Intervention introductive commune aux organisations composant la délégation reçue par la CNIL lors de l’entrevue du 3 mars 1998

Ligue des Droits de l'Homme
Collectif Informatique, Fichiers et Citoyenneté
Collectif pour les droits des citoyens face à l'informatisation de l'action sociale

Historique ANIS, préconisations CNIL
Caractère sensible des typologies ANIS
Les finalités des traitements
La jurisprudence antérieure de la CNIL

1. L’historique d’ANIS et les préconisations de la CNIL

Saisie en 1994 par les départements promoteurs d’ANIS d’une demande de conseil, la CNIL avait remis un avis comportant notamment les indications suivantes (cf. Rapport d’activité CNIL 1994) :

« Le progiciel ANIS se présente comme un outil destiné à :
- rassembler des informations sociales pour connaître en temps réel l’ensemble du traitement social dont a pu bénéficier une personne et élaborer en conséquence un projet d’intervention social cohérent ;
- déterminer au regard de la gestion et du suivi des actions sociales du département l’évolution des prestations et en permettre le pilotage grâce à l’élaboration de tableaux de bord statistiques ;
- améliorer la coordination des aides à différents échelons territoriaux.

« (...) La commission a en effet été sensible au fait qu’une base de données sociales unique puisse mieux répondre à l’imbrication et à la complémentarité de plus en plus grande des actions sociales.

« (...) Il faut souligner que la base de données unique à vocation multiple, destinée à des acteurs variés rompt avec la tradition de cloisonnement des fichiers et le principe classique de finalité spécifique ».

La CNIL paraissait d’un côté prendre en compte l’exigence de gestion de l’action sociale telle que présentée par les départements promoteurs d’ANIS, d’un autre côté elle concédait que la base unique met à mal les principes favorisant le respect des droits des personnes à l’égard des fichiers informatiques. Cela pointe plusieurs questions relatives au dossier unique et à une conception du travail social où la fonction prime sur le métier que nous avons sévèrement critiquées dans la plate-forme constitutive du collectif et dans notre brochure d’octobre 1996.

La CNIL indiquait en outre :

« Répondant au souci qui a été exprimé, que ce projet comporte un risque d’atteinte à la confidentialité des informations les plus sensibles et permet d’éventuels détournements de l’utilisation des données par les élus locaux -dont le syndicat CFDT s’est fait l’écho- le projet prévoit un accès sélectif aux données. (...) Trois niveaux d’accès sont ainsi retenus (selon l’habilitation) : le niveau 1 renseigne sur l’identification d’un usager (...) et est accessible à tous les agents des services sociaux ; le niveau 2 donne des informations de nature administrative, telles que l’historique des actions dont a déjà pu bénéficier l’usager et est ouvert aux seuls agents habilités au regard de leurs fonctions, de leur service de rattachement et de leur métier (assistantes sociales, puéricultrices...) ; le niveau 3 couvre des données sensibles, médicales ou sociales, qui ne sont accessibles qu’aux professionnels habilités, lesquels se chargent également de la saisie. (...).

 (...) la CNIL a aussi émis de nombreuses réserves au projet et considère que des mesures physiques et logiques très strictes, de protection du système dévraient être prises. A la crainte majeure de voir se développer un fichier global des populations défavorisées et partant une sorte de cartographie de l’exclusion reposant sur la définition de profils individuels ou familiaux de précarité ont été ajoutées des réserves portant sur la nécessité de respecter le secret professionnel, d’apporter des garanties aux usagers, de préserver le droit à l’oubli, de définir précisément les critères d’intégration dans la base et les nombreux partenaires au projet, destinataires des informations. (...)
« La demande d’avis qui sera le cas échéant soumise à la CNIL, préalablement à la mise en oeuvre du traitement, devra préciser d’une part les critères d’inclusion des informations dans les niveaux 1 et 2 de la base de données et d’autre part la liste détaillée des fonctions et des informations susceptibles d’être enregistrées dans les trois niveaux, ainsi que les critères d’habilitation des personnes autorisées à en connaître ».

La CNIL attirait donc l’attention sur le risque de cartographie de l’exclusion et insistait nettement sur les 3 niveaux d’habilitation et les sécurités.
Par contre, malgré la remarque sur la rupture avec le principe de cloisonnement des fichiers et de finalité spécifique (cf supra), elle ne mettait pas en question sur le fond le principe du dossier unique et l’adéquation des informations de niveau 3 avec les finalités du traitement.

Le 23 mai 1995, première délibération autorisant à titre expérimental pour un an la mise en oeuvre d’ANIS sur 2 circonscriptions de l’Ain.

