Le croisement des données de la base HOPSYWEB et du FSPRT est licite

Par décret n° 2018-383 du 23 mars 2018 était créé un traitement de données à caractère personnel dénommé HOPSYWEB, ayant pour finalité le suivi de personnes faisant l’objet de soins psychiatriques sans consentement. Le décret n° 2019-412 du 6 mai 2019 est venu modifier ce texte en permettant de croiser ces données avec celles du fichier des signalements pour la prévention de la radicalisation à caractère terroriste (FSPRT). Cette mise en relation a pour objet de déterminer la correspondance entre les noms, prénoms et dates de naissance des personnes figurant sur ces bases, aux fins de prévention de la radicalisation à caractère terroriste. Lorsque cette mise en relation révèle une correspondance, expose le décret, « le représentant de l’État dans le département où a eu lieu l’admission en soins psychiatriques sans consentement et, le cas échéant, les agents placés sous son autorité qu’il désigne à cette fin en sont informés ».

Saisi notamment d’un recours en excès de pouvoir contre le décret du 6 mai 2019, le Conseil d’État juge que la mise en relation de la base HOPSYWEB et du FSPRT n’est pas entachée d’illégalité.

Le recours se fondait pour l’essentiel sur la loi n° 78-17 « Informatique et Libertés » (LIL) qui est en effet applicable : la mise en relation de ces deux traitements existants constitue en elle-même un traitement de données à caractère personnel (pt 9). Le Conseil d’État apprécie la conformité à la loi « à la date du décret attaqué », qui semble être au premier décret du 23 mars 2018, soit antérieurement à la refonte de la LIL par la loi n° 2018-493 du 20 juin 2018 et l’ordonnance n° 2018-1125 du 12 décembre 2018.

Au regard de la LIL, le Conseil d’État considère que :

• le moyen tiré de l’insuffisance de l’analyse d’impact doit être écarté puisque le traitement en cause a pour finalité la prévention de la radicalisation à caractère terroriste, et est donc qualifié de traitement intéressant la sûreté de l’État et la défense, aujourd’hui régi par le Titre IV de la LIL qui déroge au Règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (LIL, art. 42, I, 1°) repris dans le Titre II de la LIL (pt 10) ;
   
• la mise en relation des traitements HOPSYWEB et FSRPT respecte les exigences tenant à ce que les données traitées soient adéquates, pertinentes et non excessives au regard de la finalité poursuivie (LIL, anc. art. 6) vu le type de données mises en relation et leurs destinataires (pt 11) ;
   
• les données traitées étant des données de santé, donc sensibles, celles-ci sont par principe soumises à une interdiction de traitement, excepté pour les traitements « justifiés par l’intérêt public » (LIL, anc. art. 8, IV), ce qui est le cas en l’espèce (pt 12) ;
   
• la LIL ne prévoit pas que « l’acte portant création d’un traitement de données à caractère personnel doive mentionner les modalités d’information des personnes dont les données sont recueillies » (LIL, anc. art. 29 et 32). Un décret qui ne prévoit pas les modalités d’information des personnes est dès lors licite (pt 15) ;
   
• le moyen tiré de la méconnaissance des exigences de sécurité (LIL, anc. art. 34) est inopérant, étant « relatif aux conditions pratiques de mise en œuvre effective » de la mise en relation des traitements HOPSYWEB et FSRPT et ne portant pas sur la légalité du décret attaqué (pt 16).

Le décret ne méconnaît pas non plus les dispositions du code de la santé publique. D’une part, le décret ne porte pas atteinte au secret médical puisque la personne informée par la corrélation entre les deux bases de traitement a déjà connaissance de l’admission en soins psychiatriques sans consentement (pt 13 ; CSP, art. L. 1110-4). D’autre part, le décret n’a pas « pour objet ni pour effet d’opposer aux personnes faisant l’objet de soins psychiatriques leurs antécédents psychiatriques » (pt 14 ; CSP, art. L. 3211-5). Enfin, le décret ayant seulement vocation à créer un nouveau traitement, celui-ci n’a ni pour objet ni pour effet de modifier les missions des établissements de santé et celles des professionnels de santé (pt 18 ; CSP, art. L. 6111-1 s. et L. 4001-1).

Le Conseil d’État a également été saisi d’un recours en excès de pouvoir contre le décret n° 2018-383 du 23 mars 2018 portant création du seul traitement HOPSYWEB. Or, ayant été enregistré le 5 juillet 2019, le recours ne pouvait qu’être irrecevable au regard du délai de deux mois imposé par l’article R. 421-1 du code de justice administrative. Le 4 octobre 2019, le Conseil d’État s’était déjà prononcé sur la légalité de la base de traitement HOPSYWEB (n° 421329). Le a du 5° et le 6° de l’article 1^er du décret du 23 mars 2018 avaient été ainsi annulés au motif qu’ils « ne conditionnent pas la consultation nationale des données collectées dans chaque département par les services centraux du ministre chargé de la santé aux fins de statistiques, ni l’exploitation statistique des données collectées au niveau départemental pour la confection du rapport d’activité annuel des commissions départementales des soins psychiatriques à la pseudonymisation des données utilisées ». Les requérants se prévalaient de cette annulation pour annuler en voie de conséquence le décret du 6 mai 2019, ce qui a été rejeté par le Conseil d’État (pt 17).