CNAM - ANAISS : rencontre M. Spaeth 24/05/00

Présentation des réflexions et demandes concernant le logiciel ANAISS :
rencontre avec M. Spaeth le 24 mai 2000 à la CNAM

Ligue des Droits de l'Homme
Collectif Informatique, Fichiers et Citoyenneté
Collectif pour les droits des citoyens face à l'informatisation de l'action sociale

Nous vous exposons nos réflexions et demandes concernant le logiciel ANAISS, au regard de la législation, des deux délibérations de la CNIL et des actes réglementaires pris par la CNAM.

1 – L’accès aux données / les habilitations

Nous demandons que soit strictement appliquée la recommandation de la délibération CNIL n°94-063 du 28 juin 1994 concernant l'accès aux données nominatives : "Recommande que parmi les assistants sociaux, seuls deux d'entre eux, dont l'un à titre principal en sa qualité de responsable du dossier, l'autre étant choisi par le premier en cas d'indisponibilité de sa part, en concertation avec l'assistant social responsable de l'unité locale, aient accès aux données nominatives enregistrées sur le compte du bénéficiaire de l'aide;" et nous demandons la mise en œuvre d’un système d’habilitations qui interdise tout accès à un tiers non expressément autorisé par l'assistant social responsable des données saisies.

La circulaire technique CNAM du 23 février 1987, référencée ASS N°107/87 et intitulée "Note technique relative aux documents sociaux détenus par les services sociaux des CRAM et au droit d'accès des usagers", indique clairement : ..."L'utilisation des documents sociaux par les assistants sociaux et la communication aux usagers concernés peuvent se faire dans les circonstances suivantes :
- usager : à sa demande,
- assistant social titulaire ou remplaçant : à son initiative,
- stagiaire assistant social éventuel : sous la responsabilité de l'assistant social,
- secrétaire du service social : sous la responsabilité de l'assistant social,
- encadrement technique assistant social : en concertation avec l'assistant social."...

En complète contradiction avec ce texte, les accès aux informations nominatives sont organisés par "profil" : assistant social, secrétaire, responsable de service, etc… Il arrive même que l’assistant social ne soit pas habilité pour la suppression d'un dossier alors qu'il est en responsable personnellement.

De plus, ces habilitations sont organisées et attribuées "a priori" par l'institution sans que l'assistant social responsable de la confidentialité des dossiers ait donné son accord, alors que le travail et les actes posés par d'autres sont accomplis sous sa responsabilité. Il est à craindre que l’assistant social ne sera plus en mesure d'assumer sa propre responsabilité vis à vis de l'usager, d'autant plus que celle-ci se trouve, en l'occurrence, engagée malgré lui.

Nous demandons que des mesures soient prises pour remédier aux dysfonctionnements constatés en matière d’habilitations afin de garantir aux travailleurs sociaux la maîtrise sur l'information nominative dont ils sont dépositaires et sur son partage.

Dans sa délibération du 8 juillet 1999, la CNIL précise : "les procédures d’habilitation doivent être définies en concertation avec les assistants sociaux et doivent être conçues pour assurer un accès différencié aux informations, sous forme de codes d’identification et d’accès personnalisés. La concertation sur la définition des procédures d'habilitation n'a toujours pas eu lieu, et nous la demandons.

2 – Les champs à saisie obligatoire

Nous demandons le retrait de tout champ à saisie obligatoire, hormis les champs exigés pour établir la cohérence de l'information traitée afin d'assurer son intégrité, donc sa qualité et sa pertinence. Les champs à saisie obligatoire imposent l’obligation de saisie et subordonnent l'action du travailleur social à l'informatisation des données.

Dans sa délibération du 8 juillet 1999, la CNIL confirme bien le fait que l’assistant social est seul à même d’apprécier la nature des informations à faire figurer dans le dossier : "la saisie de ces informations ne peut présenter un caractère systématique".

Ce principe laisse aux assistants sociaux une marge de manœuvre pour constituer les dossiers des usagers dans le respect de règles déontologiques.