Cette délibération indique notamment :

« (...) demande d’avis relative à l’expérimentation (...) d’un traitement dénommé ANIS dont la finalité principale est la gestion de l’action sociale départementale (...)
« Considérant que ne doivent être saisies dans le traitement automatisé que les données strictement nécéssaires à la prise de décision ; que les informations nominatives saisies concernent l’identité, le numéro de sécurité sociale pour les assitantes maternelles et les bénéficiaires de l’aide sociale, la situation familiale, la formation, le logement, la vie professionnelle, la situation économique et financière, la santé, les actions d’insertion, les mesures administratives ou judiciaires, les actions éducatives ou le placement ;
« Considérant que les différentes informations collectées sont accessibles selon trois niveaux de confidentialté, corrolaire de l’habilitation personnelle de chaque agent des services départementaux ; considérant que, en ce qui concerne les informations dites sensibles, couvertes par le secret médical ou professionnel, il convient de rappeler que seul l’agent responsable du dossier est compétent pour apprécier la nécessité de compléter le traitement d’informations portées à sa connaissance ; (...) »

Dans son commentaire figurant dans le rapport d’activité 1995, la CNIL indiquait qu’« il convient d’observer que les fonctionnalités qui avaient suscité quelques réserves de la part de la CNIL (« critères de détection des familles ou personnes en difficulté » (...)) ont été abandonnées ». Ou encore : « les informations de niveau 3 visent des informations dites sensibles et permettant un suivi personnalisé (par exemple observation du travailleur social, conclusions médicales du médecin de PMI) soumises au secret médical ou social ; toutefois les agents qui sont à l’origine de ces données ont la possibilité d’habiliter d’autres agents à les consulter. En pratique il n’existe pas de logique hiérarchique pour ce niveau, dans la mesure où les agents sont dépositaires personnellement des informations confiées ou relevées auprès de l’intéressé (...) »

Ainsi :
- d’une part la CNIL reste sur le principe des 3 niveaux d’habilitation censé assurer avec l’existence d’un niveau 3 la confidentialité des informations dites sensibles (avec les sécurités nécessaires), mais sous-estime ou méconnaît les fonctionnements institutionnels hiérarchiques et les pressions possibles sur les agents (cf ANAISS),
- d’autre part elle prend acte de l’abandon affiché par les promoteurs d’ANIS des « critères de détection des familles ou personnes en difficultés » sans avoir à l’époque de typologies précises à sa disposition, elle s’en tient donc à cette profession de foi alors qu’elle ne peut évaluer le degré de subjectivité desdites informations sensibles et les risques potentiels liés à leur utilisation.

En 1996 (cf rapport d’activité 1996), devant le retard pris par le département de l’Ain, le CNIL reconnaît que « l’expérimentation (..) se limitait aux seuls domaines des procédures administratives (...) tandis qu’aucune donnée sociale n’était encore saisie dans l’application ». La CNIL donne alors un avis favorable à la prorogation jusqu’en juin 1997 de l’expérimentation tout en rappelant « la nécessité de respecter des mesures de sécurité strictes pour préserver la confidentialité des données, notamment au regard des habilitations des personnels ayant seuls accès aux traitements (...) ».

A noter qu’avant même la fin de cette expérimentation, la CNIL accordera l’autorisation à titre définitif et non plus expérimental à 3 départements : l’Ille et Vilaine (07/96), la Haute-Garonne (12/96) et le Rhône (02/97) sur des modules plus ou moins étendus d’ANIS (ANIS-ASE ou ANIS aides financières).

Pour l’Ain une nouvelle délibération autorisant la prorogation de l’expérimentation d’ANIS est prise le 8 juillet 1997, on y lit notamment :

« Considérant que par délibérations du 23 mai 1995 et 9 juillet 1996, la Commission a autorisé la mise en oeuvre, pour une durée limitée prenant fin au plus tard le 30 juin 1997, d’un traitement automatisé de données nominatives relatif à la gestion de l’action sociale départementale, dénommé ANIS, devant permettre aux responsables du projet d’apprécier l’adéquation du traitement aux besoins des services utilisateurs ;
« Considérant que la mise en oeuvre de cette expérimentation, qui a connu de nombreux retards, n’a pas permis au conseil général de l’Ain d’évaluer toutes les fonctionnalités initialement envisagées ;
« (...) Emet un avis favorable pour une durée limitée prenant fin le 31 mars 1998 au traitement (...) relatif à la gestion de l’action sociale départementale, dénommé ANIS  ».

Dans le même temps, par un courrier en date du 24/6/97 reçu le 26/6/97 à la CNIL, le conseil général de l’Ain soumet « une demande d’avis définitif pour le périmètre fonctionnel de l’Aide Sociale à l’Enfance et de l’Action Sociale de Terrain (...) », avec le dossier complet incluant les typologies.

Donc la CNIL autorise d’une part la poursuite de la phase expérimentale jusqu’en mars 98 et prend d’autre part la délibération du 25/11/97, avant la fin de ladite expérimentation. Quels moyens s’est donnée la Commission de vérifier que les fonctionnalités qu’elle allait autoriser pour l’ASE et l’AST étaient bien « en adéquation avec les besoins des services utilisateurs » (cf délibération 96-058 du 9/7/96) et que l’expérimentation avait bien constitué « un test au regard de la faisabilité du projet tant au plan technique qu’humain » (cf rapport d’activité 1995) ? A cet égard les attendus de la délibération du 25/11/97 ne font pas mention d’une nouvelle visite de vérification sur place.

