Les associations agréées et SINUS Arr. 4 févr. 2015, modif. arr. 17 févr. 2010, traitement automatisé de données à caractère personnel SINUS
Le 14 février 2015, par Geneviève Koubi,
Un arrêté du 4 février 2015 vient modifier l’arrêté du 17 février 2010 portant création d’un traitement automatisé de données à caractère personnel dénommé "système d’information numérique standardisé" (SINUS) [1]. Il abroge ainsi l’arrêté du 20 février 2012 modifiant l’arrêté du 17 février 2010 portant création d’un traitement automatisé de données à caractère personnel dénommé "système d’information numérique standardisé" (SINUS).
L’objectif de cet arrêté du 4 février 2015 est encore une fois de revoir les personnels destinataires des données et habilités à consulter SINUS ... et d’en élargir le nombre. Ce que relève d’emblée la Commission nationale de l’informatique et des libertés (CNIL) dans son avis n° 2015-004 du 15 janvier 2015 : « La modification projetée du traitement concerne les destinataires des données et informations enregistrées dans SINUS, afin d’y ajouter les associations agréées de sécurité civile d’Île-de-France (AASC) ».
Lors de la création de ce traitement SINUS, en 2010, les personnes destinataires des informations enregistrées dans le traitement automatisé de données à caractère personnel SINUS étaient « les pompiers de la brigade des sapeurs-pompiers de Paris (BSPP) ; le personnel des services d’aide médicale urgente (SAMU) de Paris, des Hauts-de-Seine, de la Seine-Saint-Denis et du Val-de-Marne ; le personnel de l’Assistance publique-hôpitaux de Paris (APHP) ; le personnel du secrétariat général de la zone de défense de Paris (SGZD) ». Il était encore précisé, au dernier alinéa de l’article 3, que « pour la conduite des enquêtes diligentées dans le cadre des événements exceptionnels mentionnés à l’article 1er, peuvent également être destinataires des données (...), dans la limite du besoin d’en connaître, les magistrats du parquet et de l’instruction ainsi que les officiers et agents de police judiciaire de la direction régionale de la police judiciaire de Paris spécialement habilités et individuellement désignés »...
SINUS est effectivement un traitement « dont les finalités sont d’assurer le dénombrement, l’identification et le suivi des victimes lors d’événements exceptionnels » (art. 1er de l’arrêté). Son champ d’application géographique est Paris et l’Île-de-France. La CNIL dans son avis n° 2015-004 du 15 janvier 2015, retenant qu’en la matière les problématiques de sécurité publique s’entendent en relation avec la sécurité civile, rappelle qu’il ne s’agit pas de n’importe quel événement dit ’exceptionnel’ : « ce traitement, mis en œuvre par le préfet de police, intéresse la sécurité publique en tant qu’il a pour finalité d’assurer le dénombrement, l’identification et le suivi des victimes lors d’événements exceptionnels tels que des événements sportifs ou festifs, ou encore de faciliter le déroulement des enquêtes judiciaires diligentées dans ce cadre » [2]. Ces précisions sont essentielles.
Les catégories de données à caractère personnel enregistrées sont toujours les mêmes ; elles sont relatives "à l’identité des victimes, à une mention concernant l’état vital (DCD, urgence absolue, urgence relative, impliqué), au lieu de prise en charge et à la destination hospitalière éventuelle" (art. 2 de l’arrêté).
Jusqu’alors, l’arrêté prévoyait, en un article 3 introduit par l’arrêté du 20 février 2012 - désormais abrogé par l’arrêté du 4 février 2015 -, que les destinataires des données et informations enregistrées étaient : « les pompiers de la brigade des sapeurs-pompiers de Paris (BSPP) et des services départementaux d’incendie et de secours d’Ile-de-France ; le personnel des services d’aide médicale urgente (SAMU) des départements d’Ile-de-France ; le personnel des établissements de soins d’Ile-de-France ; le personnel de l’agence régionale de santé d’Ile-de-France ; le personnel des préfectures de la zone de défense et de sécurité de Paris ; les magistrats du parquet et de l’instruction ; les officiers et agents de police judiciaire de la police nationale et de la gendarmerie nationales » [3], - ce, nécessairement, en fonction de leurs attributions respectives et du besoin d’en connaître. C’est cet article qui fait l’objet de la modification signifiée par l’arrêté du 4 février 2015.
