Ethique et législation

Le cadre juridique
Loi du 6 janvier 1978
Droit des personnes
Formalités préalables
Obligations
Réglementations propres au social et au médico-social
Contrôle de l'accès logique au système
Secret professionnel
Historique
Les limites du cadre actuel

« Aucun traitement automatisé d'informations nominatives ne peut être mis en oeuvre sans que des formalités préalables n'aient été accomplies auprès de la CNIL. »

L'informatique n'est pas un outil anodin. Il permet de recenser un nombre infini d'informations, de les communiquer et de les conserver sans limite. Pour protéger les individus des dérives, des lois et des institutions existent. En France, la CNIL, Commission Nationale Informatique et Liberté, est l'autorité qui surveille le respect des droits et des obligations concernant la protection des individus face aux dangers liés à la multiplication des fichiers informatisés.

Pour respecter ces dispositions légales, les établissements et les associations qui se dotent de bases de données doivent les déclarer auprès de la CNIL. Ainsi les logiciels Dossier, Facturation et Suivi et activité doivent faire l'objet d'une « demande d'avis », qu'il agisse d'un établissement, d'une association de droit privé, d'un organisme public ou d'une collectivité territoriale car la mission est effectuée dans le cadre d'un service public.

Les personnes responsables de la base de données doivent demander un dossier auprès de la CNIL, et lui adjoindre le dossier complémentaire fourni par Troizaire spécifiant les particularités des bases de données contenues dans Nemo.

Le cadre juridique

L'informatisation s'inscrit dans un cadre juridique qui vise à protéger les personnes privées, les bénéficiaires de l'action sociale.

le titre III, code de la famille et de l'aide sociale,
la loi du 3 janvier 1979 sur les archives,
la loi du 6 janvier 1978 sur l'informatique et liberté.
la convention n° 108 du Conseil de l'Europe du 28 janvier 1981.

Ces quatre textes forment le cadre législatif dans lequel se construit un système d'information qu'il s'agisse de document papier, de dossiers, de notes semi-personnelles ou d'informations sur support magnétique. Le premier concerne le droit des usagers à l'accès à leur dossier, le second les conditions d'oubli et de conservation des informations, le troisième les supports informatiques, le troisième concerne spécifiquement les traitements informatisés. La protection des usagers, pour être cohérente, doit être appréhendée à partir de l'ensemble de ces textes, et non uniquement à partir de l'informatique.

Loi du 6 janvier 1978

Les gardes-fous mis en place par la société pour protéger les individus des dérives de l'automatisation sont consignés dans la loi informatique et libertés du 6 janvier 1978, principale loi régissant les relations des individus à l'informatique. Au niveau international, la Convention n°108 du Conseil de l'Europe, ratifiée par de nombreux pays dont la France, prolonge la portée de cette loi.

La loi du 6 janvier 1978 reconnaît un certain nombre de droits des individus et d'obligations des institutions, organismes et personnes recueillant des informations :

Droit des personnes

Droit à l'information : pour connaître la création et l'utilisation des fichiers concernant la personne.
Droit de curiosité : pour permettre à la personne d'accéder aux données la concernant.
Droit d'accès direct : pour permettre à la personne d'obtenir la communication des informations la concernant.
Droit d'accès indirect : pour des données particulières comme des données médicales, la loi prévoit l'intervention d'un intermédiaire (comme un médecin) entre l'organisme détenteur des informations et la personne concernée.
Droit de rectification : la personne peut obtenir des corrections si elle constate des erreurs la concernant.
Droit d'opposition : en cas de justification légitime, une personne peut s'opposer à son fichage.
Droit à l'oubli : pour que des informations puissent ne pas suivre une personne à vie.

Le respect de ces droits passe par la soumission aux obligations édictées par la loi. Ces obligations concernent les personnes responsables et utilisatrices des fichiers.

Formalités préalables

Le responsable du fichier déclare à la CNIL ses intentions d'utilisation concernant le fichier (finalité, informations enregistrées, durée de conservation des informations, utilisateurs, modalité d'accès pour les personnes fichées, etc ;) en envoyant à la CNIL un dossier détaillé.

Obligations

Parmi les obligations qui pèsent sur les responsables des fichiers, on trouve :

Ne pas substituer l'ordinateur à l'homme pour la prise de décision
S'assurer que le traitement ne fait pas l'objet d'un détournement de finalité
S'assurer que les informations sensibles (race, opinions, moeurs, condamnations pénales, etc) sont recueillies conformément à la loi et que le numéro de sécurité sociale n'est pas utilisé sans autorisation
Les informations ne doivent pas être conservées au-delà de la durée prévue, elles doivent être mises à jour quand elles sont périmées et les tiers qui auraient pu y avoir accès doivent être informés de cette mise à jour
Les traitements doivent faire l'objet d'une sécurité optimale afin qu'aucun détournement ne puisse avoir lieu
Les informations ne doivent pas être communiquées à des personnes non autorisées
Les droits des personnes doivent être respectés (droit d'opposition, droit d'accès, droit de rectification, droit à l'oubli, etc).

