Délibération n° 2010-47 du 6 décembre 2010 portant avis favorable sur la demande présentée par le Centre Hospitalier Princesse Grace (CHPG) relative au traitement automatisé d’informations nominatives ayant pour finalité «Gestion des identités et des coordonnées des personnes en relation avec le CHPG»
Vu la Constitution ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu la loi n° 127 du 15 janvier 1930 constituant l’hôpital en établissement public autonome ;
Vu la loi n° 918 du 27 décembre 1971 sur les établissements publics ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’ordonnance souveraine n° 5.095 du 14 février 1973 sur l’organisation et le fonctionnement du Centre Hospitalier Princesse Grace ;
Vu l’arrêté ministériel n° 86-620 du 10 novembre 1986 portant établissement du règlement intérieur du Centre Hospitalier Princesse Grace ;
Vu la demande d’avis déposée par le Centre Hospitalier Princesse Grace, reçue le 10 novembre 2010, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité «Gestion des identités et des coordonnées» ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 6 décembre 2010 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
Le responsable de traitement, à savoir le Centre Hospitalier Princesse Grace (CHPG), est un établissement public autonome en vertu de la loi n° 127 du 15 janvier 1930. Ainsi, le traitement d’informations nominatives objet de la présente délibération est soumis à l’avis de la Commission conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives.
I - Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité «Gestion des identités et des coordonnées».
Les personnes concernées regroupent l’ensemble du personnel du CHPG, les patients, les professionnels, ainsi que toute personne en relation avec le CHPG.
Ce traitement a pour fonctionnalités :
- le recensement des personnes qui ont été à un moment donné en contact avec l’établissement, ou des patients pris en charge par le CHPG ;
- la maintenance des identités et des informations individuelles nécessaires au fonctionnement du système.
Dans le cadre de ces fonctionnalités, elle prend également acte des indications du CHPG selon lesquelles «la mise en œuvre de [ce traitement] présente un système complet de gestion des identités et des accès dont les principales fonctionnalités sont :
- la création d’un référentiel des utilisateurs et des profils,
- l’intégration des autres annuaires techniques pour l’alimentation, la réconciliation et la synchronisation des mots de passe,
- l’automatisation du cycle de vie de toutes les populations d’utilisateurs (processus d’arrivée, départ, mutation, etc.),
- les services de pages blanches et jaunes avec ou sans photo, l’administration déléguée à destination des utilisateurs finaux au travers d’interfaces web […]».
Le CHPG déclare enfin que ce traitement vise à «tenir un annuaire du personnel, des professionnels, des patients et des personnes en relation avec le [CHPG] en vue de retrouver l’identité et les coordonnées dans le cadre du fonctionnement de l’établissement ou de litiges éventuels ultérieurs».
En conséquence, la Commission estime opportun de retenir à titre de finalité la formulation plus complète de «Gestion des identités et des coordonnées des personnes en relation avec le CHPG», afin de préciser ladite finalité en considération de ces déclarations.
II - Sur la licéité et la justification du traitement
La Commission observe que le CHPG est un établissement public en charge d’une «mission spécialisée d’intérêt général» au sens de la loi n° 918 du 27 décembre 1971 sur les établissements publics.
Elle relève également que l’ordonnance souveraine n° 5.095 du 14 février 1973 établit le cadre juridique propre à son organisation et son fonctionnement. En particulier, l’article 4 confère à son Directeur la gestion administrative de l’établissement. Par ailleurs, l’arrêté ministériel n° 86-620 du 10 novembre 1986 édicte le règlement intérieur du CHPG.
En conséquence, la Commission constate que l’existence et les missions du CHPG disposent d’un fondement juridique propre. La mise en œuvre d’un traitement permettant la gestion des identités et coordonnées du personnel, des patients, professionnels et autres individus en relation avec le CHPG, entre dans le cadre des attributions du Directeur du CHPG au titre de la gestion administrative de l’établissement.
Par ailleurs, la Commission constate que la gestion efficace de l’identité et des coordonnées de l’ensemble des personnes qui interagissent avec le CHPG participe au bon fonctionnement et donc l’accomplissement de la mission d’intérêt général du CHPG.
