Par olivier.poinsot le 26/07/16

Le Défenseur des droits a adopté une décision MSP-2016-148 du 7 juin 2016 relative à un dispositif de vidéosurveillance au sein d’une maison d’accueil spécialisé (MAS).

 

 

 

Le Défenseur des droits a été saisi, par la mère et tutrice d'un résident de MAS, d’une réclamation concernant les conditions de prise en charge de son fils majeur. En effet, était en cause l'utilisation d’un dispositif de vidéosurveillance au sein de la MAS ainsi que dans la chambre du résident, dispositif auquel la tutrice n’avait pas consenti et qu’elle estimait attentatoire à l’intimité de la vie privée.

Au terme de l'instruction de cette réclamation, le Défenseur des droits :

- a recommandé à la direction de l’établissement d’adopter sans délai toutes les mesures propres à satisfaire aux exigences légales en la matière, en cessant les pratiques illégales, en sollicitant les autorisations requises, en informant les personnes concernées et en adoptant un usage de la vidéosurveillance raisonné et respectueux de la vie privée ;

- a demandé à la direction de l’établissement, sans préjudice le cas échéant d’une transmission au procureur de la République, de rendre compte des suites données à ses recommandations dans un délai impératif de deux mois à compter de la notification de sa décision ;

- a recommandé à la Ministre des Affaires sociales et de la Santé de rappeler les exigences légales relatives aux dispositifs de vidéosurveillance aux établissements sanitaires et médico-sociaux ;

- a adressé copie de sa décision, pour information, au directeur général de l'organisme gestionnaire, au directeur général de l'Agence régionale de santé (ARS), à la Présidente de la Commission nationale de l'informatique et des libertés (CNIL), au Préfet, à la Fédération hospitalière de France (FHF), à la Fédération des établissements hospitaliers et d'aide à la personne privés non lucratifs (FEHAP), à la Fédération hospitalière privée (FHP), à l’Agence nationale d'évaluation sociale et médico-sociale (ANESM) et à la Haute autorité de santé (HAS). 

La lecture de cette décision intéressera les directrices et directeurs d'établissement et de service social et médico-social (ESSMS), en particulier pour prendre connaissance de l'analyse juridique que contient la recommandation annexée et dont voici les passages les plus importants :

Sur l’absence d’autorisations légales concernant le dispositif de vidéosurveillance

Dans les lieux ouverts au public, c’est-à-dire les lieux accessibles à toute personne tels les abords d’une maison d’accueil spécialisée, l’usage de la vidéosurveillance est régi par le Code de la sécurité intérieure (article L. 251-1 à L. 255-1). L’installation de caméras n’est ainsi possible qu’après obtention d’une autorisation préalable délivrée par la préfecture. Le responsable du dispositif doit ensuite en déclarer la mise en service auprès de l’autorité préfectorale. L'autorisation est délivrée pour une durée de 5 ans renouvelable. L’utilisation d’un tel dispositif sans autorisation est illégale et susceptible d’être punie de 3 ans d’emprisonnement et de 45 000 euros d’amende, sans préjudice des dispositions du Code pénal et de Celles du code du travail.

Les caméras installées dans les lieux dont l’accès est strictement limité sont, quant à elles, soumises aux dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et doivent faire l’objet d’une déclaration préalable auprès de la CNIL.

Ainsi, en cas de mise en place d’un système de vidéosurveillance permettant l’enregistrement des images en milieu hospitalier ou médico-social, une déclaration doit être effectuée auprès de la CNIL. L’autorisation de vidéosurveillance délivrée par la CNIL est valable de manière permanente tant que le site fonctionne. L’article 226-18 du Code pénal sanctionne le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite par une peine de cinq ans d'emprisonnement et de 300 000 euros d'amende.

En l’espèce, la demande d’autorisation préfectorale effectuée en 2009 par la direction de l’établissement a été suivie d’une demande de pièces complémentaires restée sans réponse. La déclaration auprès de la CNIL n’a pas été effectuée. Le dispositif de vidéosurveillance par la MAS est donc mis en œuvre illégalement.

Sur l’absence d’information et de consentement des personnes concernées par le dispositif de vidéosurveillance

Les personnes concernées doivent être informées par un panneau affiché de façon visible de l’existence du dispositif, de son responsable et des modalités concrètes d’exercice de leur droit d’accès aux enregistrements visuels les concernant.