En tout état de cause, nous savons et pouvons garantir que le comité de veille de l’Ain n’a pas été saisi pour avis par le Conseil général sur le dossier comportant les typologies sensibles. Dans son rapport d’activité 1995, la CNIL mettait en avant l’initiative prise par les départements concernés « d’instituer un comité d’éthique, composé d’experts et de personnalités reconnues dans le domaine de l’action sociale et de la santé. Une des recommandations de ce comité d’éthique a été de préconiser, dans chaque département utilisateur, une « cellule de veille » disposant du pouvoir d’auto-saisine afin d’évoquer et de proposer des solutions aux difficultés que pourraient soulever la mise en oeuvre de l’application « ANIS » ». La CNIL a-t-elle interrogé ce comité de veille au sujet des typologies sensibles avant de prendre sa décision ?
Nous savons aussi qu’une réelle concertation auprès de l’ensemble des travailleurs sociaux et médico-sociaux de l’Ain n’a pas été organisée, au sujet des documents élaborés sur les typologies par le groupe de travail cité dans le dossier soumis par le Conseil général à la CNIL.
Enfin, quand bien même des travailleurs sociaux se seraient prononcés en faveur de ces documents, cela ne pouvait constituer un argument décisif pour la CNIL qui a toujours émis ses avis en prenant d’abord en compte la nature des informations traitées du point de vue des droits et libertés des citoyens concernés.

Délibérations ANIS

1. N° 95-065 du 23/05/95 portant avis sur la demande d’expérimentation ANIS

  • 1.1. demande d’avis relative à une expérimentation sur une durée d’un an
  • 1.2. traitement
    • finalité : gestion de l’action sociale départementale
    • continuité du suivi des bénéficiaires et mise en place d’une politique sociale départementale
    • moyens : mise en commun infos sur personnes prises en charge au titre action sociale et santé
    • but : permettre aux agents de connaître selon procédures d’habilitation l’état des demandes en cours présentées par l’usager afin d’assurer de façon globale et coordonnée la gestion et la prévision des interventions
  • 1.3. justification du principe d’échanges d’infos entre services sociaux d’un même département
    • multiplicité des dispositifs d’intervention
    • nécessité d’assurer une meilleure coordination
  • 1.4. conditions posées
    • que les droits issus de la loi de 78 ne soient pas méconnus
  • 1.5. saisie des données
    • que les données strictement nécessaires à la prise de décision
    • infos nominatives : identité, n° sécu pour asistantes maternelles et bénéficiaires de l’aide sociale, situation familiale, formation, logement, vie professionnelle, situation économique et financière, santé, actions d’insertion, mesures administratives ou judiciaires, actions éducatives ou placement
  • 1.6. confidentialité : 3 niveaux corollaire de l’habilitation de chaque agent
    • pour infos dites sensibles couvertes par le secret médical ou professionnel : seul l’agent responsable du dossier est compétent pour apprécier la nécessité de compléter le traitement d’informations portées à sa connaissance
  • 1.7. droit d’accès et de rectification
    • respect des art 34 et 36 de la loi
  • 1.8. information
    • usagers explicitement informés que les données enregistrées sont susceptibles d’être consultées par les agents habilités des autres services sociaux du département
    • doivent pouvoir s’opposer pour des raisons légitimes à la consultation par des services étrangers à l’instruction ou à la gestion de la demande
  • 1.9. mesures de sécurité
    • accès différencié aux infos selon habilitation avec codes d’identification et d’autorisation
    • application conçue avec interdiction d’extraire des données afin de reconstituer des fichiers nominatifs sans contrôle
  • 1.10. avis favorable
    • prenant fin 30/06/96
    • mise en œuvre dans une ou deux circonscriptions de l’Ain
    • permettre d’apprécier l’adéquation du traitement aux besoins des services utilisateurs

2. N° 96-036 07/05/96 décidant une vérification sur place

3. N° 96-058 09/07/96 portant avis de demande de prorogation de l’expérimentation
Les considérants reprennent ceux de la délibération n° 95-065 quant aux informations sensibles.

  • 3.1. demande de prorogation destinée à poursuivre l’expérimentation dans deux circonscriptions
  • 3.2. justification
    • nombreux retards de mise en œuvre de l’expérimentation n’a pas permis d’évaluer les fonctionalités initialement envisagées
    • seule l’informatisation de la gestion de l’aide sociale à l’enfance a pu être mise en œuvre
    • constaté lors de la mission de vérification sur place
  • 3.3. avis favorable
    • prenant fin 30/06/97
    • mise en œuvre circonscriptions de Bourg-en-Bresse et Châtillon-sur-Chalonne

4. N° 97-061 08/07/97 portant avis de demande de prorogation de l’expérimentation

  • 4.1. demande de prorogation destinée à poursuivre l’expérimentation
  • 4.2. justification
    • nombreux retards de mise en œuvre de l’expérimentation n’a pas permis d’évaluer les fonctionalités initialement envisagées
  • 4.3. avis favorable
    • prenant fin 31/03/98
    • mise en œuvre circonscriptions de Belley, Bourg-en-Bresse et Châtillon-sur-Chalonne