Ainsi, la Commission considère que le traitement ayant pour finalité «Gestion des identités et des coordonnées» est licite, et justifié par un motif d’intérêt public, conformément aux articles 10-1 et 10-2 de la loi n° 1.165, modifiée.
III - Sur les informations traitées
Les informations nominatives objets du présent traitement sont :
- identité : nom, prénom ;
- adresses et coordonnées : adresse du lieu d’exercice, téléphones, fax ;
- formation / diplômes / vie professionnelle : titre : Professeur/ Docteur, spécialité exercée, date d’arrivée, date de sortie ;
- données d’identification électronique : adresse de messagerie, certificat, mots de passe, identifiant CHPG, identifiant ASIP, identifiant national de santé ;
- métiers ou fonctions : métiers ou fonctions exercés par la personne, code service principal et secondaire, équipe médicale.
Ces informations ont pour origine les personnes concernées elles-mêmes, ainsi que les répertoires ASIP (RPPS) et européen. En ce qui concerne les informations relatives aux métiers ou fonctions, elles ont pour origine la Direction des Ressources Humaines, la Direction des Affaires Médicales ou l’administrateur sécurité.
La Commission estime que ces informations sont «adéquates, pertinentes et non excessives» au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
IV - Sur les interconnections de ce traitement
Le CHPG précise que ce traitement est interconnecté avec les traitements suivants :
- le fichier Gestion des ressources humaines,
- le fichier Gestion des fournisseurs,
- le dossier soins,
- l’agenda patient,
- le dossier administratif patient,
- le dossier médical,
- les communications unifiées.
La Commission constate, par ailleurs, qu’il appert de l’analyse du traitement ayant pour finalité «Gestion des droits d’accès du personnel, des patients et des personnes en relation avec le CHPG», concomitamment soumis à son avis, que ces deux traitements sont également interconnectés.
Elle prend acte que le traitement objet de la présente délibération est en lien avec les traitements automatisés d’informations nominatives ci-dessus énumérés. Elle relève sur ce point que le seul traitement légalement mis en œuvre au sens de la loi n° 1.165, modifiée, est le traitement ayant pour finalité «Gestion des dossiers administratifs patients».
En conséquence, elle conditionne la mise en œuvre des interconnexions susvisées à la régularisation par le CHPG des traitements non encore soumis à son avis, ces interconnexions constituant des traitements automatisés d’informations nominatives, conformément à l’article 1er alinéa 3 de la loi n° 1.165, modifiée.
V - Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement n’appellent pas d’observation.
La Commission rappelle néanmoins que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VI - Sur la durée de conservation
La Commission relève que les informations nominatives collectées sont conservées pour une durée qui varie en fonction des personnes concernées.
Elle observe en particulier que le CHPG a choisi d’aligner ces durées de conservation sur les délais légaux de prescription en cas de litiges.
Ainsi, la durée de conservation des informations nominatives relatives aux fournisseurs du CHPG est de dix années à compter du dernier contact avec le CHPG, conformément aux dispositions de l’article 152 bis du Code de commerce.
En ce qui concerne le personnel non médical, la durée de conservation est de cinq années à compter du dernier contact avec le CHPG, en application du délai de l’article 2092 bis du Code civil relatif au délai légal de prescription en matière de litiges sur les traitements et salaires.
Enfin, pour le personnel médical ainsi que les patients, en cas de litige de nature médical, et en l’absence de texte spécial sur ce point à Monaco, le régime de droit commun en matière de responsabilité civile est applicable, à savoir trente ans, conformément aux dispositions de l’article 2082 du Code civil. Cette durée court à compter du dernier contact avec le CHPG.
Au vu de ces éléments, la Commission considère que les durées de conservation sont conformes aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
VII - Sur les droits des personnes concernées
La Commission relève que l’information des personnes est effectuée au moyen d’une charte de bon usage du système d’information, remise et signée par l’ensemble des utilisateurs dudit système.
Elle constate néanmoins que la mention d’information issue de ladite charte est incomplète au regard des exigences de l’article 14 de la loi n° 1.165, modifiée.
