Délibération n° 2017-47 du 19 avril 2017 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Transmission annuelle par le SPME au Centre Monégasque de Dépistage d'un fichier ciblant une population concernée par le dépistage de l'anévrisme de l'aorte abdominale » du Service des Prestations Médicales de l'État présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 975 du 12 juillet 1975 portant statut des fonctionnaires de l'État, modifiée ;
Vu la loi n° 1.096 du 7 août 1986 portant statut des fonctionnaires de la Commune, modifiée ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 16.605 du 10 janvier 2005 portant organisation des Départements ministériels, modifiée ;
Vu l'Ordonnance Souveraine n° 231 du 3 octobre 2005 portant création d'un Service des Prestations Médicales de l'État ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'Ordonnance Souveraine n° 3.836 du 5 juillet 2012 portant création du Centre Monégasque de Dépistage ;
Vu l'Ordonnance Souveraine n° 5.640 du 14 décembre 2015 portant création d'une Direction de l'Action Sanitaire ;
Vu la circulaire n° 2016-02 du 6 juin 2016 relative à l'information des assurés relevant du Service des Prestations Médicales de l'État sur le respect de la protection des informations nominatives exploitées par ce service ;
Vu la Recommandation R(86) du Conseil de l'Europe du 23 janvier 1986 relative à la protection des données à caractère personnel utilisées à des fins de sécurité sociale ;
Vu la demande d'avis reçue le 31 mars 2017 concernant la mise en œuvre par le Ministre d'État d'un traitement automatisé relatif à la «Transmission annuelle par le SPME au Centre Monégasque de Dépistage d'un fichier ciblant une population concernée par le dépistage de l'anévrisme de l'aorte abdominale » du Service des Prestations Médicales de l'État ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 19 avril 2017 portant analyse dudit traitement automatisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
Le Service des Prestations Médicales de l'État (SPME) est en charge de la gestion des prestations accordées par l'État et par la Commune au titre de l'assurance maladie, maternité, de l'assurance invalidité, des prestations familiales et autres avantages sociaux y afférents.
Placé sous l'autorité du Conseiller de Gouvernement-Ministre des Affaires Sociales et de la Santé, ce Service est amené, dans le cadre des missions, à traiter des informations nominatives.
Ainsi, le traitement automatisé d'informations nominatives objet de la présente délibération est soumis à l'avis préalable de la Commission de Contrôle des Informations Nominatives conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité « Transmission annuelle par le SPME au Centre Monégasque de Dépistage d'un fichier ciblant une population concernée par le dépistage de l'anévrisme de l'aorte abdominale ».
Les personnes concernées par le traitement sont mentionnées comme « les assurés ou ayants droit selon les conditions d'âge ». La Commission observe que le traitement du Centre Monégasque de Dépistage, concomitamment examiné, précise que les données qui lui sont communiquées concernent « les femmes et les hommes âgés de 65 à 80 ans dans l'année concernée dont les droits sont ouverts auprès [des] différentes caisses sociales [de la Principauté], soit en qualité d'assurés directs, soit en qualité d'ayants droit ».
Ce traitement s'inscrit « dans le cadre de la campagne de dépistage organisée sous l'égide du Département des affaires sociales et de la santé ».
Ses fonctionnalités sont les suivantes :
- Recenser la population à dépister, soit les personnes assurées ou ayants droit d'un assuré auprès du SPME entrant dans la catégorie de la population ciblée par la campagne de dépistage ;
- Extraire les informations permettant de contacter les personnes ciblées ;
- Transmettre annuellement au Centre Monégasque de Dépistage les informations ainsi obtenues.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
II. Sur la licéité et la justification du traitement
- Sur la licéité du traitement
La Commission relève qu'aux termes de l'article 2 de l'Ordonnance Souveraine n° 231 du 3 octobre 2005, le SPME est, notamment, chargé « de gérer les prestations accordées par l'État au titre de l'assurance maladie, et maternité, de l'assurance accident du travail, de l'assurance invalidité, des prestations familiales et autres avantages sociaux y afférents », et « d'instruire pour le compte de la Commune les dossiers des prestations accordées par celle-ci au titre de l'assurance maladie, et maternité, de l'assurance invalidité, des prestations familiales et autres avantages sociaux y afférents ».
