Présentation concernant les questions relatives au logiciel ANAISS

Ligue des Droits de l'Homme
Collectif Informatique, Fichiers et Citoyenneté
Collectif pour les droits des citoyens face à l'informatisation de l'action sociale
Conférence de presse du 3 mars 2000

ANAISS est un système qui repose sur la constitution d'un dossier social, accessible aux agents des services sociaux des caisses de sécurité sociale.

Dans un premier temps, la finalité de cette application était ^« l'informatisation du poste de travail de l'assistant social ^» (délibération CNIL n°94-063 du 28 juin 1994), alors que la CNAM souhaitait en réalité : ^« rendre homogène l'ensemble des données des services sociaux de manière à les exploiter statistiquement ^».

Pour une période d'essai de un an, la CNAM vient d'obtenir de la CNIL (délibération n°99-038 du 08 juillet 1999) l'autorisation d'exploiter à des fins statistiques les données recueillies par les assistants sociaux.

Pour notre part, comme nous l'avons indiqué dans un courrier à la CNIL du 12 novembre 1998, et compte tenu des dispositions de la délibération n°99-038 du 08 juillet 1999 et de l'acte réglementaire CNAM du 10 décembre 1999 :

1 - Nous demandons la suppression des typologies ^« sensibles ^» d'ANAISS, notamment celles qui figurent dans le catalogue ^« problèmes ^» et le catalogue ^« objectifs ^». En effet, ces typologies sont excessives, non pertinentes et inadéquates, tant pour une utilisation dans le cadre du dossier individuel que pour un traitement statistique : de nombreux items sont fortement subjectifs et réducteurs, comportant notamment des jugements de valeur à connotation péjorative sur les personnes, d'autres items recouvrent des situations variées appelant des réponses radicalement différentes, plusieurs relèvent de compétences distinctes de celles des assistants sociaux, ou nécessitant une approche pluridisciplinaire, etc.
Dans sa délibération du 8 juillet 1999, la CNIL légitime implicitement a posteriori la transgression par la CNAM de la délibération du 28/6/94. Celle-ci prévoyait que ^« les informations mémorisées sont des renseignements objectifs et factuels à l’exclusion de toute appréciation d’ordre subjectif qui concerne le bénéficiaire de l’aide (…) ^» Or la nouvelle délibération prend tout simplement acte que ^« il est en particulier envisagé de recourir à des codifications qui détaillent les difficultés rencontrées par les personnes suivies et qui sont d’ores et déjà utilisées dans le cadre de la gestion individuelle de leurs dossiers ^» et plus loin ^« que certaines codifications, par leurs intitulés, relèvent d’une appréciation subjective de l’assistant social. ^»
La similitude générale de ces typologies avec celles qui figuraient dans le dossier ANIS de l'Ain (^« difficultés ^», ^« potentialités ^», et ^« objectifs ^») aurait dû amener la Commission à prendre une décision analogue à celle de sa délibération n°98-094 du 13 octobre 1998, à savoir la suppression desdites typologies, fondée sur les mêmes principes : données extrêmement sensibles touchant à la vie privée des personnes, caractère non pertinent au regard de la finalité statistique du traitement et excessif au regard des droits et libertés des personnes concernées. Cela n'a pas été le cas, et nous demandons que la CNIL réexamine sa position sur ce sujet.