5. N° 97-091 25/11/97 portant demande d’avis définitif pour ASE et AST

  • 5.1. demande d’avis relative à l’informatisation de la gestion de l’aide sociale à l’enfance : ANIS-ASE
  • 5.2. traitement
    • finalité : gestion des missions du CG en matière d’aide sociale à l’enfance et à la famille
    • mise en œuvre et gestion des procédures d’attribution des prestations d’aide sociale à l’enfance et à la famille
    • gestion des informations relatives aux usagers bénéficiant des prestations d’aide sociale à l’enfance et à la famille et des actions sociales de terrain
    • gestion financière et comptable du service
    • moyens : base de données unique consultable selon une procédure d’habilitation particulière
    • but : mettre cette base de données à la disposition des agents du département affectés aux missions de protection de l’enfance et à l’action sociale de terrain dans la limite de leurs attributions
  • 5.3. conditions posées
    • exploitation statistique et anomyme possible afin d’évaluer les réponses apportées par les services sociaux aux problèmes rencontrés par les usagers
    • cette exploitation ne peut être un instrument de mesure de l’activité des TS et des caractéristiques de la population suivie
    • caractère facultatif de la saisie de certaines infos
    • caractère subjectif de certaines codifications
    • zones de texte libre destinées à dresser un diagnostic sur la situation rencontrée
    • y saisir des informations aisément vérifiables et accessibles aux intéressés
    • ces informations seront systématiquement supprimées de l’application dès lors que la mesure visée sera accomplie ou l’objectif atteint
  • 5.4. saisie des données
    • identification des personnes bénéficaires de prestations, de leur situation économique et financière, de leur vie professionnelle
    • identification des enfants pris en charge par l’ASE
    • caractère facultatif des informations nominatives portant sur les données sensibles
    • informations enregistrées issues des rubriques de traitement que dans les strictes limites des besoins du travail poursuivi et à la seule initiative du personnel concerné
  • 5.5. justification
    • indicateurs relatifs à la nature des difficultés et des potentialités rencontrées, aux objectifs à atteindre et à l’évaluation du travail social enregistrés à l’initiative du travailleur social
    • infos en rapport avec la justice concernent toutes les décisions prises par l’autorité judiciaire concourrant aux missions de protection de l’enfance
    • n° sécu utilisé dans le cadre des missions ASE
    • récupération auprès des caisses de sécu des prestations servies par les services
    • lorsque les cotisations sécu des bénéficiaires sont payées par les services
  • 5.6. destinataires
    • agents du département participant aux missions de protection de l’enfance et à l’action sociale de terrain
    • seulement les travailleurs sociaux chargés du dossier pour infos relatives à la nature des difficultés et des potentialités rencontrées, aux objectifs à atteindre, à l’évaluation du travail social
    • potentiellement, les représentants de l’autorité judiciaire, les personnes habilitées des organismes sociaux (CPAM, CAF, CCAS, assoc caritatives, personnels habilités du service des finances et du budget)
  • 5.7. confidentialité
    • seuls les personnels directement concernés par le dossier sont habilités à consulter, modifier, créer les infos nominatives relatives à la nature des difficultés rencontrées par les personnes suivies, de leurs potentialités, et la définition des objectifs à atteindre et à leur évaluation
  • 5.8. conservation
    • données relatives aux procédures ASE : 24 mois après la date de fin d’effet de la dernière prestation accordée à la personne concernée
    • données relatives aux procédures AST : 18 mois après la date de fin d’effet de la procédure
    • données nominatives supprimées dès lors qu’aucune procédure n’est plus en cours et au terme des délais
  • 5.9. droit d’accès et de rectification
    • respect art. 34 35 36
  • 5.10. information des usagers
    • doivent être informer clairment des destinataires des infos et des droits issus de la loi
    • droit d’opposition
  • 5.11. mesures de sécurité
    • accès différencié aux infos selon habilitation avec codes d’identification et d’autorisation
    • application conçue avec interdiction d’extraire des données afin de reconstituer des fichiers nominatifs sans contrôle
  • 5.12. avis favorable projet d’arrêté

2. Le caractère sensible des typologies d’ANIS, en référence à la loi du 6/1/78, les conséquences de leur utilisation

a) Les typologies au regard des dispositions légales :

Au travers des articles 1, 2, 18, 31 de la loi informatique et libertés sont énumérées diverses notions relevant de catégories de données sensibles : identité humaine, droits de l’homme, vie privée, libertés individuelles et publiques (art.1), définition du profil ou de la personnalité (art.2), origines raciales ou opinions politiques, philosophiques ou religieuses, appartenances syndicales, « moeurs » des personnes (art.31). Si les traitements de données nominatives relatives à la santé ou concernant les problèmes sociaux des personnes ne sont pas explicitement mentionnés, elles font l’objet d’une jurisprudence de la CNIL (cf infra) qui atteste de leur qualité d’informations « sensibles » au regard de l’identité humaine, de la vie privée et de la liberté des individus. En outre l’article 6 de la convention du Conseil de l’Europe mentionne comme sensibles les données relatives à la santé ou à la vie sexuelle.

En examinant attentivement tous les items des 3 listes de typologies « sensibles » soumises à la Commission (« liste des difficultés d'un diagnostic », « liste des potentialités d'un diagnostic », « liste des objectifs d'un projet ») :
- peuvent être considérés comme très subjectifs, ou pouvant entraîner une stigmatisation, ou des jugements de valeur : au minimum 30 items sur 55 dans la première liste, 31 items sur 53 dans la 2ème liste,
- peuvent être considérés comme des formulations simplistes d'objectifs correspondant à des situations très complexes avec les risques de stigmatisation liés à la non réalisation de tels objectifs : 38 items sur 43.
Ainsi deux tiers des items proposés se situent dans un champ où dominent subjectivité et caractère arbitraire de la codification.