En conséquence, le SPME traite des informations sur les assurés sociaux immatriculés auprès de ce Service, conformément au traitement ayant pour finalité « Immatriculation au Service des Prestations Médicales de l'État », mis en œuvre conformément à la loi n° 1.165 du 23 décembre 1993.
Le SPME est un acteur de la politique de la santé publique de la Principauté de Monaco menée sous l'autorité du Conseiller de Gouvernement-Ministre des Affaires Sociales et de la Santé.
La Commission observe que l'Ordonnance Souveraine n° 3.836 du 5 juillet 2012 et l'Ordonnance Souveraine n° 5.640 du 14 décembre 2015 confient au Centre Monégasque de Dépistage, « placé sous l'autorité de la Direction de l'Action Sanitaire », des missions générales tendant à l'organisation des actions de dépistage de certaines pathologies.
Le présent traitement s'inscrit dans le cadre des actions souhaitées par le Gouvernement concernant la lutte contre les facteurs de risques de l'anévrisme de l'aorte abdominale, son dépistage et leur prise en charge par les organismes sociaux.
Par ailleurs, le traitement communique une donnée de santé portant sur la date du dernier examen de dépistage remboursé par la Caisse. La communication de ces données à des personnes soumises au secret médical est conforme à l'article 12 de la loi n° 1.165 du 23 décembre 1993.
Aussi, ce traitement est licite au sens des articles 10-1 et 12 de la loi n° 1.165 du 23 décembre 1993.
- Sur la justification du traitement
Le SPME souhaite donc communiquer, chaque année, au Centre Monégasque de Dépistage une liste nominative des hommes et des femmes entrant dans les catégories d'âge visées par la campagne de dépistage. Les informations nominatives communiquées sont limitées aux seules informations utiles permettant de les contacter.
Le responsable de traitement justifie la mise en œuvre de ce traitement par un motif d'intérêt public : l'organisation de cette campagne de dépistage portant sur l'anévrisme de l'aorte abdominale.
La Commission considère que ce traitement est justifié, conformément aux dispositions des articles 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations traitées
Les informations nominatives objets du présent traitement sont :
- Identité du bénéficiaire : civilité, nom de naissance, nom marital, prénom, date de naissance, âge durant l'année du traitement, numéro de matricule et lien familial avec l'ouvreur de droit, qualité d'assuré ou d'ayant droit ;
- Adresse et coordonnées : adresse de l'ouvreur de droit ;
- Donnée de santé : date du dernier examen de dépistage remboursé au cours des trois dernières années.
La Commission précise que le numéro SPME n'a pas vocation à être utilisé comme une donnée d'identification électronique. Il s'agit d'un matricule permettant d'identifier une personne au même titre que son nom ou son prénom, utilisé au sein de l'Administration comme matricule interne et numéro d'assuré social.
Les informations ont pour origine deux traitements automatisés exploités par le SPME, légalement mis en œuvre au sens de la loi n° 1.165 du 23 décembre 1993 :
- le traitement ayant pour finalité « immatriculation au service des prestations médicales de l'État », pour les données relatives à l'identité et à l'adresse de l'ouvreur de droit ;
- le traitement ayant pour finalité « Décomptes - Gestion et remboursement de prestations médicales en nature », s'agissant de la date d'un acte de dépistage de moins de 5 ans.
La Commission relève que, conformément à l'article 10-1 de la loi n° 1.165 du 23 décembre 1993, la présente exploitation est compatible avec les finalités qui ont justifié leur traitement à l'origine.
La Commission considère que les informations collectées dans le présent traitement sont « adéquates, pertinentes et non excessives » au regard de la finalité de celui-ci, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
- Sur l'information des personnes concernées
L'information préalable des personnes concernées est assurée par un affichage dans les locaux du SPME, par une rubrique propre à la protection des données accessible en ligne, par une mention particulière intégrée dans un document d'ordre général, par une circulaire du SPME et par un courrier adressé à l'intéressé.