En principe, le délai de conservation des images ne peut être supérieur à un mois en l’absence de procédure judiciaire. Le refus d’accès ne peut résulter que de motifs tenant à la sûreté de l’Etat, à la défense ou à la sécurité publique.

L’importance de l’information des personnes concernées s’explique par la primauté accordée au respect de la vie privée (article 9 alinéa 1 du Code civil). L’article 226-1 2° du Code pénal sanctionne ainsi par un an d'emprisonnement et 45 000 euros d'amende les atteintes à la vie privée par la voie de l’image, l’infraction étant constituée lorsque l’image d’une personne est fixée, enregistrée ou transmise, sans son consentement, alors qu’elle se trouve dans un lieu privé.

Concernant plus précisément les personnes prises en charge par des établissements et services sociaux et médico-sociaux, l’article L. 311-3 du Code de l’action sociale et des familles dispose également que le respect de leur dignité, de leur intégrité, de leur vie privée et de leur intimité doit être assuré.

Il est à noter, à titre comparatif, que l’emploi de la vidéosurveillance en milieu hospitalier, bien que courant, ne concerne généralement que les parties communes des établissements, tels les couloirs, les issues de secours, l’accueil, le quai de livraison, l’entrée principale et les accès aux zones sensibles (maternité et pharmacie par exemple). En revanche, le fait de filmer un patient dans sa chambre pour des raisons de sécurité se heurte aux restrictions légales et n’est pas autorisé sans son consentement.

Enfin le dernier alinéa de l’article 226-1 du Code pénal établit une présomption de consentement de la personne si les actes susceptibles de porter atteinte à l’intimité de la vie privée d’autrui ont été accomplis au vu et au su des intéressés, ce qui implique que la personne soit en mesure de s’y opposer en raison de sa compréhension de la situation. Tel ne peut être le cas d’un mineur ou d’un majeur protégé ou encore d’une personne majeure momentanément privée de ses facultés par maladie, accident ou par quelque autre cause. Ainsi, selon le cas, le consentement de l’intéressé, du titulaire de l’autorité parentale ou du tuteur doit être obligatoirement sollicité. En l’absence de telles autorisations préalables, il ne saurait être fait usage de la vidéosurveillance pour filmer un résident à son insu.

Par ailleurs, les salariés ont droit au respect de leur vie privée et doivent être informés de la mise sous vidéosurveillance de leur lieu de travail (articles L. 1221-9 et L. 1222-4 du Code du travail).

Les instances représentatives du personnel doivent aussi être informées et consultées avant toute décision d’installer des dispositifs de vidéosurveillance de nature à capter et enregistrer des images des salariés sur le lieu du travail (article L. 2323-32 du Code du travail). En l’espèce, il apparaît que les résidents ainsi que leurs familles ou les salariés, n’ont pas reçu l’information qui s’imposait lors de la mise en place du dispositif de vidéosurveillance. Les résidents ou leurs représentants légaux, pas plus que les salariés, n’ont dès lors pu consentir à cette atteinte ainsi caractérisée à leur vie privée.

Sur l’usage abusif de la vidéosurveillance

Il ressort des éléments communiqués et des constatations opérées lors de la vérification sur place, que de nombreuses personnes avaient accès aux images enregistrées.

Or, seules des personnes habilitées, tel le directeur de l’établissement ou des professionnels formés et sensibilisés aux règles en matière de vidéosurveillance, auraient dû pouvoir visionner de telles images pour les nécessités de leurs fonctions, à supposer que de telles images aient été légalement captées, enregistrées et conservées, ce qui n’était pas le cas.