2 - Nous affirmons le refus de voir imposer toute obligation de saisie et subordination de l'action du travailleur social à l'informatisation des données Cela doit se traduire par le retrait de tout champ à saisie obligatoire (il en existe actuellement plus d’une centaine dans ANAISS si l'on se réfère à l'ensemble des fonctionnalités disponibles d'utilisation du dossier social), hormis les champs exigés pour établir la cohérence de l'information traitée afin d'assurer son intégrité, donc sa sécurité.
Dans sa délibération du 8 juillet 1999, la CNIL confirme bien le fait que l’assistant social est seul à même d’apprécier la nature des informations à faire figurer dans le dossier : ^« la saisie de ces informations ne peut présenter un caractère systématique ^».
En théorie cela laisse aux assistants sociaux une marge de manœuvre pour constituer les dossiers des usagers dans le respect de règles déontologiques.
Pourtant, dans sa note du 18 novembre 1999, la CNAMTS précise : ^« Des données minimum sont obligatoires pour permettre l'ouverture et la constitution d'un dossier en faveur d'un bénéficiaire ; leur liste a été fournie à la CNIL Toutes les informations utiles et nécessaires à la mise en œuvre du plan d'aide doivent être saisies : l'assistant social ne doit pas compromettre en n'enregistrant pas certaines informations, l'attribution d'une prestation ou d'un service prévue dans le cadre de ce plan d'aide en faveur du bénéficiaire. Il faut d'ailleurs rappeler que, conformément à l'éthique de sa profession, et dans le cadre du contrat de travail qui le lie au Directeur de la CRAM ou de la CGSS, l'assistant social doit mettre en œuvre tous les moyens nécessaires à la réalisation de sa mission d'aide à des personnes en difficulté, et respecter les obligations légales et réglementaires (ex. signalement des personnes en danger, réalisation de rapports de situation sociale). Ainsi donc, pour la CNAMTS, ce caractère non systématique ne peut en aucune manière avoir pour but de laisser croire que les assistants sociaux salariés de l'institution, ont toute liberté pour saisir ou non des données dans A.NA.I.S.S., alors qu'auparavant ils étaient tenus de remplir des dossiers papier et s'y employaient. En outre, la compétence de l'assistant social pour apprécier la nécessité de compléter les informations portées à sa connaissance, ne saurait avoir pour objectif ou conséquence, de mettre en jeu la responsabilité de l'organisme employeur, ni de faire obstacle à sa mission de protection sociale ^»
Souligner le contrat de travail qui lie l'assistant social à son directeur, sans évoquer dans un même temps la délibération de la CNIL, est révélateur.
Il arrive à la CNAM d'ignorer ses propres textes : dans son annexe IV, la circulaire technique CNAM du 15 avril 83, référence SOC N°38/83 ayant pour objet : ^« Secret professionnel des assistants de service social au sein des Caisses d'Assurance Maladie ^», indique :
^« ni les assistantes sociales, ni les médecins du travail ne sont des mandataires ou des représentants de leurs employeurs, encore moins des contrôleurs. Ce qui compte c'est l'objet de l'activité exercée, c'est le but qu'elle poursuit. Une première conséquence importante en découle. Même lorsqu'il s'agit de salariés, il n'existe pas de lien de subordination technique. Ces professionnels restent maîtres de leur technique. Leur employeur n'a pas à choisir ou à leur imposer leur méthode de travail. Ils agissent en toute indépendance et sous leur responsabilité… ^» M. BLONDEL, Conseiller d’État.
Il ne saurait donc y avoir d'obligation de saisie, tout particulièrement en ce qui concerne les données des catalogues ^« problèmes ^» et ^« objectifs ^» qui sont inadéquates aux finalités du traitement.

3 - Nous demandons la vérification systématique du caractère pertinent, adéquat et non excessif de toutes les catégories de données destinées à être enregistrées sur l'ensemble de l'application (informations juste nécessaires et suffisantes au regard des procédures concernées et des finalités considérées explicitement).

4 - Nous demandons que la CNAM définisse précisément les objectifs et la finalité des statistiques qu'elle se propose de produire; ces statistiques ne devraient pas être constituées à partir de données recueillies à d'autres fins. Ce qui implique :
- La nécessité de découpler à la source les données anonymisées enregistrées aux fins de statistiques d'activité (informations objectives) des données nominatives enregistrées dans le cadre des dossiers individuels ou familiaux.
- L'obligation de mettre en place un dispositif assurant l'anonymisation dès leur recueil des données saisies à des fins statistiques, conformément aux considérants énoncés par la délibération CNIL n°98-094 (par exemple ^« utilisation de techniques dites de ^« hachage" ou de chiffrement des données ^»).

5 - Nous demandons que le recueil de données statistiques sur les motifs de recours au service social des CRAM (recueil effectué par les assistants sociaux en situation de travail quotidien d'aide aux usagers), ne puisse aller au-delà de catégories générales comme : problème de santé, problème de logement, problème de ressources, problème d'emploi …
Nous demandons que les études portant sur des données subjectives ou d'interprétation complexe, qui peuvent intéresser la CNAM pour contribuer à une réflexion stratégique sur ses politiques sociales, soient réalisées spécifiquement, avec la garantie d'anonymat, selon une méthodologie adaptée aux hypothèses à tester, et indépendamment de l'utilisation d'ANAISS.
Pour une institution, il est utile d’avoir connaissance de l’activité qui règne au sein des services sociaux. Ainsi disposer de statistiques devrait permettre d’orienter et d’adapter les prestations aux besoins recensés des populations. C’est utile lorsque c’est réalisé avec un esprit scientifique, en toute objectivité et en toute indépendance. Sinon, au mieux on n'en tire rien, au pire on y subordonne des stratégies viciées. Cela fait des années que les services sociaux des CRAM fournissent des dénombrements qui sont informatisés, et aucun retour sous forme d’exploitation statistique ne leur en a été fait. Ce n’est pas l’informatique qui peut changer cet état de fait, mais une évolution dans la volonté d’exploiter les connaissances constituées.