En effet, aux termes de l’article 1er de l’arrêté du 4 février 2015 [4], qui entre désormais en vigueur, l’article 3 de l’arrêté du 17 février 2010 est d’abord supprimé et ensuite remplacé par ces dispositions : « Art. 3. - I. - Dans la limite de leurs attributions respectives et du besoin d’en connaître, sont autorisés à accéder aux données mentionnées à l’article 2 : - les sapeurs-pompiers de la brigade de sapeurs-pompiers de Paris (BSPP) et des services départementaux d’incendie et de secours d’Île-de-France ; - le personnel des services d’aide médicale urgente (SAMU) des départements d’Île-de-France ; - le personnel des établissements de soins d’Île-de-France ; - le personnel de l’agence régionale de santé d’Île-de-France ; - les officiers et agents de police judiciaire de la police nationale ; - les officiers et agents de police judiciaire de la gendarmerie nationale ; - les associations agréées de sécurité civile d’Île-de-France dans le cadre strict des dispositifs prévisionnels de secours “privés” et pour les seules fiches les concernant. //II. - Peuvent être destinataires de tout ou partie des données et des informations mentionnées à l’article 2 : - le personnel des préfectures de la zone de défense et de sécurité de Paris ; - les magistrats du parquet et de l’instruction ; - les associations agréées de sécurité civile d’Île-de-France dans le cadre strict des dispositifs prévisionnels de secours “publics” ou du centre d’accueil des impliqués des dispositifs NOVI, et pour les seules fiches les concernant.. »
Ce n’est pas une modification de moindre portée, ni de moindre effet.
1/ Une distinction est désormais faite entre les catégories de personnes ayant accès aux données enregistrées dans le traitement SINUS et celles qui en sont destinataires.
2/ La modification - substantielle - procède de ces précisions spécifiques qui, introduisant les associations agréées de sécurité civile dans le système, tout en répercutant la distinction signifiée précédemment en 1/, en ajoute une autre selon que les dispositifs de secours sont "privés" ou "publics" : le traitement SINUS peut désormais être consulté, en sus des personnels précédemment autorisés ou habilités, par "les associations agréées de sécurité civile d’Île-de-France dans le cadre strict des dispositifs prévisionnels de secours “privés” et pour les seules fiches les concernant". De la même manière, "les associations agréées de sécurité civile d’Île-de-France, dans le cadre strict des dispositifs prévisionnels de secours “publics” ou du centre d’accueil des impliqués des dispositifs NOVI, et pour les seules fiches les concernant, peuvent être destinataires de tout ou partie des données et des informations".
.
Dans son avis n° 2015-004 du 15 janvier 2015, la CNIL avait émis quelques observations à ce propos.
D’abord, elle relève que « les missions de sécurité civile sont assurées principalement par les sapeurs-pompiers professionnels et volontaires des services d’incendie et de secours ainsi que par les personnels des services de l’État et les militaires des unités qui en sont investis à titre permanent ». Cependant, elle admet que, conformément aux dispositions de l’article L. 721-2 du code de la sécurité intérieure (CSI), « elles concourent également à l’accomplissement des missions de la sécurité civile les membres des associations ayant la sécurité civile dans leur objet social. » Dans ce cadre, elle limite l’appel aux associations en désignant des ’membres’ de ces associations.
