Le décret du 6 mai 2019 a pour objet la mise en relation, pour certaines finalités, entre certaines informations enregistrées dans les traitements de données à caractère personnels dénommés HOPSYWEB d’une part et le fichier de traitement des signalements pour la prévention de la radicalisation à caractère terroriste (FSPRT) d’autre part.
La LDH a introduit une requête en annulation devant le Conseil d’Etat, l’avocat est Maître Patrice Spinosi et l’audience est prévue le 13 mars à 14h au Conseil d’Etat devant les 10e et 9e Chambres réunies.
La notice du décret précise, concernant la mise en relation des informations des fichiers HOPSYWEB et FSPRT, que « cette mise en relation concerne uniquement les informations transmises au représentant de l’Etat dans le département sur les admissions en soins psychiatrique sans consentement prévues par le code de la santé publique et le CPP et a pour objet la prévention de la radicalisation. ».
Ainsi, les données de patients hospitalisés en psychiatrie pourront désormais, grâce aux dispositions du décret, dont le contenu est particulièrement succinct puisque composé de deux courts articles, être comparées au fichier des radicalisations. Il est à mentionner que le croisement entre les données enregistrées dans les deux traitements est réalisé, a minima toutes les vingt-quatre heures.
La Commission nationale de l’informatique et des libertés (Cnil), dans sa délibération du 13 décembre 2018 est particulièrement inquiète. En préalable, la Cnil ne manque pas de souligner « la différence profonde d’objet entre les deux fichiers en présence, l’un faisant état d’antécédents psychiatriques d’une certaine gravité, l’autre ayant la nature d’un fichier de renseignement. » et d’affirmer qu’« une telle mise en relation ne peut être envisagée qu’avec une vigilance particulière ».
En outre, il peut être relevé :
- Sur l’interconnexion des traitements HOPSYWEB avec le FSPRT: la commission ne remet pas en cause la nécessité pour les préfets de département de pouvoir procéder à ce type de vérification via un croisement de fichier. Néanmoins, « elle estime qu’au regard du caractère particulièrement sensible de l’information dont il est question, les modalités d’échanges des informations précitées avec l’ARS, dans le cadre de la procédure de levée de doute, ne sont pas suffisamment encadrées. ».
- Sur les destinataires des données: la Cnil émet d’importantes réserves sur le respect du principe du secret médical. Ainsi, la Cnil « souligne que le présent projet de décret, en ce qu’il permet l’accès de ces personnes [notamment le préfet], qui n’interviennent pas dans la mise en place de la mesure d’hospitalisation sans consentement, à l’information selon laquelle un individu fait effectivement l’objet d’une telle mesure et à des informations complémentaires en cas de mise en œuvre de la procédure de levée de doute pose question au regard des exigences de secret professionnel en la matière. ». La commission se dit donc réservée sur la possibilité d’introduire une dérogation au secret professionnel qui permettrait, en particulier aux agents accédant au FSPRT, d’être destinataires d’informations couvertes par le secret médical. En conséquence, le décret ne contient pas les garanties requises par les exigences de protection des données personnelles.
- Sur les droits des personnes : le décret ne prévoit aucune disposition sur le droit à l’effacement des informations (notamment quand une mesure de soins sans consentement est ensuite déclarée irrégulière par le juge des libertés et de la détention) ni ne précise les modalités selon lesquelles l’ARS concernée devra notifier l’effacement des données au préfet. Et évidemment, il n’est aucunement prévu que les personnes hospitalisées sans consentement soient informées de la nouvelle finalité qui est poursuivie par le fichier HOPSYWEB.
- Sur la sécurité des données : là encore, la Cnil a souligné « que l’absence d’information précise sur l’architecture et les mesures retenues ne permettent pas d’évaluer la conformité du dispositif à l’exigence de sécurité prévue par les dispositions du RGPD. ».