SOINS PSYCHIATRIQUES SANS CONSENTEMENT : précisions sur la mise en relation d’hopsyweb et du fsprt
Article rédigé par Alice Agard
Décret n° 2022-714 du 27 avril 2022 modifiant le décret n° 2018-383 du 23 mai 2018 autorisant les traitements de données à caractère personnel relatifs au suivi des personnes en soins psychiatriques sans consentement
Un décret paru au journal officiel ce 28 avril, précise la mise en relation entre le fichier relatif au suivi des personnes en soins psychiatrique sans consentement et le fichier des signalements pour la prévention de la radicalisation à caractère terroriste. Dans un avis publié le même jour, la Commission nationale de l’informatique et des libertés (Cnil), avait pu toutefois exprimer un nombre important de réserves sur le projet du décret avant sa publication.
Le décret a été pris en application de l’article L.3211-12-7 du code de la santé publique. Voté dans le cadre de la loi du 30 juillet 2021 relative à la prévention d’actes de terrorisme et au renseignement, cet article permet sous certaines conditions aux préfets et aux représentants des services de renseignement de se voir communiquer les données relevant du logiciel Hopsyweb (données d’identification de cette personne et relatives à sa situation administrative des personnes hospitalisées en soins psychiatriques sans consentement) afin « d’assurer le suivi d’une personne qui représente une menace grave pour la sécurité et l’ordre publics en raison de sa radicalisation à caractère terroriste ».
La possibilité de mettre en relation les données issues d’Hopsyweb et du FSPRT (Fichier des signalements pour la prévention et la radicalisation à caractère terroriste) avait été antérieurement été permis par un décret du 6 mai 2019, fortement contesté mais validé par le Conseil d’Etat.
Le nouveau décret du 28 avril 2022 précise les finalités des traitements Hopsyweb , les catégories de données traitées, les accédants et les destinataires de certaines des données qui y sont enregistrées.
En cas de correspondance des données comparées entre les données issues d’Hopsyweb et celles du FSPRT, le préfet dans le département où la personne fait ou a fait l’objet de soins psychiatriques sans consentement et le cas échéant les agents placés sous son autorité qu’il désigne à cette fin, en sont informés par la réception d’un courriel via les réseaux sécurisés du ministère. S’ensuit alors une « procédure de levée de doute » en lien avec un ou plusieurs agents de l’ARS.
Cette procédure consiste en « un ensemble de vérifications de ladite correspondance, visant à s’assurer, dans un délai raisonnable, que la personne concernée est celle connue du traitement de données à caractère personnel dénommé FSPRT ».
En l’absence de levée de doute, l’existence d’une correspondance ne peut pas conduire à l’enregistrement de cette information dans un autre traitement que celui prévu dans le cadre de la mise en relation des données d’identification entre les bases Hopsyweb et FSPRT.
Après la levée de doute, les agents habilités de l’ARS communiquent aux préfets concernés et par leur intermédiaire, au « représentant de l’Etat chargé du suivi de la personne concernée au titre de la menace grave qu’elle représente pour la sécurité et l’ordre publics en raison de sa radicalisation à caractère terroriste » plusieurs éléments :
– les données d’identification
– les informations relatives à la nature et aux dates de la décision d’admission « et, le cas échéant, aux dates des différents arrêtés pris par le représentant de l’Etat dans le département, à la forme de la prise en charge, à la fin de la mesure de soins psychiatriques sans consentement ou à sa levée ». L’adresse de l’établissement de santé d’accueil est également communiquée.
Ces informations sont également communiquées aux agents de plusieurs services de renseignement listés par le décret.
Ayant déjà pu émettre des réserves sur la mise en relation entre les traitements Hopsyweb et le FSPRT, la CNIL a rappelé à titre liminaire dans son avis ses observations précédentes, notamment l’insuffisance de l’encadrement des modalités d’échange d’informations entre les préfets et les ARS, et l’absence d’information spécifique des personnes et relatives à l’effacement des données. Si elle avait émis une réserve quant à la possibilité de déroger sans disposition législative expresse au secret médical, elle a cette fois relevé que la loi du 30 juillet 2021 a permis de conférer une assise législative à la transmission de ces données.
