- Administratif
- Toute la matière
- > Acte
- > Collectivité territoriale
- > Compétence
- > Contrat et marché
- > Droit économique
- > Droit fondamental et liberté publique
- > Election
- > Environnement
- > Finance et fiscalité
- > Fonction publique
- > Police
- > Pouvoir public
- > Procédure contentieuse
- > Responsabilité
- > Service public
- > Urbanisme
- Affaires
- Civil
- Toute la matière
- > Arbitrage - Médiation - Conciliation
- > Bien - Propriété
- > Contrat et obligations
- > Droit et liberté fondamentaux
- > Droit international et communautaire
- > Famille - Personne
- > Filiation
- > Mariage - Divorce - Couple
- > Procédure civile
- > Responsabilité
- > Succession - Libéralité
- > Sûretés
- > Voie d'exécution
- Européen
- Immobilier
- IP/IT et Communication
- Pénal
- Toute la matière
- > Atteinte à l'autorité de l'état
- > Atteinte à la personne
- > Atteinte aux biens
- > Circulation et transport
- > Criminalité organisée et terrorisme
- > Droit pénal des affaires
- > Droit pénal général
- > Droit pénal international
- > Droit social
- > Enquête
- > Environnement et urbanisme
- > Etranger
- > Informatique
- > Instruction
- > Jugement
- > Mineur
- > Peine et exécution des peines
- > Presse et communication
- > Santé publique
- Social
- Toute la matière
- > Accident, maladie et maternité
- > Contrat de travail
- > Contrôle et contentieux
- > Droit de la sécurité sociale
- > Grève
- > Hygiène - Sécurité - Conditions de travail
- > IRP et syndicat professionnel
- > Négociation collective
- > Protection sociale
- > Rémunération
- > Rupture du contrat de travail
- > Santé publique
- > Travailleurs handicapés
- Avocat
Article

Le croisement des données de la base HOPSYWEB et du FSPRT est licite
Le croisement des données de la base HOPSYWEB et du FSPRT est licite
N’est pas contraire au droit de la protection des données à caractère personnel la mise en relation du traitement de données relatif au suivi des personnes en soins psychiatriques (HOPSYWEB) sans consentement et du fichier des signalements pour la prévention de la radicalisation à caractère terroriste (FSPRT).
par Cécile Crichtonle 28 avril 2020
Par décret n° 2018-383 du 23 mars 2018 était créé un traitement de données à caractère personnel dénommé HOPSYWEB, ayant pour finalité le suivi de personnes faisant l’objet de soins psychiatriques sans consentement. Le décret n° 2019-412 du 6 mai 2019 est venu modifier ce texte en permettant de croiser ces données avec celles du fichier des signalements pour la prévention de la radicalisation à caractère terroriste (FSPRT). Cette mise en relation a pour objet de déterminer la correspondance entre les noms, prénoms et dates de naissance des personnes figurant sur ces bases, aux fins de prévention de la radicalisation à caractère terroriste. Lorsque cette mise en relation révèle une correspondance, expose le décret, « le représentant de l’État dans le département où a eu lieu l’admission en soins psychiatriques sans consentement et, le cas échéant, les agents placés sous son autorité qu’il désigne à cette fin en sont informés ».
Saisi notamment d’un recours en excès de pouvoir contre le décret du 6 mai 2019, le Conseil d’État juge que la mise en relation de la base HOPSYWEB et du FSPRT n’est pas entachée d’illégalité.
Le recours se fondait pour l’essentiel sur la loi n° 78-17 « Informatique et Libertés » (LIL) qui est en effet applicable : la mise en relation de ces deux traitements existants constitue en elle-même un traitement de données à caractère personnel (pt 9). Le Conseil d’État apprécie la conformité à la loi « à la date du décret attaqué », qui semble être au premier décret du 23 mars 2018, soit antérieurement à la refonte de la LIL par la loi n° 2018-493 du 20 juin 2018 et l’ordonnance n° 2018-1125 du 12 décembre 2018.