Contrôle de l'accès logique au système

La base de données créée à partir de NEMO est gérée par le S.G.B.D. ACCESS. Elle est livrée protégée. Seul le fournisseur de logiciels connaît le code d'accès permettant d'accéder à la base de données sans l'application NEMO. Ce code d'accès est conservé sur les copies des programmes sources déposés à l'Agence de Protection des Programmes.

Les données ne sont accessibles qu'à travers les logiciels NEMO. L'application n'est accessible qu'à travers des mots de passe utilisateurs, obligatoires et individuels. Un mot de passe identifie un utilisateur et détermine les écrans accédés par grandes fonctions. Le principe est : accès autorisé ou interdit à l'ensemble des écrans de la fonction.

Secret professionnel

Les informations gérées dans les logiciels NEMO « Dossier », « Facturation » et « Suivi et activité » concernent les personnes prises en charge par l'institution. Elles sont légalement protégées :

en ce qui concerne les professionnels concourant aux missions de l'institution par :

les articles 80, 81 et 225 du Code de la Famille et de l'Aide Sociale,
les articles 226-13 et 226-14 du Code Pénal.
En ce qui concerne les informaticiens accédant à ces informations dans le cadre d'interventions techniques par : l'article 378 du code pénal.

Historique

L'action sociale

L'informatique dans l'action sociale est un des domaines les plus concernés par les lois informatique et libertés de part les informations nominatives traitées concernant les demandeurs ou bénéficiaires d'action sociale et leurs familles.

Les informaticiens de l'action sociale ont une tradition de respect de la lois informatique et libertés et de travail avec la C.N.I.L., depuis les projets AUDASS, GAMIN, premières applications ayant fait l'objet d'un avis défavorable. Les plus grands projets font l'objet d'un travail préalable avec la C.N.I.L. D'une manière générale, les concepteurs intègrent une connaissance de la loi informatique et libertés et pratiquent une « auto » limitation des informations gérées. Il est moins coûteux d'anticiper sur la protection des données, que d'être obligé de modifier un progiciel terminé. L'informatique de l'action sociale gère un grand nombre d'informations par dossier, beaucoup plus que tout autre domaine et comprend souvent des traitements complexes, pour parvenir à des paiements de prestations. Dans un tel contexte, toute information superflue a peu de chance de pouvoir être utilisée.

Les utilisateurs de l'action sociale, responsables, décideurs ou utilisateurs direct, ont une attitude plus diversifiée.

Les grandes institutions et collectivités territoriales, effectuent régulièrement les déclarations de traitements et respectent les déclaration, en tout les cas dans les fonctionnalités des logiciels, et dans la description des base de données. Certains peuvent argumenter que compte tenu du faible nombre d'interventions de la C.N.I.L., l'effectivité du respect n'est pas prouvé.

Dans leur utilisation quotidienne, les traitements automatisés de données nominatives peuvent se retrouver en infraction ou en divergence par rapport à la loi informatique et liberté sur trois aspects, qui nécessité une évaluation régulière.

L'archivage et l'épuration des informations et dossiers :

Combien de base de données d'action sociale ne sont pas régulièrement épurés, parce que ...

la secrétaire préfère garder les données au cas où....
les traitements d'archivage ne sont pas vraiment opérationnel (c'est ce que l'on fait en dernier).
les traitements d'archivage sont trop lourd, on le fera demain...

Les transferts de données ou interconnexion de fichiers

sont en principe décrits de façon exhaustive dans la déclaration. L'évolution des dispositifs d'action sociale, de la législation ou simplement de l'organisation du travail, implique souvent des modifications d'interface ou de nouveaux interfaces. Ceux-ci font rarement l'objet de nouvelle déclaration. Un respect à la lettre de toute déclaration d'interface et de toute évolution, serait lourd et inopérant.

L'informatique est un objet vivant, évolutif, intégré dans la vie et le changement quotidien d'une institution. L'approche déclarative des traitements automatisés d'informations nominatives ne correspond qu'à un des aspects de la protection des informations nominatives.

Dans les petites collectivités, les établissements et associations le nombre de déclarations semble bien inférieur au nombre de progiciels vendus. La loi informatique et libertés est méconnue, les procédures de déclaration de fichier trop complexes.

Les limites du cadre actuel

L'approche par « traitement automatisé » implique une déclaration par application. Cela est pertinent lorsqu'il s'agit de traitement de type gestion des demandes d'aides, gestion des repas à domicile, paiement d'une aide financières, etc. L'évolution actuelle de l'informatique : la multiplication des micro ordinateurs, les réseaux locaux, l'utilisation de traitement de texte laisse dans l'ombre toute une partie des informations nominatives informatisées. Qui se soucie de déclarer une gestion de fichier effectuée par un service pour suivre les enfants accueillis à la journée par des assistantes maternelles, de savoir comment sont protégés les accès aux documents word contenant des rapports d'enquête sociales, des contenus d'entretien pour des demandes d'adoption... informations nominatives sensibles et par excellence. L'information sur ces questions doit plus que jamais se faire, et chaque acteur, responsable ou utilisateur, se doit d'être vigilent sur le traitement de l'information dans le travail et sur la confidentialité des données.

Pour toute demande de dossier et d'informations complémentaires, consultez le site de la C.N.I.L. http://www.cnil.fr

et quelques autres sites : - http://Legifrance.gouv - http://Admi.net - http://Droit.org