Délibération n° 2016-185 du 14 décembre 2016 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Transmission annuelle par la CCSS d'un fichier ciblant une population concernée par le dépistage de l'anévrisme de l'aorte abdominale » présenté par la Caisse de Compensation des Services Sociaux (CCSS).
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole
additionnel ;
Vu l'Ordonnance-loi n° 397 du 27 septembre 1944 portant création d'une caisse de compensation des services sociaux de la Principauté de Monaco ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 5.640 du 14 décembre 2015 portant création d'une Direction de l'Action Sanitaire ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'Ordonnance Souveraine n° 3.836 du 5 juillet 2012 portant création du Centre Monégasque de Dépistage ;
Vu l'arrêté ministériel n° 2010-638 du 23 décembre 2010 portant application de l'article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu la Recommandation R(86) du Conseil de l'Europe du 23 janvier 1986 relative à la protection des données à caractère personnel utilisées à des fins de Sécurité Sociale ;
Vu le traitement automatisé d'informations nominatives ayant pour finalité « Gestion de l'immatriculation des salariés », des Caisses Sociales de Monaco, objet d'un récépissé de mise en œuvre le 23 octobre 2003 ;
Vu le traitement automatisé d'informations nominatives ayant pour finalité « Gestion des prestations médicales » des Caisses Sociales de Monaco, objet d'un récépissé de mise en œuvre le 13 novembre 2007 ;
Vu le traitement automatisé d'informations nominatives ayant pour finalité « Gestion des accès aux systèmes d'information opérés par les Caisses Sociales », mis en œuvre après avis favorable de la Commission de Contrôle des Informations Nominatives par délibération n° 2013‑144 du 16 décembre 2013 ;
Vu la demande d'avis, reçue le 20 septembre 2016, concernant la mise en œuvre par la Caisse de Compensation des Services Sociaux d'un traitement automatisé relatif à la « Transmission annuelle par la CCSS d'un fichier ciblant une population concernée par le dépistage de l'anévrisme de l'aorte abdominale » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 18 novembre 2016, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 14 décembre 2016 portant analyse dudit traitement automatisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
La Caisse de Compensation des Services Sociaux (CCSS), responsable de traitement, est un organisme de droit privé investi d'une mission d'intérêt général au sens de l'arrêté ministériel n° 2010-638 du 23 décembre 2010.
Ainsi, le traitement d'informations nominatives objet de la présente délibération est soumis à l'avis de la Commission conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité la « Transmission annuelle par la CCSS d'un fichier ciblant une population concernée par le dépistage de l'anévrisme de l'aorte abdominale ».
Les catégories de personnes concernées sont les « assurés ou ayants droit selon des conditions d'âge ». Le traitement concerne environ 3.500 personnes. Il s'agit, selon la demande d'avis des « hommes et femmes âgés de 65 à 80 ans dans l'année concernée résidant à Monaco, dont les droits sont ouverts auprès de l'Organisme, soit en qualité d'assuré direct, soit en qualité d'ayant droit et n'ayant pas réalisé d'examen de dépistage [soit une échographie abdominale] remboursé par l'Organisme depuis 5 ans ».
Ce traitement s'inscrit « dans le cadre de la campagne de dépistage de l'anévrisme de l'aorte abdominale organisée sous l'égide des Autorités sanitaires de la Principauté ».
Ses fonctionnalités sont les suivantes :
- extraire des fichiers de la CCSS les informations permettant de contacter les personnes ciblées par la campagne de dépistage ;
- fournir, chaque année, au Centre Monégasque Dépistage, la liste des personnes répondant aux critères de la campagne de dépistage envisagée, relevant de la Caisse.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
II. Sur la licéité et la justification du traitement
- Sur la licéité du traitement
La Commission relève que la CCSS a été instituée par l'Ordonnance-loi n° 397 du 27 septembre 1944, pour assurer le service des allocations, prestations et pensions visées à l'article 1er de ladite ordonnance-loi.
À ce titre, elle observe que conformément à l'article 3 dudit texte, « tous les employeurs occupant habituellement des ouvriers ou des employés de quelque âge que ce soit, de l'un ou l'autre sexe, dans une profession industrielle, commerciale, financière, libérale, ou comme gens de maison, sont tenus de s'affilier à la Caisse de Compensation des Services Sociaux ».
Par ailleurs, aux termes de l'article 5 alinéa 1 de l'Ordonnance-loi précitée « les allocations, prestations et retraites sont dues aux
salariés, à leurs conjoints ou à leurs enfants selon les modalités qui seront fixées par ordonnance souveraine ».