Elle rappelle en outre que toutes les catégories de personnes concernées (personnel, professionnels et fournisseurs, patients) doivent obligatoirement bénéficier d’une information préalable concernant la collecte de leurs informations nominatives, ainsi que leurs droits. En conséquence, il conviendra de s’assurer que les personnes qui ne sont pas utilisatrices du système d’information soient informées par d’autres modes d’information, conformément à la loi n° 1.165, modifiée.
En ce qui concerne les patients, la Commission prend note des déclarations du CHPG selon lesquelles l’information est faite dans le cadre du livret d’accueil, qui va être réédité aux fins d’ajouter la mention d’information préalable. La Commission rappelle que cette mention devra être conforme aux exigences de l’article 14 précité. Sur ce point, elle demande à ce que lui soit communiquée la mention telle qu’elle sera insérée dans le livret d’accueil.
Par ailleurs, la Commission constate que le droit d’accès est exercé par voie postale, courrier électronique ou sur place en se rendant dans les locaux du CHPG. Le délai de réponse est de 30 jours. Les droits de modification et de mise à jour des données sont exercés selon les mêmes modalités.
La Commission constate ainsi que les modalités d’exercice des droits des personnes concernées sont à cet égard conformes aux dispositions de la loi n° 1.165, modifiée.
La Commission demande toutefois à ce que l’information préalable des personnes concernées par le traitement soit assurée suivant les termes susmentionnés.
Après en avoir délibéré :
Rappelle que les traitements automatisés d’informations nominatives interconnectés avec le présent traitement soient dument soumis à son avis afin de régulariser lesdites interconnexions.
Demande que :
- la mention d’information préalable inscrite au sein de la charte de bon usage du système d’information soit complétée conformément aux exigences de l’article 14 de la loi n° 1.165, modifiée ;
- pour les personnes concernées qui n’auront pas signé ladite charte, d’autres modes d’information soient prévus, tels que la remise d’une note d’information ;
- la mention d’information telle qu’elle sera insérée dans le livret d’accueil lui soit dûment communiquée.
A la condition de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par le Centre Hospitalier Princesse Grace du traitement automatisé d’informations nominatives ayant pour finalité «Gestion des identités et des coordonnées des personnes en relation avec le CHPG».
Le Président de la Commission
de Contrôle des Informations Nominatives.
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu la loi n° 127 du 15 janvier 1930 constituant l’hôpital en établissement public autonome ;
Vu la loi n° 918 du 27 décembre 1971 sur les établissements publics ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’ordonnance souveraine n° 5.095 du 14 février 1973 sur l’organisation et le fonctionnement du Centre Hospitalier Princesse Grace ;
Vu l’arrêté ministériel n° 86-620 du 10 novembre 1986 portant établissement du règlement intérieur du Centre Hospitalier Princesse Grace ;
Vu la demande d’avis déposée par le Centre Hospitalier Princesse Grace, reçue le 10 novembre 2010, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité «Gestion des identités et des coordonnées» ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 6 décembre 2010 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
Le responsable de traitement, à savoir le Centre Hospitalier Princesse Grace (CHPG), est un établissement public autonome en vertu de la loi n° 127 du 15 janvier 1930. Ainsi, le traitement d’informations nominatives objet de la présente délibération est soumis à l’avis de la Commission conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives.
I - Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité «Gestion des identités et des coordonnées».
Les personnes concernées regroupent l’ensemble du personnel du CHPG, les patients, les professionnels, ainsi que toute personne en relation avec le CHPG.
Ce traitement a pour fonctionnalités :
- le recensement des personnes qui ont été à un moment donné en contact avec l’établissement, ou des patients pris en charge par le CHPG ;
- la maintenance des identités et des informations individuelles nécessaires au fonctionnement du système.
Dans le cadre de ces fonctionnalités, elle prend également acte des indications du CHPG selon lesquelles «la mise en œuvre de [ce traitement] présente un système complet de gestion des identités et des accès dont les principales fonctionnalités sont :
- la création d’un référentiel des utilisateurs et des profils,
- l’intégration des autres annuaires techniques pour l’alimentation, la réconciliation et la synchronisation des mots de passe,
- l’automatisation du cycle de vie de toutes les populations d’utilisateurs (processus d’arrivée, départ, mutation, etc.),
- les services de pages blanches et jaunes avec ou sans photo, l’administration déléguée à destination des utilisateurs finaux au travers d’interfaces web […]».