Pourtant, dans sa note du 18 novembre 1999, la CNAMTS précise : "Des données minimum sont obligatoires pour permettre l'ouverture et la constitution d'un dossier en faveur d'un bénéficiaire ; leur liste a été fournie à la CNIL. Toutes les informations utiles et nécessaires à la mise en œuvre du plan d'aide doivent être saisies : l'assistant social ne doit pas compromettre en n'enregistrant pas certaines informations, l'attribution d'une prestation ou d'un service prévu dans le cadre de ce plan d'aide en faveur du bénéficiaire. Il faut d'ailleurs rappeler que, conformément à l'éthique de sa profession, et dans le cadre du contrat de travail qui le lie au Directeur de la CRAM ou de la CGSS, l'assistant social doit mettre en œuvre tous les moyens nécessaires à la réalisation de sa mission d'aide à des personnes en difficulté, et respecter les obligations légales et réglementaires (ex. signalement des personnes en danger, réalisation de rapports de situation sociale). Ainsi donc, pour la CNAMTS, ce caractère non systématique ne peut en aucune manière avoir pour but de laisser croire que les assistants sociaux salariés de l'institution, ont toute liberté pour saisir ou non des données dans A.NA.I.S.S., alors qu'auparavant ils étaient tenus de remplir des dossiers papier et s'y employaient En outre, la compétence de l'assistant social pour apprécier la nécessité de compléter les informations portées à sa connaissance, ne saurait avoir pour objectif ou conséquence, de mettre en jeu la responsabilité de l'organisme employeur, ni de faire obstacle à sa mission de protection sociale".

Nous ne remettons pas en cause la notion de données minimales obligatoires (cf. ci-dessus point 2), ni le fait que certaines données sont utiles et nécessaires à la mise en œuvre d’un plan d’aide. Nous demandons la liberté de saisir ou non des données afin que la collecte de données ne soit pas excessive au regard des conditions d’attribution selon la situation particulière du bénéficiaire (cf. ci-après point 4).

L’assistant social est au service de l’usager dans le cadre des missions qui lui sont confiées. Il n’est pas juste de laisser penser que son action puisse faire obstacle à la mission de protection sociale mettant ainsi en jeu la responsabilité de son employeur.

Quant à souligner le contrat de travail qui lie l'assistant social à son institution, sans évoquer dans un même temps la délibération de la CNIL, cela n’est pas une façon correcte d’informer les personnels.

Rappelons pourtant que la circulaire technique CNAM du 15 avril 83, référencée SOC N°38/83 et intitulée "Secret professionnel des assistants de service social au sein des Caisses d'Assurance Maladie", indique, dans son annexe IV:
"ni les assistantes sociales, ni les médecins du travail ne sont des mandataires ou des représentants de leurs employeurs, encore moins des contrôleurs. Ce qui compte c'est l'objet de l'activité exercée, c'est le but qu'elle poursuit. Une première conséquence importante en découle. Même lorsqu'il s'agit de salariés, il n'existe pas de lien de subordination technique. Ces professionnels restent maîtres de leur technique. Leur employeur n'a pas à choisir ou à leur imposer leur méthode de travail. Ils agissent en toute indépendance et sous leur responsabilité… "
M. BLONDEL, Conseiller d'Etat.

Il ne saurait donc y avoir d'obligation systématique de saisie, tout particulièrement en ce qui concerne les données des catalogues "problèmes" et "objectifs" qui sont inadéquats aux finalités du traitement (cf. ci-après point 5).

3 – La sécurité

Il paraît important de rappeler que l'article 226-17 du code pénal précise de "prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés …".

A la question que nous avons posée au SCSSI : "Est-ce que les recommandations du Service Central de la Sécurité des Systèmes d'Information s'appliquent à un organisme de droit privé à vocation sociale exerçant une mission de service public ?", il a été répondu par le SCSSI : "Oui, les "recommandations" s'appliquent, il y a peut être des recommandations supplémentaires de votre ministère de tutelle."

Afin de préserver la sécurité des informations nominatives confidentielles contenues dans ANAISS, et notamment d’éviter qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés, il importe que soient, par exemple, réalisées :
- l’homologation des sites d'implantation en matière de sécurité des installations,
- une procédure de certification de l'application ANAISS.

Nous demandons l'ajournement de l'autorisation de télémaintenance, tant que les conditions de mise en œuvre de la sécurité ne répondront pas aux recommandations et spécifications éditées par le Service Central de la Sécurité des Systèmes d'Information (SCSSI) et aux recommandations de la CNIL. Aujourd'hui, les CRAM ne sont pas en mesure de garantir un tel niveau de sécurité : par exemple, à TOURS et dans d’autres départements de la région, la CRAM a purement et simplement fait déplacer pendant une semaine, fin 1997, les unités centrales des ordinateurs des travailleurs sociaux hors des locaux du service social pour installer la nouvelle version de l'application ANAISS, alors qu'elles contenaient des données nominatives confidentielles. Ce fait vient de se reproduire dans les mêmes conditions entre le 12 et le 18 mai 2000, alors qu’en 1997 cette erreur avait été signalée à la direction de la CRAM du Centre par les assistants sociaux.