Au surplus, la durée de la captation et de l’enregistrement des images – spécialement celles concernant les chambres de résidents de l’établissement – ne devrait recouvrir que les plages de temps strictement nécessaires à la réalisation de l’objet pour lequel le dispositif est mis en place, sans pouvoir s’exercer de façon continue en l’absence d’un motif légitime. Ainsi, si un tel dispositif peut, à certains égards, trouver sa justification dans un objectif de sécurité des personnes, il ne saurait – notamment au cours de la journée – se substituer à la surveillance physique exercée par les professionnels de l’établissement. "

 

 

 

 

 
Par olivier.poinsot le 28/06/16

Au JO du 28 juin 2016 a été publiée la délibération de la Commission nationale informatique et liberté (CNIL) n° 2016-175 du 9 juin 2016 portant autorisation unique relative aux traitements de données à caractère personnel mis en œuvre par les mandataires judiciaires à la protection des majeurs, ayant pour finalités la gestion et le suivi de la représentation juridique, de l'assistance et du contrôle des personnes placées par l'autorité judiciaire sous sauvegarde de justice, curatelle, tutelle ou mesure d'accompagnement judiciaire (AU-050).

 

 

La CNIL retient que les traitements de données à caractère personnel mis en œuvre dans le cadre des différentes missions confiées aux mandataires judiciaires à la protection des majeurs (MJPM) sont susceptibles de porter sur des « données sensibles » au sens de l'article 8 de la loi du 6 janvier 1978 modifiée, sur des données relatives à des infractions, condamnations ou mesures de sûreté, sur des données comportant des appréciations sur les difficultés sociales des personnes ainsi que sur le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques.

Dès lors, le traitement informatique de ces informations doit faire l'objet d'une mesure d'autorisation par la Commission. toutefois, les MJPM peuvent satisfaire à leurs obligations en ne faisant à la CNIL qu'une déclaration de leurs traitements informatiques, à condition qu'ils l'assortissent d'un engagement de conformité à la délibération prise par la Commission. C'est ce que la loi informatique et libertés désigne sous l'expression d'autorisation unique.

L'engagement de conformité attendu doit porter sur le respect des termes de la délibération adoptée par la CNIL. Concrètement, cela signifie que les traitements déclarés par les MJPM ne peuvent poursuivre que les finalités suivantes :

- la gestion et le suivi de la représentation juridique, de l'assistance et du contrôle des personnes placées par l'autorité judiciaire sous sauvegarde de justice, sous tutelle, sous curatelle ou sous mesure d'accompagnement judiciaire ;

- la gestion administrative et comptable du service de sauvegarde juridique, de tutelle, de curatelle ou de la mesure d'accompagnement judiciaire.

En particulier, doivent être exclus :

- les traitements mis en œuvre par les mandataires familiaux, lesquels sont néanmoins tenus de rendre compte de l'exécution de leur mandat à la personne protégée et à l'autorité judiciaire ;

- les traitements mis en œuvre dans le cadre des mandats de protection future ;

- les traitements mis en œuvre aux fins de gestion et de suivi des personnes mineures, notamment dans le cadre de la prévention et la protection de l'enfance ;

- les traitements mis en œuvre pour le compte de l'Etat, d'une personne morale de droit public ou d'une personne morale de droit privé gérant un service public, dès lors que ceux-ci portent sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques.

Les données qui peuvent faire l'objet de traitements par les MJPM sont :

- les données d'identification et, le cas échéant, celles relatives à leurs conjoints et enfants : noms, prénoms, adresses, date et lieu de naissance, photographie, extraits d'acte d'état civil ;

- les données relatives à leur vie personnelle : situation familiale, adresse de résidence et fiscale, type d'hébergement, habitudes de vie et alimentaires, relations avec les tiers, compte rendu de visite à domicile, lieu de vie, correspondances, régime matrimonial ;

- les données relatives à leur vie professionnelle : curriculum vitae, situation professionnelle, scolarité, formation, distinctions, bulletins de salaires et de retraite, contrat de travail ;

- les données liées aux démarches effectuées pour l'ouverture des droits pour le compte des personnes protégées et, le cas échéant, les données de connexion associées aux services en question ;

- les données relatives à des informations d'ordre économique et financier : coordonnées bancaires du bénéficiaire, revenus, situation financière, dépenses, recettes, contrôle du budget, taux d'endettement, patrimoine immobilier, agence bancaire, épargne, biens mobiliers.

Au regard des missions confiées par le juge des tutelles, les mandataires judiciaires à la protection des majeurs peuvent être amenés à collecter d'autres données à caractère personnel dès lors qu'elles s'avèrent strictement nécessaires à l'exercice du mandat confié.

La durée de conservation des données, à l'échéance des mesures suivies par les MJPM, est de cinq ans.