Les maisons départementales des personnes handicapées ont été créées par la loi N° 2005-102 du 11 février 2005 pour l’égalité des droits et des chances, la participation et la citoyenneté des personnes handicapées [1]. Par la suite, le décret N° 2007-965 du 15 mai 2007 a autorisé la création d’un traitement automatisé de données à caractère personnel par ces maisons départementales [2].
Nous reprenons ci-dessous la partie réglementaire du Code de l’action sociale et des familles qui concerne ce fichier [3], ainsi qu’une partie de la délibération correspondant de la Cnil – notamment la justification par la Cnil du recours au NIR comme identifiant.
On notera à ce propos l’aveu sans vergogne de la Cnil : « la nationalité et la date d’entrée en France [sont] recueillies afin de permettre de vérifier [...] que l’intéressé est en situation régulière de séjour en France ».
Article R146-38
I. - Pour réaliser les missions prévues à l’article L. 146-3, la maison départementale des personnes handicapées met en oeuvre un traitement automatisé de données à caractère personnel, dénommé "système de gestion et d’information des maisons départementales des personnes handicapées" et régi par les dispositions de la présente sous-section.
II. - Ce traitement a pour finalités de permettre :
III. - Le responsable de ce traitement est le directeur de la maison départementale des personnes handicapées dans le cadre, conformément aux dispositions de l’article R. 146-24, des orientations définies par la commission exécutive de ce groupement d’intérêt public.
Article R146-39
Les catégories d’informations enregistrées dans le traitement sont les suivantes :
1. Informations portant sur la personne handicapée :
2. Informations portant sur le représentant légal du demandeur lorsque celui-ci est un mineur ou un majeur protégé :
3. Informations relatives à la nature des demandes et à la suite qui leur est donnée :
4. Informations relatives à l’équipe pluridisciplinaire et aux agents d’instruction :
5. Informations relatives aux membres de la commission des droits et de l’autonomie des personnes handicapées :
Article R146-40
I. - Les informations enregistrées concernant la personne handicapée, et s’il y a lieu son représentant légal, ne peuvent être conservées dans le système de traitement au-delà d’une période de cinq ans à compter de la date d’expiration de validité de la dernière décision intervenue ou pendant laquelle aucune intervention n’a été enregistrée dans le dossier de la personne handicapée.
II. - Les informations enregistrées concernant les personnels de l’équipe pluridisciplinaire et les personnels d’instruction ne peuvent être conservées au-delà de leur présence au sein de la maison départementale ou de l’équipe. Les informations enregistrées concernant les membres de la commission des droits et de l’autonomie des personnes handicapées ne peuvent être conservées au-delà de la durée de leur mandat.
III. - Au-delà de cette période, les informations sorties du système de traitement sont archivées sur un support distinct et peuvent être conservées dix ans dans des conditions de sécurité équivalentes à celles des autres données enregistrées dans le traitement mentionné à l’article R. 146-38.
Article R146-41
Peuvent accéder au traitement de données :
Article R146-42
I.-Sont destinataires des informations strictement nécessaires à l’exercice de leur mission et dans la limite de leurs attributions les personnels des administrations et organismes intervenant dans la gestion de la prise en charge du handicap mentionnés ci-après, désignés et habilités par l’autorité responsable de ces administrations et organismes :
II.-Lorsque l’accueil des personnes, la gestion des données et l’évaluation des personnes handicapées sont confiés par la maison départementale des personnes handicapées à l’un des organismes mentionnés à l’article L. 146-3, la convention signée avec l’organisme doit définir les opérations que celui-ci est autorisé à réaliser à partir des données à caractère personnel auxquelles il a accès, ainsi que les engagements qu’il prend pour garantir leur sécurité et leur confidentialité, en particulier l’interdiction d’utiliser les données à d’autres fins que celles indiquées par la convention.
Article R146-43
Les données transmises par la maison départementale des personnes handicapées aux fins d’établissement de statistiques comportent un identifiant garantissant l’anonymat établi par un codage informatique irréversible.
Article R146-44
Une information conforme aux dispositions de l’article 32 de la loi du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés figure sur tous les formulaires de demande et est affichée dans les locaux de la maison départementale des personnes handicapées.
Le droit d’accès et de rectification s’exerce conformément aux articles 39 et 40 de la même loi auprès du service que le responsable du traitement des données a désigné à cet effet.
Article R146-45
Le droit d’opposition prévu à l’article 38 de la loi du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ne s’applique pas au traitement mentionné à l’article R. 146-38.
Article R146-46
Le traitement automatisé mentionné à l’article R. 146-38 conserve pendant une durée de trois mois les informations relatives aux enregistrements et interrogations dont il fait l’objet, en précisant l’identifiant de la personne ayant procédé à l’opération.
Article R146-47
Des mesures de protection physiques et logiques sont prises pour assurer la sécurité du traitement des données, empêcher toute utilisation détournée ou frauduleuse, notamment par des tiers non autorisés, et préserver leur intégrité.
L’accès au traitement des données n’est ouvert qu’aux agents nommément désignés et pour les seules opérations auxquelles ils sont habilités. Les accès individuels à l’application s’effectuent par un identifiant et un mot de passe, régulièrement renouvelés, ou tout autre dispositif sécurisé au moins équivalent.
Un dispositif approprié limite les connexions à distance aux seuls postes de travail des agents des administrations ou des organismes mentionnés à l’article R. 146-42 habilités à accéder au système d’information.
Un enregistrement quotidien des connexions est réalisé. Il est conservé pendant une période de trois mois.
Article R146-48
La mise en oeuvre par la maison départementale des personnes handicapées du traitement de données à caractère personnel mentionné à l’article R. 146-38 est subordonnée à l’envoi préalable à la Commission nationale de l’informatique et des libertés d’une déclaration attestant de la conformité du traitement aux dispositions de la présente sous-section.