La CNIL a pu réitérer certaines de ses observations « s’agissant plus particulièrement des modalités de transmission des informations suite à une concordance au sein des traitements » et appeler notamment à une vigilance toute particulière « concernant la sécurisation des procédures de levée de doute et de recueil d’informations complémentaires ».
Par ailleurs, s’agissant de la possibilité prévue par le décret d’une recherche plus approfondie de l’ARS dans le cadre de la levée de doute, la Cnil a pu considérer qu’elle est porteuse de « risques importants d’atteintes à la vie privée des personnes concernées ». Elle a rappelé également « que les traitements HOPSYWEB ne constituent ni des fichiers d’identification, ni des fichiers de prévention des risques liés à la radicalisation des personnes atteintes de troubles mentaux. En effet, ces traitements ont pour finalité de permettre le suivi des personnes faisant l’objet de soins psychiatriques et dont l’objectif général est d’homogénéiser et de sécuriser les pratiques en matière d’hospitalisation sans consentement. ».
Outre cette réserve, la Commission relève dans son avis qu’aucune modalité n’est prévue pour mettre à jour des informations transmises aux préfets lorsque celles-ci sont intégrées au FSPRT et qu’une mesure de soins sans consentement est ensuite déclarée irrégulière par le juge des libertés et de la détention.
Elle invite également le ministère à s’assurer de l’exacte correspondance entre les catégories de données, dès lors que les catégories de données susceptibles d’être communiquées ne correspondent pas strictement à celles faisant l’objet d’un enregistrement dans les traitements HOPSYWEB et qu’il ne saurait être permis une collecte de données autres que celles dont le traitement est autorisé par le décret régissant Hopsyweb. Enfin, elle invite le ministère à s’assurer « que l’information relative à « la forme de la prise en charge » constitue bien une donnée pouvant être traitée dans le cadre du projet de décret dont elle est saisie. ».
S’agissant de la mise en relation entre les traitements Hopsyweb et FSPRT, la commission formule également un certain nombre d’observations. Elle rappelle en premier lieu que toute mise en relation entre deux traitements régis par des actes réglementaires doit respecter les dispositions régissant chacun de ces traitements, cela imposant de « s’assurer que l’opération est conforme aux finalités, aux données et aux accédants et destinataires fixés par les deux actes réglementaires ». La CNIL rappelle au ministère qu’il devra s’assurer du respect de ces conditions pour la mise en relation entre les fichiers Hopsyweb et FSPRT. Par ailleurs, la transmission de données aux services de renseignement ayant vocation à faire l’objet d’un enregistrement dans d’autres traitements, elle devra également respecter ces exigences.
S’agissant des droits des personnes, la Commission considère que compte tenu des enjeux liés à la mise en relation de ces deux traitements, une information spécifique devrait être délivrée aux personnes concernées. Le ministère estime que les données concernées par le traitement de mise en relation des fichiers Hopsyweb et FNPRT ainsi que par la procédure de levée de doute relèvent des dispositions de la Loi Informatique et Libertés sur les traitements intéressant la sûreté de l’état. Cela implique que l’exercice du droit d’accès, de rectifications et d’effacement des personnes ne pourra se faire que de manière indirecte auprès des services de la CNIL. En revanche, l’exercice du droit à l’information et du droit d’opposition ne sera pas possible dans le cadre de ce traitement. A ce titre, la Cnil estime que ces modalités « sont susceptibles d’être porteuses d’un certain nombre de difficultés pratiques », tels que de lisibilité pour les personnes, pouvant nuire à un exercice effectif des droits.
Elle attire en conclusion l’attention du ministre sur les modalités pratiques qui permettront de mettre en œuvre les droits des personnes concernées de manière effective.
Une lecture approfondie du décret et de l’avis rendu à son égard par la CNIL s’impose toutefois pour une appréhension plus complète des enjeux relatifs au croisement des traitements et à l’étendue de l’accès des préfets aux informations.
Reste à voir à présent la mise en œuvre de ces dispositions nouvelles, l’éventualité d’un contrôle par les services de la Cnil ne semblant pas à écarter…