Les tableaux suivants complètent cette analyse en classant les items dans les catégories d'informations sensibles telles qu'elles relèvent des dispositions sus-citées de la loi informatique et libertés et de la convention du Conseil de l'Europe.
En reprenant la liste des typologies de l’Ain, les données peuvent avoir trait directement ou indirectement aux catégories d’informations sensibles suivantes, issues de la loi du 6/1/78 :

Items des typologies

Catégories de la loi

Commentaire
1) difficultés d’un diagnostic :
* incompréhension démarches administratives Vie privée, profils, personnalité, .
* difficultés d’expression Vie privée, profils, personnalité, santé, psychologie .
* difficulté rôle éducatif ou parental Vie privée, profils, personnalité, opinions religieuses, origines raciales, santé, psychologie subjectif, jugement de valeur
* difficulté d’intégration sociale Vie privée, profils, personnalité, opinions religieuses, origines raciales, identité humaine, santé, psychologie subjectif, idéologique, arbitraire
* échec scolaire Vie privée, profils, personnalité, santé, psychologie .
* refus de fréquenter cantines Vie privée, profils, personnalité, opinions religieuses, origines raciales santé, psychologie .
* difficulté de gestion du budget Vie privée, profils, personnalité, santé, psychologie risque " blâme de la victime "
* isolement relationnel Vie privée, profils, personnalité, santé, psychologie .
* protection risque de danger ou danger Vie privée, profils, personnalité, identité humaine, santé, psychologie fourre tout
* manque d’hygiène Vie privée, profils, personnalité, santé, psychologie risque " blâme de la victime "
* absence de soins Vie privée, profils, personnalité, santé, psychologie .
* maltraitance Vie privée, profils, personnalité, identité humaine, santé, psychologie figé, risque stigmatisation
* violence familiale Vie privée, profils, personnalité, identité humaine, santé, psychologie .
* état dépend (exprimé/reconnu) Vie privée, profils, personnalité, identité humaine, santé, psychologie risque stigmatisation
* tentative de suicide Vie privée, profils, personnalité, identité humaine, santé, psychologie .
* accident de la vie privée Vie privée, profils, personnalité .
* difficulté ou incapacité à accomplir acte vie Vie privée, profils, personnalité, identité humaine, risque stigmatisation
* difficulté psychologique Vie privée, profils, personnalité, identité humaine, fourre tout
Tous les items difficultés de santé Santé, psychologie .
2) potentialités d’un diagnostic :
* financier compréhension des documents Vie privée, profil, personnalité, .
* financier : capacité à prévoir, à établir un budget, à négocier des plans d’apurement, à tenir des engagements Vie privée, profil, personnalité, risque " blâme de la victime "
* logement : capacité à investir son logement, à s’insérer dans son lieu de vie Vie privée, profil, personnalité, santé, psychologie subjectif
* capacité à établir de liens affectifs Vie privée, profil, personnalité, santé, psychologie flou et désincarné/situations perso
* relationnel capacité à effectuer des démarches Vie privée, profil, personnalité, santé, psychologie désincarné/situations perso
* capacité à demander de l’aide, à accepter de l’aide Vie privée, profil, personnalité, santé, psychologie désincarné/situations perso,

risque " blâme de la victime "
* tous les items éducation Vie privée, profil, personnalité, santé, psychologie risque jugement de valeur
* capacité personnelle autonomie Vie privée, profil, personnalité, identité humaine, santé, psychologie subjectif, figé,

désincarné/situation
* capacité personnelle parler français Opinions religieuses, origines raciales .
* capacité personnelle s’adapter Vie privée, profil, personnalité, santé, psychologie subjectif, figé, infantilisant

désincarné/situation
* capacité personnelle s’organiser Vie privée, profil, personnalité, santé, psychologie subjectif, figé, infantilisant

désincarné/situation
* capacité personnelle comprendre Vie privée, profil, personnalité, santé, psychologie subjectif, figé, infantilisant

désincarné/situation
* capacité personnelle motivation Vie privée, profil, personnalité, santé, psychologie subjectif, figé, infantilisant

désincarné/situation
* santé capacité d’entreprendre des démarches de soins Vie privée, profil, personnalité, santé, psychologie risque " blâme de la victime "
* santé capacité à assurer un suivi Vie privée, profil, personnalité, santé, psychologie risque " blâme de la victime "

b) Quelques commentaires sur l’utilisation de ces items en pratique de routine dans le travail social et médico-social :

* Sur la nature des items retenus :

Les notions ainsi établies (mais non définies) pourront être manipulées comme si elles étaient chargées d’un sens précis dans une sorte de champ commun aux médico-psycho-socio-éducatifs-administratifs, en réalité il s’agit de véritables fourre-tout : les catégories d’informations dans les listes « diagnostic » et « projet » sont polysémiques, ce sont des auberges espagnoles.