La Commission nationale de l’informatique et des libertés, [...] émet l’avis suivant :
La loi du 11 février 2005 pour l’égalité des droits et des chances, la participation et la citoyenneté des personnes handicapées a institué, dans chaque département, une Maison Départementale des Personnes Handicapées (MDPH) afin de simplifier les démarches nécessaires à la prise en charge du handicap, rendues complexes par la multiplicité des instances et des procédures. La MDPH constitue le "guichet unique" auprès duquel toute personne handicapée ou sa famille doit pouvoir trouver l’accueil, l’information, l’accompagnement et le conseil nécessaires et formaliser ses demandes de prestation ou d’orientation.
Le décret en Conseil d’Etat soumis pour avis à la Commission par la Direction Générale de l’Action Sociale le 3 janvier 2007 crée un modèle de traitement automatisé de données à caractère personnel mis en oeuvre au sein des MDPH, dont la finalité principale est l’enregistrement et l’instruction des demandes de prestations, le suivi des décisions prises et leur mise en oeuvre, ainsi que et la production de statistiques destinées à orienter les politiques de prise en charge des handicaps. A cet effet, le traitement servirait également à alimenter le système national d’informations mis en oeuvre par la Caisse Nationale de Solidarité pour l’Autonomie (CNSA).
S’agissant de traitements de données à caractère personnel mis en oeuvre pour le compte de l’Etat et d’une personne morale de droit public gérant un service public, qui porte sur des données parmi lesquelles figure le NIR, le système d’information des MDPH est organisé par un décret en Conseil d’Etat pris après avis motivé et publié de la CNIL, conformément aux dispositions de l’article 27-I, 1° de la loi du 6 janvier 1978 modifiée. La Commission a également été saisie d’un dossier de formalités préalables, conformément aux dispositions de l’article 30 de la loi du 6 janvier 1978 modifiée.
Ce projet de décret en Conseil d’Etat a vocation à constituer un acte réglementaire unique portant autorisation de création du traitement. Dès lors, il appartiendra au responsable du traitement de chaque MDPH qui répond aux conditions fixées par le décret de prendre un engagement de conformité de celui-ci à la description figurant dans l’autorisation, conformément aux dispositions de l’article 27-III de la loi du 6 janvier 1978. Pour les traitements ne répondant pas à ces conditions, une demande d’avis devra être adressée à la CNIL.
Sur la nature des données enregistrées
Les données à caractère personnel enregistrées concernent, d’une part, la personne handicapée et les personnes qui auraient déposé la demande pour son compte et, d’autre part, les membres de l’équipe pluridisciplinaire et de la commission des droits et de l’autonomie des personnes handicapées, pendant la durée de leur mandat.
Les informations collectées relatives aux personnes s’adressant aux MDPH et leurs représentants légaux sont les suivantes : numéro d’inscription au RNIPP, nom, prénom, date et lieu de naissance, nationalité et date d’entrée en France, adresse du domicile et de la résidence, nature du diagnostic et des déficiences, capacité juridique, situation familiale et composition de la famille, niveau de formation et situation professionnelle, ressources et domiciliation bancaire lorsque la demande porte sur l’attribution d’une prestation soumise à des conditions de ressources, qualité au titre de laquelle est exercée la fonction de représentant légal, situation des aidants familiaux au regard de l’emploi.
Certaines de ces données appellent les observations suivantes de la part de la Commission.
Le NIR serait utilisé, d’une part, dans le cadre des relations avec les organismes en charge de la mise en oeuvre des décisions des MDPH et, d’autre part, pour s’assurer de l’identité des personnes.
S’agissant de la première finalité, et dans la mesure où les MDPH reprennent les compétences des COTOREP et des CDES, qui étaient elles-mêmes autorisées à utiliser le NIR dans leurs rapports avec la sécurité sociale, elle n’appelle pas d’observation de la part de la Commission.
S’agissant de la seconde finalité, le recours au NIR pour certifier l’identité des personnes auprès du Système National de Gestion de l’Identité (SNGI) de la CNAVTS n’appelle pas d’observation de la Commission.
Le NIR serait également utilisé comme numéro du dossier de l’usager, dans le cadre de l’instruction et en cas de transfert du dossier.
La Commission considère que si un numéro unique national est nécessaire, la création d’un identifiant spécifique aux personnes handicapées serait susceptible de les stigmatiser. En conséquence, elle admet que le numéro de sécurité sociale puisse être utilisé comme identifiant des usagers des MDPH à des fins d’instruction de leur dossier.
S’agissant des données médicales, la nature du diagnostic et des déficiences sera renseignée selon les nomenclatures CIM et CIH. A cet égard, le projet de décret devra être complété de façon à mentionner que ces données seront recueillies sous cette forme.
S’agissant de la nationalité et la date d’entrée en France, recueillies afin de permettre de vérifier, pour l’attribution des prestations aux personnes de nationalité étrangère, hors les ressortissants des Etats membres de l’union européenne, que l’intéressé est en situation régulière de séjour en France, la Commission prend acte de ce que seule la nationalité, sous la forme "français, ressortissant CEE, hors CEE" est enregistrée dans l’application. A cet égard, le projet de décret devra également être complété de façon à mentionner que cette donnée sera recueillie sous cette forme. [...]
[1] NOR : SANX0300217L http://legifrance.gouv.fr/affichTex....
[3] Traitement automatisé de données à caractère personnel http://www.legifrance.gouv.fr/affic....
[4] Délibération n° 2007-010 du 18 janvier 2007 http://www.cnil.fr/index.php?id=2438.