Le système de gestion et d’information des maisons départementales des personnes handicapées

Article R146-38

I. - Pour réaliser les missions prévues à l’article L. 146-3, la maison départementale des personnes handicapées met en oeuvre un traitement automatisé de données à caractère personnel, dénommé "système de gestion et d’information des maisons départementales des personnes handicapées" et régi par les dispositions de la présente sous-section.

II. - Ce traitement a pour finalités de permettre :

1. Le suivi de l’accueil des personnes qui s’adressent aux services de la maison départementale des personnes handicapées ;
   
2. L’instruction des demandes de prestation ou d’orientation de la personne handicapée ;
3. Le suivi des parcours individuels de la personne handicapée, notamment en matière d’orientation scolaire et d’orientation professionnelle ;
4. La gestion des travaux de l’équipe pluridisciplinaire qui procède à l’évaluation de la situation et des besoins de compensation de la personne handicapée, mentionnée à l’article L. 146-8 ;
5. L’organisation et le suivi des travaux de la commission des droits et de l’autonomie des personnes handicapées mentionnée à l’article L. 146-9, la notification des décisions de cette commission aux usagers et aux organismes concernés, le suivi de la mise en oeuvre de ces décisions et des suites réservées aux orientations par les établissements ou services médico-sociaux ainsi que la gestion des recours éventuels ;
6. La simplification des démarches des usagers, en particulier lorsque la décision de la commission des droits et de l’autonomie est mise en oeuvre par un organisme tiers ;
7. La gestion du fonds départemental de compensation mentionné à l’article L. 146-5 ;
8. La production de statistiques relatives aux personnes qui s’adressent à la maison départementale des personnes handicapées et à l’activité des maisons départementales des personnes handicapées, nécessaires au suivi des politiques du handicap et à l’élaboration et à la mise en oeuvre du schéma départemental, ainsi que la transmission de ces statistiques, en application des articles L. 247-2 et L. 247-4, aux organismes et administrations intéressés.

III. - Le responsable de ce traitement est le directeur de la maison départementale des personnes handicapées dans le cadre, conformément aux dispositions de l’article R. 146-24, des orientations définies par la commission exécutive de ce groupement d’intérêt public.

Article R146-39

Les catégories d’informations enregistrées dans le traitement sont les suivantes :

1. Informations portant sur la personne handicapée :

• a) Numéro d’inscription au répertoire national d’identification des personnes physiques ;
• b) Nom de famille, prénoms et, le cas échéant, nom d’usage ;
• c) Date et lieu de naissance, sexe ;
• d) Nationalité, selon l’une des catégories suivantes : Français, ressortissant de l’Union européenne, ressortissant d’un pays tiers ;
• e) Adresse du domicile et, s’il y a lieu, de résidence ;
• f) Nature du diagnostic médical, des déficiences et des limitations d’activité, désignées par référence aux classifications reconnues en matière de maladies et de handicaps ainsi qu’aux nomenclatures de limitation d’activité, recensées par arrêté du ministre chargé des personnes handicapées ;
• g) Le cas échéant, régime de protection juridique ;
• h) Situation familiale, composition de la famille, existence d’aidants familiaux et, dans le cas des mineurs, situation au regard de l’emploi des parents ou du représentant légal et, le cas échéant, des aidants familiaux ;
• i) Niveau de formation et situation professionnelle du demandeur ;
• j) Dans le cas où la demande porte sur l’une des prestations mentionnées aux articles L. 541-1, L. 821-1 et L. 821-2 du code de la sécurité sociale et à l’article L. 245-1 du code de l’action sociale et des familles, ressources prises en compte pour l’attribution de ces prestations et domiciliation bancaire ;

2. Informations portant sur le représentant légal du demandeur lorsque celui-ci est un mineur ou un majeur protégé :

• a) Numéro d’inscription au répertoire national d’identification des personnes physiques ;
• b) Nom de famille, prénoms et, le cas échéant, nom d’usage ;
• c) Adresses ;
• d) Date et lieu de naissance, sexe ;
• e) Nature du mandat au titre duquel est exercée la fonction de représentant légal ;