Le CHPG déclare enfin que ce traitement vise à «tenir un annuaire du personnel, des professionnels, des patients et des personnes en relation avec le [CHPG] en vue de retrouver l’identité et les coordonnées dans le cadre du fonctionnement de l’établissement ou de litiges éventuels ultérieurs».
En conséquence, la Commission estime opportun de retenir à titre de finalité la formulation plus complète de «Gestion des identités et des coordonnées des personnes en relation avec le CHPG», afin de préciser ladite finalité en considération de ces déclarations.
II - Sur la licéité et la justification du traitement
La Commission observe que le CHPG est un établissement public en charge d’une «mission spécialisée d’intérêt général» au sens de la loi n° 918 du 27 décembre 1971 sur les établissements publics.
Elle relève également que l’ordonnance souveraine n° 5.095 du 14 février 1973 établit le cadre juridique propre à son organisation et son fonctionnement. En particulier, l’article 4 confère à son Directeur la gestion administrative de l’établissement. Par ailleurs, l’arrêté ministériel n° 86-620 du 10 novembre 1986 édicte le règlement intérieur du CHPG.
En conséquence, la Commission constate que l’existence et les missions du CHPG disposent d’un fondement juridique propre. La mise en œuvre d’un traitement permettant la gestion des identités et coordonnées du personnel, des patients, professionnels et autres individus en relation avec le CHPG, entre dans le cadre des attributions du Directeur du CHPG au titre de la gestion administrative de l’établissement.
Par ailleurs, la Commission constate que la gestion efficace de l’identité et des coordonnées de l’ensemble des personnes qui interagissent avec le CHPG participe au bon fonctionnement et donc l’accomplissement de la mission d’intérêt général du CHPG.
Ainsi, la Commission considère que le traitement ayant pour finalité «Gestion des identités et des coordonnées» est licite, et justifié par un motif d’intérêt public, conformément aux articles 10-1 et 10-2 de la loi n° 1.165, modifiée.
III - Sur les informations traitées
Les informations nominatives objets du présent traitement sont :
- identité : nom, prénom ;
- adresses et coordonnées : adresse du lieu d’exercice, téléphones, fax ;
- formation / diplômes / vie professionnelle : titre : Professeur/ Docteur, spécialité exercée, date d’arrivée, date de sortie ;
- données d’identification électronique : adresse de messagerie, certificat, mots de passe, identifiant CHPG, identifiant ASIP, identifiant national de santé ;
- métiers ou fonctions : métiers ou fonctions exercés par la personne, code service principal et secondaire, équipe médicale.
Ces informations ont pour origine les personnes concernées elles-mêmes, ainsi que les répertoires ASIP (RPPS) et européen. En ce qui concerne les informations relatives aux métiers ou fonctions, elles ont pour origine la Direction des Ressources Humaines, la Direction des Affaires Médicales ou l’administrateur sécurité.
La Commission estime que ces informations sont «adéquates, pertinentes et non excessives» au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
IV - Sur les interconnections de ce traitement
Le CHPG précise que ce traitement est interconnecté avec les traitements suivants :
- le fichier Gestion des ressources humaines,
- le fichier Gestion des fournisseurs,
- le dossier soins,
- l’agenda patient,
- le dossier administratif patient,
- le dossier médical,
- les communications unifiées.
La Commission constate, par ailleurs, qu’il appert de l’analyse du traitement ayant pour finalité «Gestion des droits d’accès du personnel, des patients et des personnes en relation avec le CHPG», concomitamment soumis à son avis, que ces deux traitements sont également interconnectés.
Elle prend acte que le traitement objet de la présente délibération est en lien avec les traitements automatisés d’informations nominatives ci-dessus énumérés. Elle relève sur ce point que le seul traitement légalement mis en œuvre au sens de la loi n° 1.165, modifiée, est le traitement ayant pour finalité «Gestion des dossiers administratifs patients».
