espaces publics numériques (EPN). A cet égard, la Commission recommande que cette information soit portée à la connaissance des utilisateurs des services des MDPH, en renvoyant notamment vers le répertoire des lieux d'accès publics ( http://www.netpublic.fr/net-public/espaces-publics-numeriques/repertoire-national/). "
Le ministère n'a pas été en mesure de fournir à la Commission des informations sur les paramètres d'accès au téléservice, de création et suppression de compte.
Elle prend néanmoins acte des informations qu'il lui a apportées selon lesquelles la CNSA assurera la démarche d'homologation au Référentiel général de sécurité.
Sur les mesures de sécurité :
Au regard des informations lui ayant été communiquées, la Commission n'est pas en mesure de valider les solutions de sécurité mises en place. Elle rappelle le besoin de mettre en oeuvre des solutions permettant d'assurer la confidentialité, l'intégrité et la disponibilité des informations traitées ainsi que celle des biens supports.
La mise en œuvre de solutions de chiffrement des flux des données traitées et stockées ainsi que des sauvegardes est nécessaire à la protection des données.
Une gestion des habilitations en cohérence avec le droit d'en connaître et des solutions permettant d'assurer le contrôle d'accès des utilisateurs au système d'informations devront être déployées. Un niveau de traçabilité des accès et des actions suffisant devra être mis en place.
La Commission rappelle enfin le besoin de prise en compte d'un niveau de cloisonnement des environnements et des applicatifs en cohérence avec le niveau de sécurité nécessaire ainsi qu'un niveau de sécurité physique suffisant des environnements.
Pour ce qui concerne les échanges d'information entre les MDPH et la CNSA, la Commission relève que la fonction d'occultation des informations nominatives (FOIN) sera utilisée, ce qui n'appelle pas d'observations.
Sur les modifications apportées au système d'information mis en œuvre par la CNSA :
Le projet de décret prévoit de compléter la finalité de gestion des politiques du handicap en y ajoutant le domaine du suivi des parcours et celui de la contribution à la connaissance des dépenses médico-sociales. Il prévoit aussi de compléter les informations enregistrées dans le système national d'informations transmises sur la nature du diagnostic médical et les limitations d'activité par des informations sur les besoins et les attentes, par référence à une nomenclature fixée par arrêté du ministre chargée des personnes handicapées.
Les informations concernant le plan personnalisé de compensation sont complétées par celles du projet personnalisé de scolarisation et du plan d'accompagnement global.
La Commission relève que ces modifications résultent des dispositions de l'article 70 de la loi relative à l'adaptation de la société au vieillissement qui confère de nouvelles missions à la CNSA.
Une finalité relative à l'alimentation du système national des données de santé est également ajoutée.
Dans la mesure où le décret n° 2016-1871 du 26 décembre 2016 relatif au traitement de données à caractère personnel dénommé "système national des données de santé " prévoit la collecte d'informations médico-sociales relatives à la situation des personnes en situation de handicap transmises à la Caisse nationale de solidarité pour l'autonomie dans le cadre du système d'information mentionné à l'article L. 247-2 du code de l'action sociale et des familles, ces dispositions n'appellent pas d'observations.