6 - Nous demandons l'ajournement de l'autorisation de télémaintenance, tant que les conditions de mise en œuvre au niveau de la sécurité ne répondront pas aux normes éditées par le Service Central de la Sécurité des Systèmes d'Information (SCSSI) et à celles recommandées par la CNIL. Aujourd'hui, les CRAM ne sont pas en mesure de garantir un tel niveau de sécurité : par exemple, à TOURS, la CRAM a purement et simplement fait déplacer pendant une semaine, fin 1997, les unités centrales des ordinateurs hors des locaux du service social pour installer la nouvelle version de l'application ANAISS, alors qu'elles contenaient des données nominatives confidentielles. Pour ces raisons, il est nécessaire de geler, pour l'instant, toute possibilité d'utilisation de moyens de transmission à distance (tels que modem, etc.) tant que les CRAM ne sont pas en mesure d'appliquer les dispositifs de sécurité efficaces préconisés par la CNIL et le SCSSI, permettant d'assurer la sécurité des données soumises au secret professionnel (art. 226-13 du code pénal).
Or, la CNIL avalise dans la délibération du 8 juillet 1999 la télétransmission d’informations aux échelons régionaux et nationaux de la CNAM, mais les conditions qu’elle fixe comportent-elles des garanties suffisantes en matière de sécurisation des échanges ainsi réalisés ?

7 - Nous demandons que soit strictement appliquée la recommandation de la délibération n°94-063 du 28 juin 1994 concernant l'accès aux données nominatives : ^« Recommande que parmi les assistants sociaux, seuls deux d'entre eux, dont l'un à titre principal en sa qualité de responsable du dossier, l'autre étant choisi par le premier en cas d'indisponibilité de sa part, en concertation avec l'assistant social responsable de l'unité locale, aient accès aux données nominatives enregistrées sur le compte du bénéficiaire de l'aide ; ^» (délibération n°94-063),
et nous demandons l'élaboration de moyens qui interdisent l'accès à un tiers non expressément autorisé par l'assistant social responsable des données saisies.
Or, la CNIL légitime la transmission aux échelons régionaux d’informations indivi-duelles, pour l’organisation d’actions collectives ^« en faveur des personnes aidées ^».
La délibération du 8 juillet 1999 précise en effet : ^« (…) en cas de réalisation d’actions collectives, les assistants sociaux concernés pourront être habilités, dans l’intérêt des personnes, à avoir accès à des informations concernant des assurés dont ils n’assurent pas habituellement le suivi ^».
Il s'agit en quelque sorte d'un système de présélection automatique d'individus sur critères (les items des catalogues ^« problèmes ^» et ^« objectifs ^»), sans intervention de l'assistant social qui suit et connaît ces personnes. Or, l'invitation d'une personne suivie à une action collective portant sur des problématiques sensibles (touchant à ses difficultés relationnelles par exemple) ne peut s'appuyer que sur l'assistant social qui connaît cette personne. Celui-ci est à même de déterminer avec elle si une telle initiative lui sera profitable, ou si au contraire elle pourrait se révéler préjudiciable, compte tenu de son parcours personnel. Ainsi, l'organisation d'actions collectives ^« en faveur des personnes aidées ^» ne saurait reposer sur des requêtes automatisées d'informations les concernant. De telles initiatives ne requièrent nullement de disposer à l’échelon des CRAM des informations nominatives. D'autres modalités d’organisation permettraient de poursuivre le même objectif, sans atteinte au secret professionnel, ni risque de se révéler nuisibles envers certaines des personnes qu'on souhaitait aider...
Ainsi, dans la délibération du 8 juillet 1999, la CNIL ^« réglemente" malencontreusement le secret partagé, alors que la loi n’édicte aucune disposition relative au ^« secret partagé ^».

