Un décret a provoqué l’ire des professionnels de la santé, après les critiques de la CNIL. Le texte publié au Journal officiel du 8 mai dernier couple le fichier de suivi des personnes en soins psychiatriques sans consentement (HOPSYWEB) avec celui relatif aux signalements pour la prévention de la radicalisation à caractère terroriste (FSPRT).
La semaine dernière, le Premier ministre et la ministre de la Santé ont fait publier un décret au Journal officiel modifiant un précédent texte du 23 mai 2018. Initialement, ce fichier HOPSYWEB géré par les agences régionales de santé (ARS) a pour objet le suivi départemental des personnes en soins psychiatriques sans consentement.
Dans ce traitement, on trouve des échéanciers des certificats médicaux, des saisines du juge des libertés et de la détention, outre des copies de courriers. Des données essentiellement médicales voire administratives, accompagnées de diverses informations personnelles comme le nom du patient, des médecins, les dates d'entrée et de sortie, etc.
Ce traitement est accessible à plusieurs personnes : préfet, juge des libertés, fonctionnaires du greffe, le procureur, le directeur de l'établissement d'accueil voire de l'établissement pénitentiaire lorsque la personne est détenue, sans oublier les avocats, les membres de la commission départementale des soins psychiatriques et le maire.
La prévention de la radicalisation, nouvelle finalité d'Hopsyweb
Le décret du 8 mai 2019 a donné une nouvelle tournure à ce traitement. Il prévoit l'information du représentant de l'État (donc le préfet) sur l'admission des personnes en soins psychiatriques sans consentement aux fins de prévention de la radicalisation à caractère terroriste.
Plus exactement, cette information est désormais donnée dès lors que le nom, les prénoms et la date de naissance correspondent avec les informations enregistrées dans le fichier pour la prévention et la radicalisation à caractère terroriste. Un croisement réalisé toutes les 24 heures, a minima.
Concrètement, les préfets sont donc automatiquement informés de l’hospitalisation d’une personne déjà inscrite dans le FSPRT.
Les inquiétudes et critiques de la CNIL
Dans son avis, la CNIL a pour le moins tiqué au regard de la « différence profonde d’objet entre les deux fichiers ». L’un fait état d’antécédents psychiatriques d’une certaine gravité, l’autre est un fichier du renseignement. « Une telle mise en relation ne peut être envisagée qu’avec une vigilance particulière » estime la commission, qui rappelle que le premier fichier fait évidemment état de données couvertes par le secret médical.
La CNIL estime qu’en pratique, « les préfets pourront ainsi être en mesure d’identifier les personnes susceptibles de présenter, en raison d’une pathologie psychiatrique préexistante ayant donné lieu à une mesure d’hospitalisation sans consentement, des risques potentiels à la sûreté des personnes ou à l’ordre public ». Selon les confidences du ministère de l’Intérieur, cette information lui permettra même de mettre en place des « actions appropriées ».
Les questions soulevées par cette interconnexion ne sont pas minces. Les fichiers intéressant la sûreté de l’État profitent d’un traitement particulier dans la législation sur la protection des données personnelles. Et selon la CNIL, l’ajout de cette finalité ne change finalement pas la nature d’Hopsyweb : avant comme après le 8 mai, celui-ci reste pleinement couvert par le seul règlement général sur la protection des données personnelles (RGPD) et la loi CNIL. En somme, le droit commun.
À ce titre, la commission a pris acte que les croisements ne se feraient qu’à partir du nom, du prénom et de la date de naissance. Elle a néanmoins demandé à ce que le projet de décret (qui lui fut soumis) « soit modifié en ce sens ». On comprend là que le ministère envisageait un périmètre d’exploitation plus vaste avant de revenir en arrière.
Dans les échanges avec le ministère, celui-ci a indiqué à l’autorité qu’en cas de levée de doute, les informations communiquées « le seront via les canaux de transmission habituels, soit par exemple par téléphone ». Les agents de l’ARS ont été à cette fin sensibilisés sur le caractère confidentiel des données transmises.