La Commission précise que cette circulaire devra être mise à jour afin d'intégrer le traitement en objet dans la liste des traitements exploités par le SPME.
- Sur l'exercice du droit d'accès, de modification et de mise à jour
Les personnes concernées peuvent exercer leur droit d'accès, leur droit d'opposition et de rectification auprès du SPME par voie postale, par courrier électronique ou sur place.
S'agissant de l'exercice du droit d'accès par voie électronique, la Commission considère qu'une procédure devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d'un document d'identité était demandée, la transmission et le traitement de ce document devront faire l'objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-116 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d'identité officiels.
La réponse à toute demande est réalisée dans les quinze jours suivants la réception. En cas de demande de modification ou de mise à jour des informations, une réponse sera apportée à l'intéressé selon les mêmes voies.
La Commission considère que les modalités d'exercice des droits d'accès et de rectification sont conformes aux dispositions des articles 13, 15 et 16 la loi n° 1.165 du 23 décembre 1993.
V. Sur les personnes ayant accès au traitement et les destinataires des informations
- Les personnes ayant accès au traitement
Les personnes habilitées à avoir accès aux informations sont :
- les personnels de la cellule Système d'Information et d'Aide à la Décision (SIAD) des Caisses Sociales de Monaco pour la réalisation du fichier à la demande du SPME ;
- les personnels du Pôle Fourniture de Service (PFS) des Caisses Sociales de Monaco pour la dépose dans l'EDI (système d'échange de données informatisées) ;
- les personnels du SPME chargés de vérifier et valider les listes établies : en consultation.
- Le destinataire des informations
Le destinataire des informations est le Centre Monégasque de Dépistage. La Commission observe que ledit Centre est habilité à organiser les campagnes de dépistage en Principauté.
La Commission relève que les accès au présent traitement et les communications d'informations sont dévolus en considération des missions, attributions et fonctions des personnes auxquels ils sont attribués.
VI. Sur les rapprochements et interconnexions avec d'autres traitements
Le responsable de traitement indique que le traitement fait l'objet d'interconnexions avec le traitement automatisé d'informations nominatives ayant pour finalité :
- « Immatriculation au Service des Prestations Médicales de l'État » du Service des Prestations Médicales de l'État ;
- « Décomptes - Gestion et Remboursement des prestations médicales en nature », dénommé « Décompte des prestations médicales en nature », du Service des Prestations Médicales de l'État.
La Commission relève que le traitement fait également l'objet d'interconnexions avec les traitements :
- « Gestion des accès aux systèmes d'information opérés par les Caisses Sociales »,
- « Gestion des techniques automatisées de communication » du Service Informatique de l'État.
La Commission constate que ces traitements ont été légalement mis en œuvre et que les opérations réalisées sont compatibles avec les finalités initiales des traitements dans le respect de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement n'appellent pas d'observation de la Commission.
Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.
La Commission rappelle enfin que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VIII. Sur la durée de conservation
La durée de conservation des données est de 13 mois, soit la durée de sauvegarde entre deux traitements. Cette durée de conservation correspond à la fréquence du traitement plus 1 mois, pour vérification de la cohérence des données dans le temps.
Ainsi, les informations traitées sont mises à jour chaque année avant communication au Centre Monégasque de Dépistage.
La Commission considère que la durée de conservation est conforme aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
Après en avoir délibéré, la Commission :
Précise que la circulaire élaborée afin de répondre aux obligations de l'article 14 de la loi n° 1.165 du 23 décembre 1993 devra être mise à jour afin d'intégrer le traitement en objet dans la liste des traitements exploités par le SPME ;
Rappelle que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.
Considère qu'une procédure relative au droit d'accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations.
Sous réserve de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'Etat, du traitement automatisé d'informations nominatives ayant pour finalité «Transmission annuelle par le SPME au Centre Monégasque de Dépistage d'un fichier ciblant une population concernée par le dépistage de l'anévrisme de l'aorte abdominale » du Service des Prestations Médicales de l'État.
Le Président de la Commission
de Contrôle des Informations
Nominatives.