Pour autant, puisque ce sont ces associations qui sont visées par l’arrêté sans accroches spécifiques, elle rappelle, outre l’importance de l’agrément officiel, quelques dispositifs juridiques qui pouvaient fonder la modification alors envisagée comme celui de l’article L. 725-3 du Code de la sécurité intérieure - dont elle tire des éléments : « seules les associations agréées sont engagées, à la demande de l’autorité de police compétente ou lors du déclenchement du plan "Organisation de la Réponse de la SEcurité Civile" (ORSEC), pour participer aux opérations de secours, à l’encadrement des bénévoles dans le cadre des actions de soutien aux populations, à la mise en place des dispositifs de sécurité civile dans le cadre de rassemblements de personnes ou encore aux actions d’enseignement et de formation en matière de secourisme. »
Mais encore, s’appuyant sur la formulation alors proposée de l’article 3 de l’arrêté, elle fait remarquer, que « le profil d’habilitation des AASC est ainsi susceptible de varier selon qu’elles sont impliquées lors du déclenchement d’un dispositif dit de "NOmbreuses Victimes" (NOVI) ou dans l’organisation des dispositifs prévisionnels de secours (DPS) [5] dans le cadre d’événements festifs ou sportifs de grande ampleur ». La CNIL ajoute qu’« en mode NOVI, les AASC viennent en appui de l’action des sapeurs-pompiers et des enquêteurs pour transmettre les renseignements concernant des personnes sans dommage physique apparent. A cet effet, elles bénéficient d’un profil "primo-intervenant" qui ne leur permet que cette remontée d’informations, à l’exclusion de tout accès direct en consultation du traitement SINUS. En mode DPS "public", les AASC viennent en appui de l’action des sapeurs-pompiers pour transmettre des informations concernant les personnes prises en charge par leurs centres de secours. (... Et) en mode DPS "privé", les AASC interviennent à la demande des organisateurs de l’événement sportif ou festif, sans intervention préalable des sapeurs-pompiers ou du service d’aide médicale urgente (SAMU). » Ces descriptions permettaient à la CNIL d’introduire quelques réserves dans sa délibération.
Car, le ministère souhaite que l’action de ces AASC ne se limite pas à des "prestations de secourisme". La CNIL observe donc qu’étant « destinataires de certaines informations contenues dans SINUS, ces associations contribueraient dès lors [selon le ministère] à l’amélioration de la remontée des informations liées à l’identification et à la traçabilité des personnes prises en charge lors d’événements exceptionnels. » Telle est d’ailleurs la démarche adoptée en bien des domaines, la sécurité civile n’étant là qu’une des illustrations possibles [6].
En plus d’être destinataires des données, « ces associations bénéficient d’un accès au traitement SINUS ». Si l’on peut estimer que cet accès serait « strictement encadré au travers d’une gestion stricte des habilitations » selon l’expression utilisée par la CNIL [7], ce serait en tenant compte des champs public ou privé des interventions. Certes, au vu de la finalité poursuivie par le traitement, la CNIL estime « qu’il est légitime pour les AASC d’être ajoutées à la liste des destinataires des données et informations enregistrées dans SINUS. Elle considère également que leur participation aux opérations de secours en cas de déclenchement d’un dispositif NOVI ou lors de l’organisation de DPS justifie qu’elles puissent avoir accès, dans la limite du besoin d’en connaître, à certaines données et informations contenues dans SINUS. Néanmoins, elle observe que, dans cette hypothèse, les AASC accèdent directement au traitement SINUS. Elle demande donc que l’article 3 du projet d’arrêté soit modifié afin de distinguer les catégories de personnes pouvant accéder directement à l’application SINUS de celles pouvant simplement recevoir communication de certaines données et informations contenues dans ce traitement ».
Ce que donc le ministère a retenu.
.
De ce fait, outre une interrogation persistante sur la notion de "besoin d’en connaître", il deviendrait utile de retravailler les caractéristiques de "l’accès aux données et informations enregistrées dans des traitements automatisés de données à caractère personnel" et de cerner la qualité de "destinataire des données et informations enregistrées dans des traitements automatisés de données à caractère personnel"...
...
Notes :
[1] JO 14 févr. 2015.
[2] V. aussi les avis précédents de la CNIL n° 1363480 du 22 juillet 2009 et n° 2015-004 du 15 janvier 2015 rendus sur cet arrêté et ses modifications successives.
[3] On notera ici la modification par rapport aux dispositions initiales de 2010..
[4] JO 14 févr. 2015.
[5] A propos des DPS, il existe un "référentiel national relatif aux dispositifs prévisionnels de secours" - téléchargeable sur le site du ministère de l’intérieur :http://www.interieur.gouv.fr/Le-ministere/Securite-civile/Documentation-technique/Le-secourisme/Les-agrements-de-securite-civile.
[6] Il n’est point besoin de se leurrer indéfiniment, une stratégie gouvernementale d’implication des associations est à l’œuvre, - notamment, dans les secteurs où l’action publique est indispensable en matière psychique, culturelle, sociale, sanitaire, etc., mais onéreuse donc peu rentable au niveau économique.
[7] Strictement et stricte, ces deux mots révéleraient une certaine réticence de la CNIL face au dispositif alors pensé par le ministère.