Après avoir entendu le rapport de Mme Sophie LAMBREMON, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Emet l'avis suivant :
La loi n° 2021-998 du 30 juillet 2021 relative à la prévention d'actes de terrorisme et au renseignement a créé un nouvel article L. 3211-12-7 dans le code de la santé publique (CSP), qui introduit une dérogation au secret médical concernant les personnes faisant l'objet de mesures de soins psychiatriques sans consentement, aux fins de lutte contre la radicalisation à caractère terroriste. Plus spécifiquement, il est prévu qu'aux seules fins d'assurer le suivi de personnes qui représentent une menace grave pour la sécurité et l'ordre publics en raison de leur radicalisation à caractère terroriste, leurs données d'identification ainsi que celles relatives à leur situation administrative peuvent être communiquées au représentant de l'Etat dans le département ainsi qu'à des services de renseignement.
Dans ce contexte, le décret n° 2018-383 du 23 mai 2018 autorisant les traitements de données à caractère personnel relatifs au suivi des personnes en soins psychiatriques sans consentement, qui prévoit d'ores et déjà la mise en relation des traitements HOPSYWEB avec le fichier de traitement des signalements pour la prévention de la radicalisation à caractère terroriste (FSPRT), est modifié pour préciser les modalités selon lesquelles ces données sont transmises et étendre le périmètre des personnes auxquelles ces informations peuvent être communiquées conformément à la loi du 30 juillet 2021.
A titre liminaire, la Commission rappelle qu'elle s'est prononcée dans ses délibérations nos 2018-353 et 2018-354 du 13 décembre 2018 sur cette mise en relation. Dans sa délibération relative au traitement HOPSYWEB, la Commission avait formulé certaines observations. Elle avait, d'une part, considéré que les modalités d'échange d'informations entre les préfets et les agences régionales de santé (ARS) n'étaient pas suffisamment encadrées. Elle avait, d'autre part, relevé qu'aucune information spécifique des personnes, ni relative à l'effacement des données, n'était prévue par le texte. Enfin, la Commission avait formulé une réserve quant à la possibilité de déroger sans disposition législative expresse au secret médical, sauf en ce qui concerne l'information du préfet du lieu de résidence de la personne. Sur ce point, elle souligne que la loi du 30 juillet précitée a permis de conférer une assise législative à la transmission de ces données.
Dans le cadre de la présente saisine, la Commission réitère certaines de ses observations, s'agissant plus particulièrement des modalités de transmission des informations suite à une concordance au sein des traitements. Elle exprime en outre des réserves sur les possibilités de recherche au sein des traitements HOPSYWEB envisagées par le ministère dans le cadre de la levée de doute. La Commission formule également des remarques sur des modifications qui pourraient être apportées au projet de texte à des fins de clarification du dispositif.
Enfin, la Commission souligne que le décret du 23 mai 2018 constitue un acte réglementaire unique, en référence duquel des engagements de conformité doivent être adressés à la Commission préalablement à chaque mise en œuvre. Par ailleurs, elle prend acte de ce que le projet de décret a pour seul objet de modifier les conditions de mise en relation entre les traitements HOPSYWEB et le FSPRT. Conformément à la position du Conseil d'Etat (CE, 13 mars 2020, Association cercle de réflexion et de proposition d'actions sur la psychiatrie (CRPA) et autres, nos 431350, 431530, 432306, 432329, 432378 et 435722), le ministère souligne que la mise en relation visée constitue un traitement autonome qui se distingue juridiquement des traitements HOPSYWEB, et que ce traitement « relève, au même titre que le traitement FSPRT, des seules dispositions applicables aux traitements intéressant la sûreté de l'Etat et la défense ». Le ministère a ainsi considéré que le traitement concerné par le projet relève des seules dispositions des titres I et IV de la loi n° 78-17 du 6 janvier 1978 modifiée et a saisi la Commission de cette modification sur le fondement de l'article 31-II de cette loi.
S'agissant des modalités de transmission des informations suite à une concordance (« hit ») :
La mise en relation entre les traitements HOPSYWEB et FSPRT est réalisée lorsqu'un nouvel individu est enregistré dans l'un des deux traitements, lors d'une nouvelle mesure sur un dossier existant pour une personne déjà enregistrée dans HOPSYWEB et, en toute hypothèse, toutes les vingt-quatre heures. Elle est effectuée à partir du nom, du prénom et de la date de naissance des personnes concernées. Ces données font l'objet d'un « hachage » et d'une phonétisation, afin de repérer une concordance y compris lorsque le nom est orthographié de façon légèrement différente dans les deux fichiers.
En cas de concordance, c'est-à-dire lorsque la personne est enregistrée dans le FSPRT et dans HOPSYWEB (présence d'un « hit »), le préfet du département d'hospitalisation, est informé. Il reçoit un courriel via les réseaux sécurisés du ministère, au moyen d'un module technique développé au sein du FSPRT. Il est le seul à pouvoir ensuite procéder à des démarches auprès de l'agence régionale de santé (ARS) pour obtenir des informations complémentaires et s'assurer de l'identité de la personne concernée (levée de doute). A cet égard, la Commission prend acte de ce que ces échanges se limitent à ce qui est prévu par les dispositions du CSP. Ce n'est que dans un second temps, une fois la levée de doute effectuée et le « hit » positif confirmé, que le préfet du lieu de résidence ainsi que les services de renseignement pourront être informés de la correspondance.
Le ministère a par ailleurs indiqué que les informations communiquées par les ARS aux agents préfectoraux dans cette hypothèse le seront via les canaux de transmission habituels, soit par exemple par téléphone. Il a précisé à cet égard que les agents de l'ARS susceptibles de répondre à de telles demandes seront sensibilisés quant à la confidentialité des informations transmises.
S'agissant des modalités de cette transmission, la Commission réitère les observations formulées dans sa précédente délibération, consistant à estimer qu'elles pourraient être entourées de garanties renforcées. Elle appelle notamment à une vigilance toute particulière concernant la sécurisation des procédures de levée de doute et de recueil d'informations complémentaires. En outre, elle estime que seul le référent identifié au sein de chaque ARS intervenant dans le cadre de la CPRAF (cellule pour la prévention de la radicalisation et l'accompagnement des familles) devrait procéder à la vérification de l'identité de la personne et communiquer des informations complémentaires, sur sollicitation du préfet de département et à Paris, du préfet de police. Elle considère qu'une telle mesure serait en effet de nature à limiter les risques conduisant à la connaissance par les agents des ARS du fait qu'une personne est enregistrée dans le FSPRT à l'occasion de la sollicitation du préfet de département, et à Paris, du préfet de police.
Ces éléments généraux rappelés, la Commission formule les observations suivantes.
En premier lieu, la Commission estime que le projet de décret pourrait être complété aux fins de préciser que les informations complémentaires présentes dans HOPSYWEB (autres que celles ayant permis le « hit », soit le nom, prénom et la date de naissance) nécessiteront une levée de doute par le préfet du département avant d'être transmises au représentant de l'Etat territorialement compétent au titre du suivi de la personne et aux services de renseignement. Le projet de décret pourrait ainsi mentionner que c'est à l'issue de la levée de doute que les destinataires précités reçoivent communication de ces données. La Commission prend acte de l'engagement du ministère de préciser le projet de décret sur ce point. Elle souligne également que le seul « hit » ne saurait, en l'absence de la levée de doute réalisée par le préfet de département, conduire à l'enregistrement d'une quelconque information au sein d'autres fichiers et notamment du FSPRT. Elle estime qu'une telle garantie pourrait par ailleurs utilement figurer au sein du projet de décret.
En deuxième lieu, dans la mesure où les données permettant la mise en relation font l'objet d'un « hachage » et d'une phonétisation, il est possible que le « hit » donne lieu à une ou plusieurs correspondances, ce qui n'appelle pas d'observation particulière. En revanche, le ministère indique que, dans le cadre de la levée de doute, une recherche plus approfondie pourra être demandée de manière ponctuelle par le préfet à l'ARS et réalisée sur des identités qualifiées comme voisines. Ainsi, sur la base d'une appréciation au cas par cas de la probabilité de les trouver dans un temps raisonnable, l'ARS pourra rechercher un individu au sein du fichier, en dehors de la procédure de recherche automatisée précédemment décrite. Interrogé sur ce point, le ministère a précisé que les critères conduisant à solliciter cette recherche pourront dépendre des délais dans lesquels le préfet souhaite disposer de l'information, de celles dont il dispose déjà, et de leur proximité avec les données identifiantes issues du « hit ».
D'une part, la Commission considère que la possibilité d'effectuer ce type de recherche est porteuse de risques importants d'atteintes à la vie privée des personnes concernées. Ainsi, elle estime que l'hypothèse décrite par le ministère est susceptible d'engendrer la communication d'informations qui ne seraient pas couvertes par le champ de l'article L. 3211-12-7 du CSP. Une telle situation est par ailleurs de nature à révéler une suspicion de radicalisation terroriste d'un individu aux ARS, alors même qu'ils n'ont pas à en connaître au regard de leurs missions.
D'autre part, la Commission rappelle que les traitements HOPSYWEB ne constituent ni des fichiers d'identification, ni des fichiers de prévention des risques liés à la radicalisation des personnes atteintes de troubles mentaux. En effet, ces traitements ont pour finalité de permettre le suivi des personnes faisant l'objet de soins psychiatriques et dont l'objectif général est d'homogénéiser et de sécuriser les pratiques en matière d'hospitalisation sans consentement.
Compte tenu de ce qui précède ainsi que des finalités visées à l'article 1er du décret n° 2018-383 du 23 mai 2018, la Commission est particulièrement réservée quant à la volonté du ministère de permettre cette modalité de recherche au sein de ces fichiers.
En troisième lieu, la Commission relève que le ministère ne prévoit aucune modalité relative à la mise à jour des informations transmises au préfet de département et, à Paris, au préfet de police, ainsi qu'aux services de renseignement, lorsque ces informations sont intégrées au FSPRT et qu'une mesure de soins sans consentement est ensuite déclarée irrégulière par le juge des libertés et de la détention.
Sur la nature des données transmises :
Le projet d'article 2-1 encadre les données pouvant être transmises par les ARS au représentant de l'Etat dans le département et, à Paris, au préfet de police, ainsi qu'aux services mentionnées aux articles L. 811-2 et L. 811-4 du code de la sécurité intérieure.
La Commission relève que les catégories de données susceptibles d'être communiquées ne correspondent pas strictement à celles faisant l'objet d'un enregistrement dans les traitements HOPSYWEB. Elle invite le ministère à s'assurer de l'exacte correspondance entre ces catégories de données. Elle rappelle que le projet d'article 2- 1 ne saurait permettre une collecte de données autres que celles dont le traitement est autorisé par l'article 2 du décret régissant HOPSYWEB.
Enfin, le renvoi aux articles L. 3212-5, L. 3212-8 et L. 3213-9 du CSP et 706-135 du code de procédure pénale opéré par l'article L. 3211-12-7 du CSP semble indiquer que les données administratives pouvant être traitées dans ce contexte seraient :
- la décision d'admission d'une personne en soins psychiatriques ;
- la fin de la mesure de soins ;
- la levée de la mesure de soins psychiatriques ;
- la décision d'admission en soins psychiatriques d'une personne ayant fait l'objet d'un arrêt ou un jugement de déclaration d'irresponsabilité pénale pour cause de trouble mental.
Ainsi, la Commission invite le ministère à s'assurer que l'information relative à « la forme de la prise en charge » constitue bien une donnée pouvant être traitée dans le cadre du projet de décret dont elle est saisie.
S'agissant de la mise en relation entre les traitements HOPSYWEB et FSPRT :
De manière générale, la Commission rappelle qu'en matière d'interconnexions, de rapprochements, ou d'autres formes de mises en relation, lorsque les traitements en cause sont régis par des actes réglementaires, la mise en relation doit respecter les dispositions régissant les deux traitements. Cela impose de s'assurer que l'opération est conforme aux finalités, aux données et aux accédants et destinataires fixés par les deux actes réglementaires (CNIL, SP, 27 mai 2021, Avis sur projet de décret, LRPGN, n° 2021-061, publié).
En l'espèce, si la Commission s'est prononcée en 2018 sur le principe de la mise en relation entre les fichiers HOPSYWEB et FSPRT, elle n'a pas été mise en mesure d'apprécier, dans le cadre de la présente saisine, la conformité des évolutions envisagées par le ministère au regard des textes encadrant les traitements HOPSYWEB et FSPRT, dès lors que le décret régissant ce dernier n'est pas publié. La Commission invite le ministère à s'assurer du respect de l'ensemble des conditions précitées et rappelle en outre qu'elle pourra être amenée à contrôler le respect de ces modalités dans le cadre de la mise en œuvre de ses pouvoirs de contrôle prévus à l'article 19 de la loi du 6 janvier 1978 modifiée.
S'agissant de la transmission d'informations aux services de renseignement :
Le projet de décret encadre, conformément à ce que prévoit le CSP, la transmission d'informations à des services de renseignement à raison de leurs missions de lutte contre le terrorisme et dans la limite de leur besoin d'en connaître. Ainsi, les données d'identification des personnes concernées et les informations relatives à la nature et aux dates de décision d'admission, à la forme de la prise en charge, à la levée et à la fin de la mesure, à l'adresse de l'établissement de santé, pourront être transmises suite à la levée de doute réalisée par le préfet de département du lieu d'hospitalisation.
La Commission souligne que les données ainsi transmises aux services de renseignement pour les finalités prévues par l'article L. 3211-12-7 du CSP auront vocation à faire l'objet d'un enregistrement dans d'autres traitements. De manière générale et de la même manière que pour la mise en relation avec le FSPRT, la Commission rappelle que ces opérations doivent respecter les dispositions régissant les autres traitements et que cela impose de s'assurer que cela est conforme aux finalités, aux données et aux accédants et destinataires fixés par les actes réglementaires concernant ces traitements.
Sur les droits de personnes concernées :
La Commission relève que le projet de décret qui lui est soumis n'opère pas de modification des dispositions en vigueur relatives aux modalités d'exercice des droits des personnes concernées, et ce, alors même que le décret n° 2018-383 du 23 mai 2018 vise d'anciens articles de la loi du 6 janvier 1978 modifiée, qui ne sont plus en vigueur.
En premier lieu, si elle regrette que le ministère ait initialement fait le choix de ne pas modifier le décret sur ce point, d'autant qu'elle avait formulé un certain nombre d'observations dans sa délibération n° 2018-354 du 13 décembre 2018, la Commission prend acte de l'engagement du ministère de mettre à jour les dispositions du décret n° 2018-383 et de les compléter des droits applicables. Elle souligne en outre que l'analyse d'impact relative à la protection des données devra être mise à jour.
La Commission rappelle également que, compte tenu de l'évolution du cadre juridique applicable à la protection des données à caractère personnel, il revient au ministère de s'assurer que l'information délivrée actuellement par les ARS répond aux exigences des dispositions du RGPD. A ce titre et compte tenu des enjeux liés à la mise en relation des traitements HOPSYWEB et du FSPRT, elle considère qu'une information spécifique devrait être délivrée aux personnes concernées.
En second lieu, le ministère estime que sont soumis au titre IV de la loi du 6 janvier 1978 modifiée les données concernées par la finalité d'information des préfets et services de renseignement aux fins du suivi d'une personne représentant une menace. Cela implique que conformément aux dispositions de l'article 118 de cette loi, les droits d'accès, de rectification et d'effacement des données s'exercent de manière indirecte auprès de la Commission. Le ministère prévoit en outre que le droit à l'information prévu à l'article 116 et le droit d'opposition prévu à l'article 117 de la même loi ne s'appliquent pas au présent traitement.
La Commission comprend en l'espèce que cela implique que la personne concernée puisse notamment demander, par l'intermédiaire du droit d'accès indirect, si des informations la concernant ont été transmises au préfet du lieu d'hospitalisation dans le cadre de cette mise en relation.
Si elle relève que de telles modalités visent notamment à tenir compte de la décision du Conseil d'Etat précitée, la Commission estime que ces dernières sont susceptibles d'être porteuses d'un certain nombre de difficultés pratiques. Comme cela a déjà pu être souligné pour des traitements connexes relevant de régimes distincts, la lisibilité pour les personnes est impactée par cette dualité et peut nuire à un exercice effectif des droits.
De manière générale, la Commission s'interroge sur l'identification des données susceptibles d'être visées, ainsi que sur le périmètre exact des opérations concernées (la base d'empreintes de données phonétisées et « hachées », le « hit », la levée de doute, etc.).
Plus particulièrement, elle appelle l'attention du ministère sur les modalités pratiques qui permettront de mettre en œuvre ces droits de manière effective, notamment dans la mesure où les « hit » ne font pas nécessairement l'objet d'un enregistrement et que la levée de doute est réalisée par téléphone.