Au vu de ces dysfonctionnements, il est nécessaire de geler, pour l'instant, toute possibilité d'utilisation de moyens de transmission à distance (tels que modem, etc.) tant que les CRAM ne sont pas en mesure d'appliquer les dispositifs de sécurité efficaces préconisés par la CNIL et le SCSSI, qui permettraient d'assurer la sécurité des données soumises au secret professionnel (art. 226-13 du code pénal).

4 – L’information des usagers

Nous rappelons que dans sa délibération du 8 juillet 1999, la CNIL a indiqué :
"tout assuré social demandeur d’une aide peut s’opposer à ce que des informations le concernant fassent l’objet d’un traitement automatisé d’informations nominatives", puis : "il doit être clairement informé de l’existence de son droit d’opposition, des conséquences éventuelles d’un refus à l’égard du traitement de sa demande, ainsi que les modalités d’exercice de son droit d’accès et de rectification à l’ensemble des renseignements mémorisés le concernant ; que la Commission devra avoir connaissance des dispositions pratiques"

Pour notre part, nous demandons que les CRAM réalisent une information écrite explicite à l'attention des usagers sur la nature des informations saisies, leurs finalités, leurs destinataires, leur durée de conservation ; les droits d'accès, de rectification et d'opposition des usagers.

Nous rappelons en outre que la loi de 1978, dans ses articles 15 et 26, précise l'obligation d'informer l'usager, au moment de la collecte des données, du caractère obligatoire ou facultatif des réponses.

Sur le terrain, plus de huit mois se sont écoulés, nous n'avons toujours pas connaissance des dispositions pratiques envisagées par la CNAM. Par contre, dans certains services, des informations non nécessaires à la simple édition de courriers sont saisies à l’occasion de signalements sans que la personne n’en soit informée. Les demandes d’aides financières transmises par des travailleurs sociaux d’autres institutions font l’objet d’une saisie sans que les services sociaux en question et le demandeur soient au courant de cette procédure.

L'usager ne peut accepter ou refuser l'inscription informatique des informations qu'il fournit que s'il est informé précisément des avantages et inconvénients de l'informatisation de son dossier, de ses droits. Lui transmettre cette information au bas d’une lettre, d’un imprimé ou afficher un " avis aux usagers " dans les salles d'attente n’est ni suffisant ni satisfaisant. Il y a contradiction entre les valeurs de clarté déclarées et l'insuffisance d'information donnée à l'usager en des termes compréhensibles par lui.

L'information de l'usager doit se faire dans un langage approprié, au cours d'un véritable dialogue, replaçant l'intervention sociale dans une espace de négociation entre l'usager et le travailleur social et dans le cadre d'un rapport institutionnalisé. La transparence et la capacité à expliquer pourquoi l'informatique est utilisée sont des actes de responsabilité. C’est reconnaître à l'usager la place de partenaire et faire acte de respect.

Pour ces raisons, nous demandons qu’une réflexion soit menée sur les modalités les plus adéquates du recueil de l’expression des usagers, concernant les informations qu'ils acceptent de voir transmettre à un service tiers : ces informations pourraient préciser par exemple le nom du destinataire, l'objectif de la transmission, la durée de la validité de l'autorisation, etc...

Enfin, nous demandons que soit facilité, pour les citoyens et/ou les organisations qui en font la demande, l’accès aux dossiers de demande d'avis préalable déposés à la CNIL par la CNAM, les CRAM et les CGSS car ces dossiers comportent le détail des données gérées et la mention des dispositifs de sécurité prévus.

5 – Les typologies sensibles

Nous demandons la suppression des typologies "sensibles" d'ANAISS, notamment celles qui figurent dans le catalogue "problèmes" et le catalogue "objectifs". En effet, ces typologies sont excessives, non pertinentes et inadéquates, tant pour une utilisation dans le cadre du dossier individuel que pour un traitement statistique : de nombreux items sont fortement subjectifs et réducteurs, comportant notamment des jugements de valeur à connotation péjorative sur les personnes (par exemple : "insatisfaction dans les relations sociales", "conflits interpersonnels", "difficulté d’exécution d’un rôle"), d'autres items recouvrent des situations variées appelant des réponses radicalement différentes, plusieurs relèvent de compétences distinctes de celles des assistants sociaux, ou nécessitant une approche pluridisciplinaire, etc.

Nous demandons la vérification systématique du caractère pertinent, adéquat et non excessif des toutes les catégories de données destinées à être enregistrées sur l'ensemble de l'application (informations juste nécessaires et suffisantes au regard des procédures concernées et des finalités considérées explicitement).