En conséquence, dans le cadre des missions qui lui sont légalement et réglementairement conférées, la CCSS traite des informations nominatives sur les salariés de la Principauté, et sur les ayants droit conjoints de salariés immatriculés auprès d'elle.
La CCSS est un acteur de la politique de la santé publique de la Principauté de Monaco menée sous l'autorité du Conseiller de Gouvernement-Ministre des Affaires Sociales et de la Santé.
La Commission observe que l'Ordonnance Souveraine n° 3.836 du 5 juillet 2012 et l'Ordonnance Souveraine n° 5.640 du 14 décembre 2015 confient au Centre Monégasque de Dépistage, « placé sous l'autorité de la Direction de l'Action Sanitaire », des missions générales tendant à l'organisation des actions de dépistage de certaines pathologies.
Le présent traitement s'inscrit dans le cadre de la politique des actions organisées par le Gouvernement concernant la lutte contre les facteurs de risques de l'anévrisme de l'aorte abdominale, son dépistage, et leur prise en charge par les organismes sociaux.
Par ailleurs, le traitement communique une donnée de santé portant sur la date du dernier examen de dépistage remboursé par la Caisse. La communication de ces données à des personnes soumises au secret médical est conforme à l'article 12 de la loi n° 1.165 du 23 décembre 1993.
Aussi, ce traitement est licite au sens des articles 10-1 et 12 de la loi n° 1.165 du 23 décembre 1993.
- Sur la justification du traitement
La CCSS souhaite communiquer, chaque année, au Centre Monégasque de Dépistage une liste nominative des hommes et des femmes entrant dans les catégories d'âge visées par la campagne de dépistage concernée. Les informations nominatives communiquées sont limitées aux seules informations utiles permettant de les contacter.
La CCSS justifie la mise en œuvre de ce traitement par un motif d'intérêt public « relatif à une action dans le domaine de la santé, menée par le Centre Monégasque de Dépistage ». Ainsi, l'objectif du traitement est de permettre audit Centre, « responsable de cette campagne, de disposer d'une sélection fiable et actualisée de la population ciblée par cette action ».
La Commission considère que ce traitement est justifié, conformément aux dispositions des articles 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations traitées
Les informations nominatives objets du présent traitement sont :
- identité du bénéficiaire (ouvreur de droit ou ayant droit) : civilité, nom, nom de jeune fille, prénom, date de naissance, âge durant l'année du traitement, numéro d'immatriculation et lien familial avec l'ouvreur de droit, identifiant organisme, qualité d'assurée ou d'ayant droit ;
- identité de l'ouvreur de droit : nom, prénom (si différent du bénéficiaire) ;
- adresse et coordonnées : adresse de l'ouvreur de droit ;
- donnée de santé : date du dernier examen de dépistage remboursé par la Caisse.
Les informations ont pour origine deux traitements déclarés par les Caisses Sociales de Monaco :
- le traitement ayant pour finalité « gestion des prestations médicales », mis en œuvre le 13 novembre 2007 ;
- le traitement ayant pour finalité « gestion de l'immatriculation des salariés », mis en œuvre le 23 octobre 2003.
La Commission relève que, conformément à l'article 10-1 de la loi n° 1.165 du 23 décembre 1993, la présente exploitation des informations nominatives effectuée par les Caisses Sociales de Monaco est compatible avec les finalités qui ont justifié leur traitement à l'origine.
La Commission considère que les informations collectées dans le présent traitement sont « adéquates, pertinentes et non excessives » au regard de la finalité de celui-ci, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
- Sur l'information des personnes concernées
L'information préalable des personnes concernées est assurée par une rubrique propre à la protection des données accessible en ligne et une mention particulière intégrée dans un document d'ordre général accessible en ligne.
Ces différents documents comportent les dispositions des articles 13 et 14 de la loi n° 1.165 du 23 décembre 1993 et citent les différents traitements mis en œuvre par la CCSS.
La Commission considère donc que les modalités d'information préalable des personnes sont conformes aux dispositions dudit article 14.
- Sur l'exercice du droit d'accès, de modification et de mise à jour :
Aux termes de l'article 13 de la loi n° 1.165 du 23 décembre 1993, s'agissant d'un traitement mis en œuvre par un organisme de droit privé investi d'une mission d'intérêt général, les personnes concernées par le présent traitement ne disposent pas du droit de s'opposer au traitement de leurs informations.