Ainsi les typologies « objectifs d’un projet » comportent des formulations très générales correspondant à des processus en réalité très complexes (favoriser l’autonomie de la personne, favoriser les conditions de vie, améliorer l’hygiène de vie, se protéger des agressions extérieures, favoriser la vie relationnelle, améliorer les capacités relationnelles etc., promotion de la personne-améliorer son image, se valoriser, être acteur dans la vie familiale, respecter un contrat, prendre conscience de la réalité...).
On peut renouveler ici les mêmes commentaires à l’égard de ces items que ceux figurant dans les tableaux ci-dessus.

Des informations assez concrètes comme accès aux droits, attente de prestations, absence de couverture sociale sont donc sur un même plan que des évaluations sociales complexes, qui sont à poser avec précaution comme des hypothèses de travail, faisant appel à un ensemble de connaissances d’ordre sociologique, psychologique, culturel..., actualisées dans une relation d’aide inter-individuelle en situation, à l’inverse d’évaluations normatives.

Ces typologies ont ainsi plusieurs défauts majeurs : leur subjectivité, leur caractère figé, arbitraire, leur « décontextualisation », leur non-reproductibilité d’un travailleur social à l’autre, le caractère mécanique de la pensée qu’elle induisent à partir du moment où le travailleur social cherche à les utiliser en routine quotidienne, la volonté de « stéréotyper » le référentiel conceptuel des travailleurs sociaux .

De telles formules recouvrent des données d’autant plus sensibles qu’elles expriment une appréciation portée sur des personnes très démunies ou en très grande difficulté sociale, psychologique.

Comment ces items pourraient-ils constituer dans ces conditions des données « pertinentes, adéquates et non excessives » ?

C’est en les confrontant aux finalités du traitement que le caractère dangereux de ces typologies prend tout son relief (cf infra).

* Sur le partage de l’information sensible :

Malgré les précautions figurant dans la délibération du 25/11/97, à savoir l’utilisation des typologies sensibles réservée au(x?) seul(s?) travailleur(s?) social(aux?) directement concerné(s?) par le dossier (l’usage selon les alinéas de la délibération du singulier ou du pluriel pointe bien d’ailleurs une certaine ambigüité sur le partage de l’information), l’autorisation desdites typologies constitue la consécration du « demandeur d’aide transparent », mis à nu par plusieurs professionnels autorisés à s’informer sur lui.

En 1993 le législateur a pourtant confirmé le secret professionnel et a refusé de le définir limitativement et de consacrer le secret partagé.

Or la délibération du 25/11/97 stipule (page 3, 1er alinéa) que les « informations relatives à la nature des difficultés et des potentialités rencontrées, aux objectifs à atteindre et à l’évaluation du travail social (...) sont, aux termes du projet d’acte réglementaire soumis à la Commission, réservées aux seuls travailleurs sociaux [pluriel souligné par nous] en charge du dossier ». Cela répond au dispositif prévu par le conseil général de l’Ain qui dans sa demande d’avis indique que seul l’acteur « auteur » du diagnostic peut autoriser la consultation de son diagnostic par d’autres en les nommant dans l’onglet « acteurs ». Ainsi, contrairement à la doctrine et pratique actuelles en matière de secret professionnel - où si un professionnel décide de partager des informations avec un autre quand il estime que cela s’avère indispensable pour le suivi d’un usager, il en assume la pleine responsabilité envers ce dernier -, l’autorisation prévue pour le partage d’information sur les typologies sensibles consacre une sorte de secret partagé par anticipation, de pré-accord à la consultation non sélective desdites informations.

En outre le caractère facultatif de la saisie de ces items affirmé dans la délibération risque de n’avoir de valeur que sur le papier, dans la réalité les travailleurs sociaux sont inscrits dans des liens hiérarchiques et relationnels complexes avec leurs collègues. Ce sont ces liens, les jeux personnels mais aussi les rapports de pouvoir, la pression hiérarchique qui décideront de l’utilisation ou non de ces rubriques.

* Sur la durée de conservation des données :

La délibération indique que « les données nominatives concernant la ou les personnes concernées seront supprimées dès lors qu’aucune procédure n’est en cours et au terme des délais précédents » (24 mois après la fin des procédures ASE et 18 mois après la fin de procédures AST).

Mais ce délai de suppression des informations peut s’avérer illusoire : l’expérience montre que les familles en grande difficulté peuvent être suivies plusieurs années, voire plusieurs dizaines d’années en transgénérationnel...
Comment sera dès lors interprêtée la délibération, sachant que les termes « aucune procédure en cours » ne sont pas très précis ? On risque bien de constituer sur le long terme des bases de données (dont on a vu tous les défauts conceptuels) sur les familles, débouchant sur le fameux « casier social », version individuelle de la « cartographie de l’exclusion ».

Le risque d’une mise à jour insuffisante ou inexistante de ces données est par ailleurs corrélatif à cette durée de conservation en réalité extensible.

* Sur l’information des personnes (droit d’accès et d’opposition) et les mesures de sécurité : cf infra « jurisprudence de la CNIL ».

3. Les finalités du traitement de ces données

Quel est l’objectif de ces typologies ?