3. Informations relatives à la nature des demandes et à la suite qui leur est donnée :

• a) Nature et objet de la demande ;
• b) Dates des différentes étapes de l’instruction et de l’examen de la demande par la commission des droits et de l’autonomie des personnes handicapées ;
• c) Composition de l’équipe pluridisciplinaire ;
• d) Résultats de l’évaluation de l’incapacité permanente et des besoins de compensation de la personne handicapée, exprimés par référence aux nomenclatures de limitation d’activité fixées par arrêté du ministre chargé des personnes handicapées ;
• e) Contenu du plan personnalisé de compensation du handicap ;
• f) Nature, objet, date, durée de validité et contenu des décisions rendues par la commission des droits et de l’autonomie des personnes handicapées ;
• g) Le cas échéant, dates et nature des recours et suite qui leur est donnée ;

4. Informations relatives à l’équipe pluridisciplinaire et aux agents d’instruction :

• a) Nom de famille, prénoms et, le cas échéant, nom d’usage ;
• b) Adresse professionnelle ;
• c) Qualité ;

5. Informations relatives aux membres de la commission des droits et de l’autonomie des personnes handicapées :

• a) Nom de famille, prénoms et, le cas échéant, nom d’usage ;
• b) Adresses ;
• c) Qualité ;
• d) Date de nomination.

Article R146-40

I. - Les informations enregistrées concernant la personne handicapée, et s’il y a lieu son représentant légal, ne peuvent être conservées dans le système de traitement au-delà d’une période de cinq ans à compter de la date d’expiration de validité de la dernière décision intervenue ou pendant laquelle aucune intervention n’a été enregistrée dans le dossier de la personne handicapée.

II. - Les informations enregistrées concernant les personnels de l’équipe pluridisciplinaire et les personnels d’instruction ne peuvent être conservées au-delà de leur présence au sein de la maison départementale ou de l’équipe. Les informations enregistrées concernant les membres de la commission des droits et de l’autonomie des personnes handicapées ne peuvent être conservées au-delà de la durée de leur mandat.

III. - Au-delà de cette période, les informations sorties du système de traitement sont archivées sur un support distinct et peuvent être conservées dix ans dans des conditions de sécurité équivalentes à celles des autres données enregistrées dans le traitement mentionné à l’article R. 146-38.

Article R146-41

Peuvent accéder au traitement de données :

1. A l’exclusion des informations médicales mentionnées au f du 1° de l’article R. 146-39, les agents de la maison départementale des personnes handicapées individuellement désignés et habilités par le directeur dans la limite de leurs attributions ;
   
2. Pour l’ensemble des informations, y compris à caractère médical, les médecins de l’équipe pluridisciplinaire et les personnes qu’ils ont individuellement désignées et habilitées ;
   
3. Dans les mêmes conditions qu’au 1°, les agents de la maison départementale dont dépend sa nouvelle résidence, lorsque la personne handicapée a déposé une demande en cas de déménagement ou obtenu une décision favorable.

Article R146-42

I.-Sont destinataires des informations strictement nécessaires à l’exercice de leur mission et dans la limite de leurs attributions les personnels des administrations et organismes intervenant dans la gestion de la prise en charge du handicap mentionnés ci-après, désignés et habilités par l’autorité responsable de ces administrations et organismes :

1. Les agents du département, d’une part, pour le paiement des prestations prévues aux articles L. 245-1 et suivants et à l’article 95 de la loi du 11 février 2005 pour l’égalité des droits et des chances, la participation et la citoyenneté des personnes handicapées, d’autre part, pour le paiement des aides sociales légales et la prise en charge des frais liés aux transports scolaires prévue à l’article L. 213-11 du code de l’éducation ; en région Ile-de-France, conformément aux dispositions des articles L. 213-14 et L. 821-5 du même code, les agents du Syndicat des transports d’Ile-de-France pour la prise en charge des frais liés aux transports scolaires et universitaires ;
   
2. Les agents de la caisse d’allocations familiales, pour le paiement des prestations prévues aux articles L. 541-1 et suivants et L. 821-1 et suivants du code de la sécurité sociale ;
   
3. Les agents des organismes d’assurance maladie, pour la prise en charge de l’accueil et des soins dans les établissements sociaux et médico-sociaux ;
   
4. Les agents des services départementaux de l’éducation nationale, pour la mise en oeuvre des décisions relatives à la scolarisation des jeunes handicapés ;
   
5. Les agents de la direction départementale du travail, de l’emploi et de la formation professionnelle, de l’ institution mentionnée à l’article L. 5312-1 du code du travail , des organismes en charge du service public de l’emploi et des organismes mentionnés à l’article L. 323-11 du code du travail, pour la mise en oeuvre les décisions d’orientation professionnelle ;
   
6. Les agents des établissements et services médico-sociaux accueillant des personnes handicapées ;
   
7. Les agents des services du payeur départemental, pour la mise en oeuvre des paiements effectués dans le cadre du fonds départemental de compensation ;
   
8. Les agents des organismes mentionnés à l’article L. 146-3 du présent code, pour les missions sous-traitées définies par la convention.