Elles peuvent toutefois exercer leur droit d'accès et de rectification auprès de la CCSS : du « correspondant CCIN » ou des personnes chargées de l'accueil des assurés sociaux.
Selon le cas, la personne concernée peut exercer ses droits par un accès à son dossier en ligne, par courrier électronique, par voie postale ou sur place.
La réponse à toute demande est réalisée dans les quinze jours suivant la réception. En cas de demande de modification ou de mise à jour des informations, une réponse sera apportée à l'intéressé(e) par courrier électronique, par voie postale ou sur place.
La Commission considère que les modalités d'exercice des droits d'accès et de rectification sont conformes aux dispositions de la loi n° 1.165 du 23 décembre 1993.
V. Sur les destinataires et les personnes ayant accès au traitement
- les personnes ayant accès au traitement
Les personnes habilitées à avoir accès aux informations sont :
- les personnels de la cellule Système d'Information et d'Aide à la Décision (SIAD) des Caisses Sociales de Monaco pour la réalisation du fichier : accès en consultation pour extraction ;
- les personnels du Pole Fourniture de Service (PFS) des Caisses Sociales de Monaco pour la dépose dans l'EDI (système d'Échange de Données Informatisées) ;
- le prestataire technique dans le cadre de sa mission, lié par des clauses contractuelles de confidentialité.
En ce qui concerne le prestataire, la Commission rappelle que conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993, les droits d'accès doivent être limités à ce qui est strictement nécessaire à l'exécution de son contrat de prestation de service. De plus, ledit prestataire est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
- Le destinataire des informations
Le destinataire des informations est le Centre Monégasque de Dépistage. La Commission observe que ledit Centre est habilité à organiser les campagnes de dépistage en Principauté.
La Commission relève que les accès au présent traitement et les communications d'informations sont dévolus en considération des missions et des fonctions des personnes auxquelles ils sont attribués, conformément aux articles 8 et 17 de la loi n° 1.165 du 23 décembre 1993.
Elle considère, toutefois, que les transmissions ne pourront être réalisées que lorsque le Centre de Dépistage de Monaco aura légalement mis en œuvre le traitement qu'il effectuera avec les informations en objet à des fins de dépistage de l'anévrisme de l'aorte abdominale.
VI. Sur les rapprochements et interconnexions avec d'autres traitements
La Commission observe que ce traitement est le fruit d'une extraction de données des traitements suivants :
- « Gestion des prestations médicales », susvisé ;
- « Gestion de l'immatriculation des salariés », susvisé.
Par ailleurs, la Commission relève que le présent traitement nécessite une opération réalisée par messagerie électronique telle qu'exposée dans le traitement ayant pour finalité « Gestion des accès aux systèmes d'information opérés par les Caisses Sociales ».
La Commission relève que ces mises en relation sont conformes au principe de compatibilité de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement n'appellent pas d'observation de la Commission.
Elle relève néanmoins que l'architecture de vidéosurveillance repose sur des équipements de raccordement (switchs, routeurs, pare‑feux) de serveurs et périphériques qui doivent être protégés par un login et un mot de passe réputé fort et que les ports non utilisés doivent être désactivés.
Elle rappelle de plus que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et
organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de la période d'exploitation du présent traitement.
VIII. Sur la durée de conservation
La durée de conservation des données est de treize mois, soit la durée de sauvegarde entre deux traitements. Cette durée de conservation « correspond à la fréquence du traitement + 1 mois, pour vérification de la cohérence des données ».
Ainsi, les informations traitées sont mises à jour, chaque année, avant communication au Centre Monégasque de Dépistage.
La Commission considère que la durée de conservation est conforme aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
Après en avoir délibéré, la Commission :
Rappelle que les équipements de raccordement (switchs, routeurs, pare-feux) de serveurs et périphériques doivent être protégés par un login et un mot de passe réputé fort et les ports non utilisés doivent être désactivés.
Considère que les transmissions ne pourront être réalisées que lorsque le Centre de Dépistage de Monaco aura légalement mis en œuvre le traitement qu'il effectuera avec les informations en objet à des fins de dépistage de l'anévrisme de l'aorte abdominale.
Sous le bénéfice de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par la Caisse de Compensation des Services Sociaux (CCSS), du traitement automatisé d'informations nominatives ayant pour finalité « Transmission annuelle par la CCSS d'un fichier ciblant une population concernée par le dépistage de l'anévrisme de l'aorte abdominale ».
Le Président de la Commission
de Contrôle des Informations Nominatives.