L’avocat Pierre Desmarais se penche sur la publication d’un décret autorisant le recueil, le traitement et la conservation de données pour le suivi des personnes en soins psychiatriques, sans leur consentement, à des conditions de sécurité très souples.
J’écris cette tribune à quelques heures à peine de l’abrogation de la vénérable directive du 24 octobre 1995 relative à la protection des données. Nous sommes aujourd’hui le 24 mai 2018.
Les lecteurs assidus de MindHealth se rappelleront qu’il y a peu, je promettais de ne plus m’étendre sur le RGPD. Et je tâcherai de tenir parole. Si je vous parle de la directive de 1995, c’est du fait de la publication au Journal Officiel de ce matin d’un décret autorisant les traitements de données HOPSYWEB, relatifs au suivi des personnes en soins psychiatriques sans consentement[1], et de l’avis afférent de la CNIL[2].
L’hospitalisation sans consentement des personnes est un sujet particulièrement sensible. Le Code de Procédure Pénale et le Code de la Santé Publique contiennent des dispositions particulières afin de garantir l’absence d’internement arbitraire. Cette garantie, vous en conviendrez sûrement, doit se traduire ensuite par une particulière vigilance dans le cadre de la mise en œuvre des traitements de données relatifs à ces patients involontaires.
Malheureusement, aujourd’hui, on peut douter que ce soit le cas.
Permettre aux ARS la mise en place d’un traitement de données pour le suivi des personnes en soins psychiatriques sans consentement semble légitime et les sous-finalités exposées dans le décret le semblent tout autant. Rien de choquant en effet à ce que des traitements soient réalisés pour gérer les procédures d’hospitalisation et pour établir des statistiques. Jusque-là, tout va donc à peu près bien.
Passons alors aux dispositions relatives à la sécurité et à la conservation des données. C’est là que le bât blesse. C’est là qu’on mesure l’étendue du gouffre séparant le responsable de traitement lambda des autorités publiques.
Dans son avis du 3 mai 2018, la CNIL rappelait au Ministère que les textes relatifs à l’hospitalisation psychiatrique sans consentement permettent une conservation des données « pendant la durée de l’hospitalisation sans consentement et jusqu’à la fin de l’année civile suivant la mesure de soins sans consentement ». Cela semble raisonnable. Mais malgré ce rappel, le décret affirme péremptoirement que les données seront conservées 3 ans à compter de la fin de l’année civile suivant la levée de la mesure de soins sans consentement. Soit à peu près 2 années de plus que ce que prévoient les textes !
Concernant la sécurité, le décret se borne à indiquer que l’ARS désignera les personnels habilités à enregistrer et accéder aux données. Un peu court. Et ce d’autant plus quand on lit l’avis de la CNIL. Tout y passe : absence de revue des habilitations, politique de mots de passe non conforme, absence de chiffrement des données et des sauvegardes, etc. Le meilleur ? L’historique d’accès aux données – pourtant particulièrement sensibles – n’est apparemment conservé que pendant 15 jours. 15 jours, là où la CNIL recommande en principe un délai de 6 mois.
Soyons plus clair. Les mots de passe exigés, l’absence de revue des habilitations et le défaut de chiffrement nous mettent en face d’une jolie passoire et en plus il sera impossible, après 15 jours, de savoir qui a accédé aux données, les a modifiées ou, pire, les a extraites.
Pendant que vos cabinets, vos établissements, vos entreprises sont en train de peiner à se mettre en conformité avec le RGPD (je n’ai pas pu résister), à imposer à leurs utilisateurs des mots de passe allant jusqu’à 12 caractères de 4 types différents, etc., les autorités publiques s’autorisent des mesures de sécurité particulièrement laxistes pour encadrer l’accès, la conservation et la sécurité de données relatives à la santé de personnes hospitalisées sous contraintes et portant potentiellement sur des infractions pénales.
Deux poids, deux mesures.
[1] https://huit.re/Decret_Hopsyweb.
[2] https://huit.re/Avis_Cnil_Hopsyweb.
Pierre Desmarais
Avocat
IS027001LI / ISO27005RM
Article publié précédemment sur le site de mind Health