II.-Lorsque l’accueil des personnes, la gestion des données et l’évaluation des personnes handicapées sont confiés par la maison départementale des personnes handicapées à l’un des organismes mentionnés à l’article L. 146-3, la convention signée avec l’organisme doit définir les opérations que celui-ci est autorisé à réaliser à partir des données à caractère personnel auxquelles il a accès, ainsi que les engagements qu’il prend pour garantir leur sécurité et leur confidentialité, en particulier l’interdiction d’utiliser les données à d’autres fins que celles indiquées par la convention.

Article R146-43

Les données transmises par la maison départementale des personnes handicapées aux fins d’établissement de statistiques comportent un identifiant garantissant l’anonymat établi par un codage informatique irréversible.

Article R146-44

Une information conforme aux dispositions de l’article 32 de la loi du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés figure sur tous les formulaires de demande et est affichée dans les locaux de la maison départementale des personnes handicapées.

Le droit d’accès et de rectification s’exerce conformément aux articles 39 et 40 de la même loi auprès du service que le responsable du traitement des données a désigné à cet effet.

Article R146-45

Le droit d’opposition prévu à l’article 38 de la loi du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ne s’applique pas au traitement mentionné à l’article R. 146-38.

Article R146-46

Le traitement automatisé mentionné à l’article R. 146-38 conserve pendant une durée de trois mois les informations relatives aux enregistrements et interrogations dont il fait l’objet, en précisant l’identifiant de la personne ayant procédé à l’opération.

Article R146-47

Des mesures de protection physiques et logiques sont prises pour assurer la sécurité du traitement des données, empêcher toute utilisation détournée ou frauduleuse, notamment par des tiers non autorisés, et préserver leur intégrité.

L’accès au traitement des données n’est ouvert qu’aux agents nommément désignés et pour les seules opérations auxquelles ils sont habilités. Les accès individuels à l’application s’effectuent par un identifiant et un mot de passe, régulièrement renouvelés, ou tout autre dispositif sécurisé au moins équivalent.

Un dispositif approprié limite les connexions à distance aux seuls postes de travail des agents des administrations ou des organismes mentionnés à l’article R. 146-42 habilités à accéder au système d’information.

Un enregistrement quotidien des connexions est réalisé. Il est conservé pendant une période de trois mois.

Article R146-48

La mise en oeuvre par la maison départementale des personnes handicapées du traitement de données à caractère personnel mentionné à l’article R. 146-38 est subordonnée à l’envoi préalable à la Commission nationale de l’informatique et des libertés d’une déclaration attestant de la conformité du traitement aux dispositions de la présente sous-section.

___________________________

Délibération portant avis sur un projet de décret en Conseil d’Etat relatif aux traitements de données à caractère personnel mis en oeuvre au sein des Maisons Départementales des Personnes Handicapées [4]

La Commission nationale de l’informatique et des libertés, [...] émet l’avis suivant :

La loi du 11 février 2005 pour l’égalité des droits et des chances, la participation et la citoyenneté des personnes handicapées a institué, dans chaque département, une Maison Départementale des Personnes Handicapées (MDPH) afin de simplifier les démarches nécessaires à la prise en charge du handicap, rendues complexes par la multiplicité des instances et des procédures. La MDPH constitue le "guichet unique" auprès duquel toute personne handicapée ou sa famille doit pouvoir trouver l’accueil, l’information, l’accompagnement et le conseil nécessaires et formaliser ses demandes de prestation ou d’orientation.