- Ou bien il s’agit d’offrir aux professionnels un guide pour réaliser un diagostic ou un projet à partir de la situation d’une personne ou d’une famille. Dans ce cas le caractère subjectif, figé, binaire de ces items ne représente nullement cette aide. Bien au contraire ils ne permettent pas de rendre compte de la complexité des situations humaines rencontrées, et risquent d’induire des réponses professionnelles stéréotypées à l’égard des usagers. Il faut d’ailleurs noter que dans les documents présentés par le département de l’Ain à la Commission, cet usage des typologies est écarté : « Les typologies difficultés, potentialités et objectifs  (...) ne sont pas un guide pour réaliser un diagnostic ou un projet ».

- Ou bien il s’agit de réaliser un tableau de bord des caractéristiques « psycho-sociales » des personnes et familles rencontrées, finalité que la délibération paraît écarter, compte tenu notamment du caractère facultatif de cette saisie. C’est pourtant bien la finalité indiquée dans le document soumis à la Commission par le département de l’Ain : « Les typologies difficultés, potentialités et objectifs doivent nous permettre de faire du pilotage anonyme sur des territoires (...) ».

Dans ces deux hypothèses, l’utilisation de ces codifications est tout à fait dangereuse du point de vue des droits des personnes : sur le plan individuel déjà évoqué, elles risquent d’induire une approche stéréotypée dans l’analyse des situations des personnes et des réponses à leur proposer, voire faciliter l’avènement d’approches discriminatoires ; sur le plan collectif elles risquent effectivement de favoriser la constitution d’une « cartographie de l’exclusion reposant sur la définition de profils individuels ou familiaux de précarité » (cf 15° rapport d’activité de la CNIL).

N’y a-t-il donc pas contradiction entre la finalité de ces typologies sensibles figurant dans le dossier présenté par le département de l’Ain et la réserve très clairement énoncée par la délibération du 25/11/1997 qui considère que « (...) compte tenu du caractère facultatif de la saisie de certaines informations et du caractère subjectif de certaines codifications, l’exploitation par le Conseil Général de ces statistiques ne peut constituer un instrument de mesure (...) des caractéristiques de la population suivie » ?

Dans ces conditions ces typologies sensibles, dont nous avons précédemment analysé le caractère non pertinent, non adéquat et excessif, n’ont aucun objet au regard des finalités du traitement ANIS-ASE autorisées par la Commission.

4. La jurisprudence antérieure de la CNIL

Nous avons travaillé notamment à partir des rapports d’activité CNIL de 1985 à 1996, en étudiant, au travers de délibérations relatives à l’action sociale, la santé et la protection sociale, et des commentaires figurant dans ces bilans, les traitements dont la nature des données ou les conditions de constitution des fichiers pouvaient contribuer à enrichir le cadre de réflexion ouvert autour du progiciel ANIS.

Plusieurs aspects se dégagent :

Sur la nature des informations :

=> Exemple : la délibération 87-65 concernant un traitement dont la finalité est l’évaluation de l’activité thérapeutique d’un centre d’accueil et de consultation pour toxicomanes :

« Considérant que dans le domaine médicosocial, l’évaluation, par des moyens informatiques, de populations particulièrement fragiles et d’une activité thérapeutique donnée, appelle, dans l’esprit de l’article 1er de la loi du 6/1/78 une réserve de principe en ce qu’elle induit, de façon dérivée, le risque d’une utilisation détournée des fichiers, pouvant porter gravement préjudice aux droits et libertés des personnes ; (...)
« Considérant que le recueil de données relatives à la réputation sociale de la famille (...) d’appréciation fort subjective, ne sont pas pertinentes et non excessives eu égard à la finalité du traitement ; en demande en conséquence la suppression (...) ».

=> La délibération 87-01 rappelle aussi, sur le plan des réserves de principe, que « la commission a estimé que la présélection par ordinateur des enfants à risque, susceptibles d’une surveillance médicale et sociale particulière, était de nature à porter atteinte à l’identité humaine, et appelait dans l’esprit de l’article 1er de la loi du 6 janvier 1978 une réserve de principe ».

=>Autre exemple : la délibération 89-36 relative au fichier national de contrôle des bénéficiaires du RMI. La CNIL a demandé la suppression des codes « sans domicile fixe » et « perte de pièces d’identité » considérées comme des données sensibles dont l’« enregistrement n’apparaît donc pas pertinent au regard des seules finalités statistiques poursuivies ».

=> Il apparaît donc que la CNIL a identifié, pour certains fichiers offrant des similitudes pour la nature des données avec les typologies d’ANIS, des informations sociales sensibles non pertinentes ou excessives eu égard aux finalités des traitements en question et en a demandé la suppression.

=> De surcroit les notions médicales et sociales sont traitées comme des données sensibles au travers d’autres délibérations, il faut donc souligner que la CNIL, sans les assimiler, reconnaît régulièrement aux données sociales un caractère d’information nominative sensible, à l’instar des données portant sur la santé.

=> Sur le plan de la santé, la CNIL distingue (délibération 89-92) la simple mention d’un problème de santé de la précision de la nature du problème. Dans les typologies d’ANIS dans l’Ain certaines données renvoient à des troubles psychologiques ou au handicap, précisant donc nettement la nature du problème de santé, ce qui pouvait amener la CNIL à discuter la pertinence de ces informations à caractère particulièrement sensible et confidentiel.