Des échanges pas suffisamment encadrés, aux yeux de la CNIL. Elle milite par exemple pour que seul un référent identifié au sein de chaque ARS puisse procéder à ces vérifications, histoire de limiter les risques.
La question du secret médical, une donnée personnelle sensible
Elle s’interroge surtout sur la question du secret professionnel, tel que prévu et organisé par l’article L.1110-4 du Code de la Santé publique. Seule une dérogation légale peut en effet y porter atteinte. Or, la seule information qu’une personne est hospitalisée sans consentement est une donnée de santé protégée par le RGPD : on connaît le nom du patient, on sait la nature de son affection (trouble psychiatrique), on devine même le degré de gravité (une gravité caractérisée puisque justifiant un placement sans consentement).
Autre couac : l’information des personnes n’est pas envisagée, alors qu’elle est exigée par le RGPD aux articles 12, 13 et 14. De même, rien n’est prévu au titre du droit à l’effacement (article 19). Selon la logique de responsabilisation chère au texte du 25 mai 2018, il reviendra au ministère de corriger le tir. Ou d’en assumer d’éventuelles conséquences douloureuses.
La CNIL considère enfin que le traitement est susceptible de générer un risque élevé pour les personnes concernées. Une analyse d’impact lui a bien été transmise, mais l’autorité constate « l’absence d’information précise sur l’architecture et les mesures retenues » qui ne lui permet pas d’évaluer la conformité aux exigences de sécurité.
Les critiques des associations de spécialistes
La publication de ce décret a suscité de vives critiques des professionnels de santé. Le Syndicat National des Médecins, Chirurgiens Spécialistes et Biologistes des Hôpitaux Publics, le Syndicat des Psychiatres des Hôpitaux (SPH), l’Intersyndicale des Praticiens Hospitaliers de France (INPH) ou encore l’Union Syndical de la Psychiatrie (USP) appellent à son abrogation pure et simple.
Selon le monde médical, cette interconnexion « constitue une étape supplémentaire inacceptable et scandaleuse au fichage des personnes les plus vulnérables touchées par la maladie mentale dans notre pays, dans un amalgame indigne entre le champ sanitaire et celui de prévention de la radicalisation ».
Les mots sont directs, forts et sans fioriture : crainte de « très lourdes conséquences en termes d’atteintes aux libertés », un texte qui vient fouler « aux pieds des années de lutte contre la stigmatisation des patients présentant des troubles psychiques ». Ceux-ci décrivent un climat nauséabond avec le précédent SI-VIC, à savoir le fichage des gilets jaunes, admis aux urgences lors des mouvements sociaux.
Une « dérive sécuritaire » selon les signataires. « La mise en concordance d’informations du ressort du domaine médical et de renseignements du domaine de la lutte contre le terrorisme, et ce à l’insu de la personne concernée, représente une atteinte grave du secret professionnel qui ne saurait être tolérée » estiment-ils, avant de conclure : « Les précautions et inquiétudes soulignées par la Commission nationale de l’informatique et des libertés ne sont pas de nature à rassurer sur l’application concrète d’un texte dont on peut déjà anticiper les effets délétères sur le territoire national ».
Le Conseil de l'Ordre des médecins envisage un recours
De son côté, le Conseil de l’Ordre des médecins envisage d’attaquer le texte devant le Conseil d’État. « Il se prononcera, à cet égard, le vendredi 17 mai prochain, après s’être réuni collégialement en Bureau ».
Celui-ci avait déjà attaqué Hopsyweb, s’interrogeant notamment sur « l’accès aux données personnelles par des personnes désignées par le ministère de la Santé et la durée de conservation des données ».
Comme la CNIL, il souligne « la nécessité de préserver le caractère absolu du secret médical, qu’il considère comme une condition sine qua non de la relation de confiance entre un patient et son médecin ».