Par ailleurs, dans les faits, les accès aux informations nominatives sont organisés par ^« profil ^» : assistant social, secrétaire, responsable de service, etc…
Dans certains services l'assistant social n'est pas habilité pour la suppression d'un dossier alors qu'il est en responsable personnellement. Certaines habilitations (secrétaire) donnent droit à la création et à la modification. Ces habilitations sont organisées et attribuées ^« a priori ^» par l'institution sans que l'assistant social responsable de la confidentialité du dossier ait donné son accord, alors que le travail et les actes posés par d'autres sont accomplis sous sa responsabilité. Il est à craindre que l’assistant social ne sera plus en mesure d’assumer sa propre responsabilité vis-à-vis de l’usager, d’autant plus que cette responsabilité se trouve en l’occurrence engagée malgré lui.

Une nouvelle fois, la CNAM ignore ses propres textes (pourtant rappelés dans la délibération du 28 juin 1994) : la circulaire technique CNAM du 23 février 1987, référence ASS N°107/87 ayant pour objet: ^« Note technique relative aux documents sociaux détenus par les services sociaux des CRAM et au droit d'accès des usagers ^», indique clairement : ...^« L'utilisation des documents sociaux par les assistants sociaux et la communication aux usagers concernés peuvent se faire dans les circonstances suivantes :

• - usager : à sa demande,
• - assistant social titulaire ou remplaçant : à son initiative,
• - stagiaire assistant social éventuel : sous la responsabilité de l'assistant social,
• - secrétaire du service social : sous la responsabilité de l'assistant social,
• - encadrement technique assistant social : en concertation avec l'assistant social. ^»...

Nous demandons qu'il soit remédié aux dysfonctionnements constatés tant en matière de sécurité que d'habilitations afin de garantir aux travailleurs sociaux et médico-sociaux la maîtrise sur l'information nominative dont ils sont dépositaires et sur son partage. Dans sa délibération du 8 juillet 1999, la CNIL précise : ^« les procédures d’habilitation doivent être définies en concertation avec les assistants sociaux et doivent être conçues pour assurer un accès différencié aux informations, sous forme de codes d’identification et d’accès personnalisés ^» . La concertation sur la définition des procédures d’habilitation n’a toujours pas eu lieu.

8 - Nous demandons la notification systématique par la CNIL aux responsables du traitement ANAISS d'une obligation d'information écrite explicite à l'attention des usagers sur la nature des informations saisies, leurs destinataires, leurs finalités, leur durée de conservation, les droits d'accès, de rectification et d'opposition.
La délibération du 8 juillet 1999 indique effectivement : ^« tout assuré social demandeur d’une aide peut s’opposer à ce que des informations le concernant fassent l’objet d’un traitement automatisé d’informations nominatives ^», puis : ^« il doit être clairement informé de l’existence de son droit d’opposition, des conséquences éventuelles d’un refus à l’égard du traitement de sa demande, ainsi que les modalités d’exercice de son droit d’accès et de rectification à l’ensemble des renseignements mémorisés le concernant ; que la Commission devra avoir connaissance des dispositions pratiques ^»
Sur le terrain, plus de huit mois se sont écoulés, nous n'avons toujours pas connaissance des dispositions pratiques envisagées par la CNAM.

9 - Nous demandons l'accès facilité pour les citoyens et/ou les organisations qui en font la demande aux dossiers de demande d'avis préalable déposés par la CNAM, les CRAM et les CGSS comportant le détail des données et les dispositifs prévus de sécurisation.

10 - Nous demandons qu'il soit fait à la CNAM obligation d'assurer les formations nécessaires au personnel des services sociaux des CRAM :

• - pour la compréhension réelle de l'outil informatique et des précautions nécessaires en matière de droits des personnes, liées à son utilisation,
• - pour la connaissance approfondie et le respect des textes qui régissent le recueil et l'utilisation d'informations nominatives confidentielles afin que puissent être élaborées les règles d'éthique indispensables à la manipulation des données sensibles.

11 - Remarques complémentaires :