=> Concernant des fonctions de codage du diagnostic (dans le domaine de la psychiatrie), la CNIL a dans une délibération 91-011 émis quelques réserves, indiquant que les fonctions d'aide au codage qui figuraient dans l'application en question nécessitaient que « toutes les garanties juridiques et techniques [soient] prises afin que les systèmes experts soient utilisés en médecine, dans le respect de la déontologie médicale et des dispositions de la loi du 6/1/78 » et que « la validité des règles du système expert devra faire l'objet de vérifications périodiques ; (...) qu'il importe de saisir de cette question le ministère chargé de la santé ainsi que les instances compétentes et d'engager une réflexion sur les problèmes juridiques et éthiques soulevés par l'introduction de systèmes experts en médecine ».
Les typologies dans ANIS ne jouent pas à proprement parler le rôle de système expert, mais la vérification de leur validité et de leurs conséquences sur un plan éthique n'aurait-elle pas nécessité de prendre des mesures similaires à celles ainsi préconisées ?

=> Lorsqu’elle n’estime pas nécessaire la suppression de certaines informations ou catégories d’informations sensibles, la CNIL encadre généralement leur traitement par des dispositions relatives notamment au consentement des personnes, aux mesures de sécurité à prévoir, etc (cf infra). A cet égard, elle indiquait dans son rapport d'activité 1989 au sujet de la « multiplication de fichiers sur les plus démunis » veiller « avec une particulière attention à ce que la création de tous ces traitements soit accompagnée de garanties suffisantes tout particulièrement en ce qui concerne la pertinence et la durée de conservation des données enregistrées, les mesures de sécurité et l'information des personnes concernées ».

* Sur le consentement des personnes concernées :

=> De nombreuses délibérations comportent une mention relative à la nécessité de l'accord écrit des personnes pour un recueil de données nominatives révélant indirectement ou portant directement sur :

=> Dans son bilan d'activité 1992, la CNIL écrit à propos du projet de loi sur les recherches dans la santé :

« Il importe surtout de ne pas subordonner l'exercice du droit d'opposition comme c'est le cas pour d'autres types de données, à des raisons légitimes ». Ces modalités d'exercice se justifient d'autant plus qu'on ne sait pas quelle autorité indépendante pourrait juger de la légitimité des raisons et que, même sans obligation de motivation, un droit d'opposition est déjà très en retrait par rapport au principe de consentement libre et éclairé. Les données médicales d'une personne relèvent de l'intimité de sa vie privée. Hors du cercle de l'équipe soignante, cette personne doit pouvoir conserver la maîtrise de ces informations et donner ou non son accord à leur transmission à des médecins qui n'interviennent pas dans le traitement thérapeutique.
« L'expression de la volonté de la personne ne saurait connaître de limite autre que celle de sa conscience » (repris dans la délibération 92-025).

Sur le plan de l'intimité de la vie privée et de l'expression de la volonté des personnes, les données à caractère social ne diffèrent pas qualitativement de celles à caractère médical. La délibération du 25/11/97 n’a pas repris les exigences éthiques sus-citées qui pouvaient pourtant y trouver toute leur place.

* Sur l'accès aux informations par des tiers :

La délibération 87-01 indiquait, concernant le traitement des certificats de santé du jeune enfant, que le médecin responsable de PMI « n'est pas tenu au respect du pouvoir hiérarchique à l'égard des demandes de consultations ou d'utilisation de fichiers qui lui sont formulées par ses supérieurs, dès lors que le secret médical est en jeu ».
Une formulation similaire n'aurait-elle pas pu figurer dans la délibération du 25/11/97, sachant que la Commission s’était explicitement exprimée dans ce sens dans son rapport d’activité 1995 (cf supra) ?

* Sur les mesures de sécurité :

De nombreuses délibérations prévoient des mesures de sécurité, telles que : cryptage des données ou des numéros d'identification, attribution de numéros d’identification selon un algorythme de transcodage pour transmettre les données sous forme anonyme, séparation des données identifiantes et des données médicales et/ou sociales, anonymisation des données :

* Sur les rapprochements et interconnexions :

Des délibérations mentionnent explicitement l'interdiction d'interconnexions ou rapprochements avec d'autres fichers, sauf accord exprès de la CNIL : par ex. délib. 87-01, 90-115.

En conclusion :

Nous demandons donc le retrait de la délibération du 25/11/97 pour toutes les raisons évoquées ci-dessus, quant à la nature des informations sensibles constituant les typologies des difficultés, des potentialités et des objectifs du travail social à atteindre, au caractère non adéquat, non pertinent et excessif de ces données eu égard aux finalités du traitement et au risque d’utilisation détournée des fichiers pouvant porter gravement préjudice aux droits et libertés des personnes.

Nous souhaitons également attirer l’attention de la CNIL sur les autres catégories de relevés d’informations figurant dans le traitement qui peuvent aussi contenir des informations sensibles (ex « squatt » dans un relevé d’information sur le logement) pour lesquelles des précautions pourraient être prises à la demande de la CNIL, inspirées de celles énumérées dans le chapitre sur la jurisprudence ci-dessus.