Le décret en Conseil d’Etat soumis pour avis à la Commission par la Direction Générale de l’Action Sociale le 3 janvier 2007 crée un modèle de traitement automatisé de données à caractère personnel mis en oeuvre au sein des MDPH, dont la finalité principale est l’enregistrement et l’instruction des demandes de prestations, le suivi des décisions prises et leur mise en oeuvre, ainsi que et la production de statistiques destinées à orienter les politiques de prise en charge des handicaps. A cet effet, le traitement servirait également à alimenter le système national d’informations mis en oeuvre par la Caisse Nationale de Solidarité pour l’Autonomie (CNSA).

S’agissant de traitements de données à caractère personnel mis en oeuvre pour le compte de l’Etat et d’une personne morale de droit public gérant un service public, qui porte sur des données parmi lesquelles figure le NIR, le système d’information des MDPH est organisé par un décret en Conseil d’Etat pris après avis motivé et publié de la CNIL, conformément aux dispositions de l’article 27-I, 1° de la loi du 6 janvier 1978 modifiée. La Commission a également été saisie d’un dossier de formalités préalables, conformément aux dispositions de l’article 30 de la loi du 6 janvier 1978 modifiée.

Ce projet de décret en Conseil d’Etat a vocation à constituer un acte réglementaire unique portant autorisation de création du traitement. Dès lors, il appartiendra au responsable du traitement de chaque MDPH qui répond aux conditions fixées par le décret de prendre un engagement de conformité de celui-ci à la description figurant dans l’autorisation, conformément aux dispositions de l’article 27-III de la loi du 6 janvier 1978. Pour les traitements ne répondant pas à ces conditions, une demande d’avis devra être adressée à la CNIL.

Sur la nature des données enregistrées

Les données à caractère personnel enregistrées concernent, d’une part, la personne handicapée et les personnes qui auraient déposé la demande pour son compte et, d’autre part, les membres de l’équipe pluridisciplinaire et de la commission des droits et de l’autonomie des personnes handicapées, pendant la durée de leur mandat.

Les informations collectées relatives aux personnes s’adressant aux MDPH et leurs représentants légaux sont les suivantes : numéro d’inscription au RNIPP, nom, prénom, date et lieu de naissance, nationalité et date d’entrée en France, adresse du domicile et de la résidence, nature du diagnostic et des déficiences, capacité juridique, situation familiale et composition de la famille, niveau de formation et situation professionnelle, ressources et domiciliation bancaire lorsque la demande porte sur l’attribution d’une prestation soumise à des conditions de ressources, qualité au titre de laquelle est exercée la fonction de représentant légal, situation des aidants familiaux au regard de l’emploi.

Certaines de ces données appellent les observations suivantes de la part de la Commission.

Le NIR serait utilisé, d’une part, dans le cadre des relations avec les organismes en charge de la mise en oeuvre des décisions des MDPH et, d’autre part, pour s’assurer de l’identité des personnes.

S’agissant de la première finalité, et dans la mesure où les MDPH reprennent les compétences des COTOREP et des CDES, qui étaient elles-mêmes autorisées à utiliser le NIR dans leurs rapports avec la sécurité sociale, elle n’appelle pas d’observation de la part de la Commission.

S’agissant de la seconde finalité, le recours au NIR pour certifier l’identité des personnes auprès du Système National de Gestion de l’Identité (SNGI) de la CNAVTS n’appelle pas d’observation de la Commission.

Le NIR serait également utilisé comme numéro du dossier de l’usager, dans le cadre de l’instruction et en cas de transfert du dossier.

La Commission considère que si un numéro unique national est nécessaire, la création d’un identifiant spécifique aux personnes handicapées serait susceptible de les stigmatiser. En conséquence, elle admet que le numéro de sécurité sociale puisse être utilisé comme identifiant des usagers des MDPH à des fins d’instruction de leur dossier.

S’agissant des données médicales, la nature du diagnostic et des déficiences sera renseignée selon les nomenclatures CIM et CIH. A cet égard, le projet de décret devra être complété de façon à mentionner que ces données seront recueillies sous cette forme.

S’agissant de la nationalité et la date d’entrée en France, recueillies afin de permettre de vérifier, pour l’attribution des prestations aux personnes de nationalité étrangère, hors les ressortissants des Etats membres de l’union européenne, que l’intéressé est en situation régulière de séjour en France, la Commission prend acte de ce que seule la nationalité, sous la forme "français, ressortissant CEE, hors CEE" est enregistrée dans l’application. A cet égard, le projet de décret devra également être complété de façon à mentionner que cette donnée sera recueillie sous cette forme. [...]