En conséquence, elle conditionne la mise en œuvre des interconnexions susvisées à la régularisation par le CHPG des traitements non encore soumis à son avis, ces interconnexions constituant des traitements automatisés d’informations nominatives, conformément à l’article 1er alinéa 3 de la loi n° 1.165, modifiée.
V - Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement n’appellent pas d’observation.
La Commission rappelle néanmoins que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VI - Sur la durée de conservation
La Commission relève que les informations nominatives collectées sont conservées pour une durée qui varie en fonction des personnes concernées.
Elle observe en particulier que le CHPG a choisi d’aligner ces durées de conservation sur les délais légaux de prescription en cas de litiges.
Ainsi, la durée de conservation des informations nominatives relatives aux fournisseurs du CHPG est de dix années à compter du dernier contact avec le CHPG, conformément aux dispositions de l’article 152 bis du Code de commerce.
En ce qui concerne le personnel non médical, la durée de conservation est de cinq années à compter du dernier contact avec le CHPG, en application du délai de l’article 2092 bis du Code civil relatif au délai légal de prescription en matière de litiges sur les traitements et salaires.
Enfin, pour le personnel médical ainsi que les patients, en cas de litige de nature médical, et en l’absence de texte spécial sur ce point à Monaco, le régime de droit commun en matière de responsabilité civile est applicable, à savoir trente ans, conformément aux dispositions de l’article 2082 du Code civil. Cette durée court à compter du dernier contact avec le CHPG.
Au vu de ces éléments, la Commission considère que les durées de conservation sont conformes aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
VII - Sur les droits des personnes concernées
La Commission relève que l’information des personnes est effectuée au moyen d’une charte de bon usage du système d’information, remise et signée par l’ensemble des utilisateurs dudit système.
Elle constate néanmoins que la mention d’information issue de ladite charte est incomplète au regard des exigences de l’article 14 de la loi n° 1.165, modifiée.
Elle rappelle en outre que toutes les catégories de personnes concernées (personnel, professionnels et fournisseurs, patients) doivent obligatoirement bénéficier d’une information préalable concernant la collecte de leurs informations nominatives, ainsi que leurs droits. En conséquence, il conviendra de s’assurer que les personnes qui ne sont pas utilisatrices du système d’information soient informées par d’autres modes d’information, conformément à la loi n° 1.165, modifiée.
En ce qui concerne les patients, la Commission prend note des déclarations du CHPG selon lesquelles l’information est faite dans le cadre du livret d’accueil, qui va être réédité aux fins d’ajouter la mention d’information préalable. La Commission rappelle que cette mention devra être conforme aux exigences de l’article 14 précité. Sur ce point, elle demande à ce que lui soit communiquée la mention telle qu’elle sera insérée dans le livret d’accueil.
Par ailleurs, la Commission constate que le droit d’accès est exercé par voie postale, courrier électronique ou sur place en se rendant dans les locaux du CHPG. Le délai de réponse est de 30 jours. Les droits de modification et de mise à jour des données sont exercés selon les mêmes modalités.
La Commission constate ainsi que les modalités d’exercice des droits des personnes concernées sont à cet égard conformes aux dispositions de la loi n° 1.165, modifiée.
La Commission demande toutefois à ce que l’information préalable des personnes concernées par le traitement soit assurée suivant les termes susmentionnés.
Après en avoir délibéré :
Rappelle que les traitements automatisés d’informations nominatives interconnectés avec le présent traitement soient dument soumis à son avis afin de régulariser lesdites interconnexions.
Demande que :
- la mention d’information préalable inscrite au sein de la charte de bon usage du système d’information soit complétée conformément aux exigences de l’article 14 de la loi n° 1.165, modifiée ;
- pour les personnes concernées qui n’auront pas signé ladite charte, d’autres modes d’information soient prévus, tels que la remise d’une note d’information ;
- la mention d’information telle qu’elle sera insérée dans le livret d’accueil lui soit dûment communiquée.
A la condition de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par le Centre Hospitalier Princesse Grace du traitement automatisé d’informations nominatives ayant pour finalité «Gestion des identités et des coordonnées des personnes en relation avec le CHPG».
Le Président de la Commission
de Contrôle des Informations Nominatives.