6 – Les statistiques

Nous demandons que la CNAM définisse précisément les objectifs et la finalité des statistiques qu'elle se propose de produire ; ces statistiques ne devraient pas être constituées à partir de données recueillies à d'autres fins. Ce qui implique :
- la nécessité de découpler à la source les données anonymisées enregistrées aux fins de statistiques d'activité (informations objectives) des données nominatives enregistrées dans le cadre des dossiers individuels ou familiaux.
- l'obligation de mettre en place un dispositif assurant l'anonymisation dès leur recueil des données saisies à des fins statistiques, conformément aux considérants énoncés par la délibération CNIL n°98-094 du 13 octobre 1998 (par exemple "utilisation de techniques dites de "hachage" ou de chiffrement des données").

Nous demandons que le recueil de données statistiques sur les motifs de recours au service social des CRAM (recueil effectué par les assistants sociaux en situation de travail quotidien d'aide aux usagers), ne puisse aller au-delà de catégories générales comme : problème de santé, problème de logement, problème de ressources, problème d'emploi …

Nous demandons que les études portant sur des données subjectives ou d'interprétation complexe, qui peuvent intéresser la CNAM pour contribuer à une réflexion stratégique sur ses politiques sociales, soient réalisées spécifiquement, avec la garantie d'anonymat, selon une méthodologie adaptée aux hypothèses à tester, et indépendamment de l'utilisation d'ANAISS.

Pour une institution, il est utile d’avoir connaissance de l’activité de ses services sociaux, afin de disposer de statistiques qui devraient permettre d’orienter et d’adapter les prestations aux besoins recensés des populations. Mais ceci est pertinent lorsque ces statistiques sont réalisées avec un esprit scientifique et en toute objectivité. Or, depuis des années les services sociaux des CRAM fournissent des dénombrements qui sont informatisés, sans qu’aucun retour sous forme d’exploitation statistique ne leur en a été fait. Ce n’est pas l’usage de l’informatique qui peut changer cet état de fait, mais une évolution dans la volonté d’exploiter les connaissances constituées.

7 – La formation

Nous demandons qu'il soit fait à la CNAM obligation d'assurer les formations nécessaires au personnel des services sociaux des CRAM :
- pour la compréhension de l’usage qui peut être fait de l'outil informatique et des précautions nécessaires liées à son utilisation en matière de respect des droits des personnes.
- pour la connaissance approfondie et le respect des textes qui régissent le recueil et l'utilisation d'informations nominatives confidentielles afin que puissent être élaborées les règles d'éthique indispensables à la manipulation des données sensibles.

8 – L’acte réglementaire

Enfin, nous demandons la modification de l'acte réglementaire du 10 décembre 1999 pris par le président du conseil d'administration de la CNAM, qui n'est pas conforme aux recommandations de la CNIL sur deux points :
- Concernant le secret professionnel, alors que la délibération n°94-063 du 28 juin 1994 cite l'article 226-13 du code pénal, l'acte réglementaire fait référence à l'article L. 161-29 du code de la Sécurité Sociale. Ce dernier article stipule que le personnel des organismes d'assurance maladie est soumis à l'obligation de secret dans les conditions de l'article 378 du code pénal (ancien C.P.). Mais le code de la sécurité sociale comporte aussi des dérogations aux dispositions qui les assujettissent au secret professionnel (articles L. 243-13 et 14). Or, les assistants sociaux sont soumis à l'article 226-13 du code pénal. Dans la délibération CNIL n°94-063 les visas respectaient la hiérarchie des textes, ce qui n'est pas le cas pour l'acte réglementaire CNAM du 10 décembre 1999. Celui-ci doit, selon nous, être modifié : l'article L. 161-29 du code de la Sécurité Sociale devrait y être remplacé par l'article n°226-13 du code pénal relatif au secret professionnel.
- Concernant l'accès aux données nominatives, alors que la délibération CNIL n°94-063 du 28 juin 1994 cite les dispositions de la circulaire A.S.S. n°107/87 du 23 février 1987, l'acte réglementaire, dans son article 4, n'y fait pas référence. Il serait utile que la dernière phrase du premier alinéa de l'article 4 de l'acte réglementaire soit complété par : "selon les dispositions de la circulaire A.S.S. n°107/87 du 23 février 1987."

ANIS - CNIL 22/01/98
ANIS - CNIL 03/03/98
ANIS - CNIL 03/06/98
ANIS - CNIL 15/09/98

ANAISS - CNIL 10/11/98
ANAISS - presse 29/05/00

Moselle - CNIL 10/04/99
Brochure
Conf. de presse 03/03/00
Le sommaire