- L'institution oublie de respecter ses propres textes, comme elle oublie de respecter les délibérations de la CNIL. Par exemple, l'acte réglementaire du 10 décembre 1999 pris par le président du conseil d'administration de la CNAM n'est pas conforme aux recommandations de la CNIL sur deux points :
* Concernant le secret professionnel, alors que la délibération n°94-063 du 28 juin 1994 cite l'article 226-13 du code pénal, l'acte réglementaire fait référence à l'article L. 161-29 du code de la Sécurité Sociale. Cet article stipule que le personnel des organismes d'assurance maladie est soumis à l'obligation de secret dans les conditions de l'article 378 du code pénal (ancien C.P.), mais il cite aussi des dérogations aux dispositions qui les assujettissent au secret professionnel (articles L. 243-13 et 14 du code de la sécurité sociale).
Cela pourrait, à terme, légitimer un partage d'informations à d'autres institutions sociales (CAF, URSSAF), elles-mêmes partageant leurs informations avec d'autres organismes (ASSEDIC, conseils généraux, CRAM, CPAM, CNASEA, COTOREP…). Au fil du temps et des dispositifs (CASU, etc.), ce partage pourrait s'ouvrir à d'autres partenaires encore.
Or, les assistants sociaux sont soumis à l'article 226-13 du code pénal. Dans la délibération n°94-063 les visas respectaient la hiérarchie des textes, ce qui n'est pas le cas pour l'acte réglementaire CNAM du 10 décembre 1999. Celui-ci doit être modifié : l'article L. 161-29 du code de la Sécurité Sociale doit y être remplacé par l'article n°226-13 du code pénal relatif au secret professionnel.
* Concernant l'accès aux données nominatives, alors que la délibération n°94-063 du 28 juin 1994 cite les dispositions de la circulaire A.S.S. n°107/87 du 23 février 1987, l'acte réglementaire, dans son article 4, n'y fait pas référence. Il serait utile que la dernière phrase du premier alinéa de l'article 4 de l'acte réglementaire soit complété par : ^« selon les dispositions de la circulaire A.S.S. n°107/87 du 23 février 1987. ^»

- Quant à la sécurité de l'application : il paraît important de rappeler que l'article 226-17 du code pénal précise ^« prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés … ^».
À la question que nous avons posée au SCSSI : ^« Est-ce que les recommandations du Service Central de la Sécurité des Systèmes d'Information s'appliquent à un organisme de droit privé à vocation sociale exerçant une mission de service public ? ^», il a été répondu par le SCSSI : ^« Oui, les ^« recommandations ^» s'appliquent, il y a peut-être des recommandations supplémentaires de votre ministère de tutelle. ^»
Afin de préserver la sécurité des informations nominatives confidentielles contenues dans ANAISS, et notamment empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés, il importe que soit mis en place un certain nombre de moyens :
- homologation des sites d'implantation en matière de sécurité des installations,
- procédure de certification de l'application ANAISS.

Il ne semble pas que la CNAM ait entrepris de telles procédures. Par contre, nous savons que la marque ANA.I.S.S. a été déposée au nom de la CNAMTS à l'Institut National de la Propriété Industrielle (INPI), le logiciel déposé à l'Agence pour la propriété des programmes (APP).
Mais, nous ne savons toujours pas si l'application ANAISS respecte toutes les recommandations émises par le Service Central de la Sécurité des Systèmes d'Information (SCSSI)…

Combien ça coûte ?
A.NA.I.S.S. en quelques chiffres (Source : la lettre d'ANAISS n°2 décembre 1999)

Equipements
Au 31 décembre 1998, le parc recensé pour les 16 Caisses Régionales d'Assurance Maladie et les 4 Caisses Générales de Sécurité Sociale était de :

Budgets

Les budgets alloués à ce projet ont été les suivants :

• 1996 17,96 MF permettant en particulier l'acquisition des premières licences de statistiques (En 1996, la CNAM n'avait pas encore demandé à la CNIL l'autorisation de faire des statistiques... 1/ ou bien des statistiques non autorisées ont été faites ; 2/ ou alors la CNAM dispose de ressources qui lui permettent d'engager 17,96 MF trois avant d'obtenir un accord (au risque que les logiciels achetés soient devenus entre temps obsolètes ; 3/ ou bien a-t-elle pratiquée des statitstiques à titre expérimental, tout en sachant que la CNIL ne saurait lui refuser de mettre en place un tel outil...)
• 1997 6,43 MF dédiés plus spécialement à la mise en place de la télémaintenance (acquisition de 463 modems et 448 licences) et à l'équipement des C.G.S.S. (alors qu'aucune autorisation n'avait été sollicitée auprès de la CNIL en 1997. On peut se poser le même type de questions.)
• 1998 4,51 MF utilisés pour la fin d'installation des postes A.NA.I.S.S. et l'achat d'un portable par CRAM à titre d'expérimentation

Remplacements pour l'an 2000

L'année 1999 a été consacrée à préparer l'arrivée de l'an 2000 (Budget: 12 MF) pour remplacer les postes acquis en 1994 et 1995 désormais obsolètes et amortis soit: