JORF n°0178 du 3 août 2022

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Projet de décret rectifié sur le SIVIC et le traitement du NIR

Résumé La CNIL commente un projet de loi sur l'identification des victimes et l'utilisation d'un numéro d'identification, en insistant sur la protection des données personnelles.

(Demande d'avis n° 22006437)

La Commission nationale de l'informatique et des libertés,
Saisie par le ministre des solidarités et de la santé d'une demande d'avis concernant un projet de décret rectifié relatif au système d'information d'identification unique des victimes (SIVIC) ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Sur la proposition de Mme Valérie PEUGEOT, commissaire, et après avoir entendu les observations de M. Damien MILIC, commissaire adjoint du Gouvernement ;
Emet l'avis suivant :
Sur l'objet de la saisine
La Commission a été saisie d'un projet de décret rectifié relatif au système d'information d'identification unique des victimes (SIVIC), qui prévoit de modifier les dispositions de l'article R. 3131-10-2 du code de la santé publique (CSP) et du décret n° 2019-341 du 19 avril 2019 portant sur la mise en œuvre de traitements comportant l'usage du numéro d'inscription au répertoire national d'identification des personnes physiques ou nécessitant la consultation de ce répertoire (décret NIR) afin de permettre l'utilisation du NIR dans le cadre du traitement SIVIC.
Le traitement SIVIC, dont le ministre en charge de la santé est responsable, est prévu par l'article L. 3131-9-1 du CSP et vise, en cas d'évènement constituant une situation sanitaire exceptionnelle ou étant de nature à impliquer de nombreuses victimes, à assurer la gestion de ces évènements et le suivi des victimes. L'article L. 3131-9-1 du CSP renvoie à un décret en Conseil d'Etat, pris après avis de la Commission, le soin de préciser la nature des données recueillies et de fixer les modalités de leur transmission dans le respect des règles garantissant la protection de la vie privée.
Cette saisine rectificative fait suite à la délibération de la Commission n° 2021-081 du 8 juillet 2021 portant sur un premier projet de décret. Dans cet avis, la Commission s'était notamment interrogée sur le fondement juridique et les modalités de traitement du NIR en tant qu'identifiant national de santé (INS).
Les rectifications apportées au projet de décret initial portent sur :

- le fondement juridique et les modalités de traitement du NIR, notamment en tant qu'INS ;
- les modalités d'exercice des droits des personnes concernées.

Sur le fondement juridique et les modalités de traitement du NIR, notamment en tant qu'INS
Le projet de décret prévoit le remplacement de la mention de l'INS par celle du « numéro d'inscription au répertoire national d'identification des personnes physiques, utilisé le cas échéant comme identifiant national de santé ».
Le projet de décret distingue donc désormais le traitement du NIR et le traitement du NIR INS « le cas échéant ». La Commission rappelle que le traitement du NIR est encadré par les dispositions du décret cadre NIR et que le traitement du NIR INS ne pourra être mis en œuvre que dans les hypothèses prévues par les dispositions du CSP.
Ainsi, le projet de décret prévoit que les personnels des ministères de l'intérieur, de la justice et des affaires étrangères et ceux intervenant dans le cadre d'une structure chargée de l'information des familles, pourront accéder à certaines données, « à l'exclusion du numéro d'inscription au répertoire national d'identification des personnes physiques utilisé comme identifiant national de santé ». Le ministère a précisé que ces personnels n'auraient pas accès au NIR mais seraient informés du fait que les traits d'identité ont été validés par le téléservice INSi. La Commission en prend acte et invite le ministère à clarifier le décret afin de mentionner que ces personnels n'auront pas accès au NIR, qu'il soit ou non traité comme INS.
Par ailleurs, le ministère a précisé que, contrairement à ce que prévoit le projet d'article R. 3131-10-2 du CSP, le NIR ne sera pas enregistré dans le traitement SIVIC. A cet égard, le ministère a indiqué que seuls les traits d'identités seront enregistrés afin de permettre l'interrogation du téléservice INSi qui, en retour, validera les traits d'identité et renverra le NIR, ce qui semble cependant en contradiction avec l'affirmation selon laquelle il ne sera pas enregistré dans le traitement. La Commission l'invite dès lors à clarifier le projet, afin qu'il établisse clairement les cas dans lesquels le NIR sera traité en tant que tel dans le cadre de la mise en œuvre du traitement SIVIC, ainsi que les modalités selon lesquelles le traitement de cette donnée interviendra. Le ministère a en outre précisé que cette validation du NIR ne sera demandée qu'en cas d'ouverture d'une enquête judiciaire ou d'une cellule téléphonique pour réponse aux familles. La Commission en prend acte.
Enfin, l'article 2 du projet est modifié afin de compléter les dispositions du décret NIR pour permettre au ministère de traiter le NIR pour assurer la gestion et le suivi des victimes dans le cadre du traitement mentionné à l'article R. 3131-10-1 du CSP. En l'absence de précision, la Commission estime que le ministère chargé de la santé pourra traiter le NIR, mais pas en tant qu'INS.
La Commission renouvelle son inquiétude sur les risques engendrés en matière de vie privée par l'élargissement substantiel du nombre d'organismes et de personnes amenés à traiter le NIR dans ce cadre.
Sur les modalités d'exercice des droits des personnes concernées
La Commission accueille favorablement la modification apportée au projet, permettant aux personnes d'exercer également leurs droits auprès de l'établissement de santé et de la cellule d'urgence médico-psychologique de prise en charge.
La Commission relève que le projet mentionne désormais expressément que le droit d'opposition est écarté en application des dispositions de l'article 23 du RGPD.
Ce projet de décret n'appelle pas d'autres observations de la Commission au regard de la protection des données à caractère personnel.

1 version

Historique des versions

Version 1

(Demande d'avis n° 22006437)

La Commission nationale de l'informatique et des libertés,

Saisie par le ministre des solidarités et de la santé d'une demande d'avis concernant un projet de décret rectifié relatif au système d'information d'identification unique des victimes (SIVIC) ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;

Sur la proposition de Mme Valérie PEUGEOT, commissaire, et après avoir entendu les observations de M. Damien MILIC, commissaire adjoint du Gouvernement ;

Emet l'avis suivant :

Sur l'objet de la saisine

La Commission a été saisie d'un projet de décret rectifié relatif au système d'information d'identification unique des victimes (SIVIC), qui prévoit de modifier les dispositions de l'article R. 3131-10-2 du code de la santé publique (CSP) et du décret n° 2019-341 du 19 avril 2019 portant sur la mise en œuvre de traitements comportant l'usage du numéro d'inscription au répertoire national d'identification des personnes physiques ou nécessitant la consultation de ce répertoire (décret NIR) afin de permettre l'utilisation du NIR dans le cadre du traitement SIVIC.

Le traitement SIVIC, dont le ministre en charge de la santé est responsable, est prévu par l'article L. 3131-9-1 du CSP et vise, en cas d'évènement constituant une situation sanitaire exceptionnelle ou étant de nature à impliquer de nombreuses victimes, à assurer la gestion de ces évènements et le suivi des victimes. L'article L. 3131-9-1 du CSP renvoie à un décret en Conseil d'Etat, pris après avis de la Commission, le soin de préciser la nature des données recueillies et de fixer les modalités de leur transmission dans le respect des règles garantissant la protection de la vie privée.

Cette saisine rectificative fait suite à la délibération de la Commission n° 2021-081 du 8 juillet 2021 portant sur un premier projet de décret. Dans cet avis, la Commission s'était notamment interrogée sur le fondement juridique et les modalités de traitement du NIR en tant qu'identifiant national de santé (INS).

Les rectifications apportées au projet de décret initial portent sur :

- le fondement juridique et les modalités de traitement du NIR, notamment en tant qu'INS ;

- les modalités d'exercice des droits des personnes concernées.

Sur le fondement juridique et les modalités de traitement du NIR, notamment en tant qu'INS

Le projet de décret prévoit le remplacement de la mention de l'INS par celle du « numéro d'inscription au répertoire national d'identification des personnes physiques, utilisé le cas échéant comme identifiant national de santé ».

Le projet de décret distingue donc désormais le traitement du NIR et le traitement du NIR INS « le cas échéant ». La Commission rappelle que le traitement du NIR est encadré par les dispositions du décret cadre NIR et que le traitement du NIR INS ne pourra être mis en œuvre que dans les hypothèses prévues par les dispositions du CSP.

Ainsi, le projet de décret prévoit que les personnels des ministères de l'intérieur, de la justice et des affaires étrangères et ceux intervenant dans le cadre d'une structure chargée de l'information des familles, pourront accéder à certaines données, « à l'exclusion du numéro d'inscription au répertoire national d'identification des personnes physiques utilisé comme identifiant national de santé ». Le ministère a précisé que ces personnels n'auraient pas accès au NIR mais seraient informés du fait que les traits d'identité ont été validés par le téléservice INSi. La Commission en prend acte et invite le ministère à clarifier le décret afin de mentionner que ces personnels n'auront pas accès au NIR, qu'il soit ou non traité comme INS.

Par ailleurs, le ministère a précisé que, contrairement à ce que prévoit le projet d'article R. 3131-10-2 du CSP, le NIR ne sera pas enregistré dans le traitement SIVIC. A cet égard, le ministère a indiqué que seuls les traits d'identités seront enregistrés afin de permettre l'interrogation du téléservice INSi qui, en retour, validera les traits d'identité et renverra le NIR, ce qui semble cependant en contradiction avec l'affirmation selon laquelle il ne sera pas enregistré dans le traitement. La Commission l'invite dès lors à clarifier le projet, afin qu'il établisse clairement les cas dans lesquels le NIR sera traité en tant que tel dans le cadre de la mise en œuvre du traitement SIVIC, ainsi que les modalités selon lesquelles le traitement de cette donnée interviendra. Le ministère a en outre précisé que cette validation du NIR ne sera demandée qu'en cas d'ouverture d'une enquête judiciaire ou d'une cellule téléphonique pour réponse aux familles. La Commission en prend acte.

Enfin, l'article 2 du projet est modifié afin de compléter les dispositions du décret NIR pour permettre au ministère de traiter le NIR pour assurer la gestion et le suivi des victimes dans le cadre du traitement mentionné à l'article R. 3131-10-1 du CSP. En l'absence de précision, la Commission estime que le ministère chargé de la santé pourra traiter le NIR, mais pas en tant qu'INS.

La Commission renouvelle son inquiétude sur les risques engendrés en matière de vie privée par l'élargissement substantiel du nombre d'organismes et de personnes amenés à traiter le NIR dans ce cadre.

Sur les modalités d'exercice des droits des personnes concernées

La Commission accueille favorablement la modification apportée au projet, permettant aux personnes d'exercer également leurs droits auprès de l'établissement de santé et de la cellule d'urgence médico-psychologique de prise en charge.

La Commission relève que le projet mentionne désormais expressément que le droit d'opposition est écarté en application des dispositions de l'article 23 du RGPD.

Ce projet de décret n'appelle pas d'autres observations de la Commission au regard de la protection des données à caractère personnel.