Au regard de la LIL, le Conseil d’État considère que :
-
le moyen tiré de l’insuffisance de l’analyse d’impact doit être écarté puisque le traitement en cause a pour finalité la prévention de la radicalisation à caractère terroriste, et est donc qualifié de traitement intéressant la sûreté de l’État et la défense, aujourd’hui régi par le Titre IV de la LIL qui déroge au Règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (LIL, art. 42, I, 1°) repris dans le Titre II de la LIL (pt 10) ;
-
la mise en relation des traitements HOPSYWEB et FSRPT respecte les exigences tenant à ce que les données traitées soient adéquates, pertinentes et non excessives au regard de la finalité poursuivie (LIL, anc. art. 6) vu le type de données mises en relation et leurs destinataires (pt 11) ;
-
les données traitées étant des données de santé, donc sensibles, celles-ci sont par principe soumises à une interdiction de traitement, excepté pour les traitements « justifiés par l’intérêt public » (LIL, anc. art. 8, IV), ce qui est le cas en l’espèce (pt 12) ;
-
la LIL ne prévoit pas que « l’acte portant création d’un traitement de données à caractère personnel doive mentionner les modalités d’information des personnes dont les données sont recueillies » (LIL, anc. art. 29 et 32). Un décret qui ne prévoit pas les modalités d’information des personnes est dès lors licite (pt 15) ;
- le moyen tiré de la méconnaissance des exigences de sécurité (LIL, anc. art. 34) est inopérant, étant « relatif aux conditions pratiques de mise en œuvre effective » de la mise en relation des traitements HOPSYWEB et FSRPT et ne portant pas sur la légalité du décret attaqué (pt 16).
Le décret ne méconnaît pas non plus les dispositions du code de la santé publique. D’une part, le décret ne porte pas atteinte au secret médical puisque la personne informée par la corrélation entre les deux bases de traitement a déjà connaissance de l’admission en soins psychiatriques sans consentement (pt 13 ; CSP, art. L. 1110-4). D’autre part, le décret n’a pas « pour objet ni pour effet d’opposer aux personnes faisant l’objet de soins psychiatriques leurs antécédents psychiatriques » (pt 14 ; CSP, art. L. 3211-5). Enfin, le décret ayant seulement vocation à créer un nouveau traitement, celui-ci n’a ni pour objet ni pour effet de modifier les missions des établissements de santé et celles des professionnels de santé (pt 18 ; CSP, art. L. 6111-1 s. et L. 4001-1).
Le Conseil d’État a également été saisi d’un recours en excès de pouvoir contre le décret n° 2018-383 du 23 mars 2018 portant création du seul traitement HOPSYWEB. Or, ayant été enregistré le 5 juillet 2019, le recours ne pouvait qu’être irrecevable au regard du délai de deux mois imposé par l’article R. 421-1 du code de justice administrative. Le 4 octobre 2019, le Conseil d’État s’était déjà prononcé sur la légalité de la base de traitement HOPSYWEB (n° 421329). Le a du 5° et le 6° de l’article 1er du décret du 23 mars 2018 avaient été ainsi annulés au motif qu’ils « ne conditionnent pas la consultation nationale des données collectées dans chaque département par les services centraux du ministre chargé de la santé aux fins de statistiques, ni l’exploitation statistique des données collectées au niveau départemental pour la confection du rapport d’activité annuel des commissions départementales des soins psychiatriques à la pseudonymisation des données utilisées ». Les requérants se prévalaient de cette annulation pour annuler en voie de conséquence le décret du 6 mai 2019, ce qui a été rejeté par le Conseil d’État (pt 17).
Sur le même thème
-
Projet de quartiers de lutte contre le narcotrafic : l’absence de précision et de proportionnalité des mesures soulignée par le Conseil d’État
-
Interrogatoire d’un accusé dans le box vitré : pas de violation du droit à la présomption d’innocence. Et après ?
-
Diffusion d’une circulaire relative à la prise en charge des personnes de nationalité étrangère définitivement condamnées
-
Des circonstances exceptionnelles peuvent justifier le blocage d’un réseau social
-
Conventionnalité du transfert à une autorité de régulation de données accidentellement interceptées lors d’une enquête pénale
-
Modalités de convocation d’un demandeur d’asile devant l’OFPRA
-
Des signalements non communicables sur les dérives sectaires
-
Refus de transfert et maintien dans un établissement pénitentiaire à plus de 17 000 km : une atteinte au maintien des liens familiaux
-
De la dégradation des droits au renoncement à saisir le juge
-
Quelles preuves fournir à l’appui d’une demande de rectification de données relatives au genre ?