Le terme « accédant », que n’utilise ni le RGPD, ni la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés mais qui a été créé par la doctrine, désigne, s’agissant d’un traitement automatisé de données mis en œuvre par une administration et encadré par un acte réglementaire, les personnes qui, au sein du responsable de traitement, seront appelées à effectuer les diverses opérations de traitement et, à ce titre, à accéder au système informatique en cause.

Les habilitations des différents accédants peuvent être définies par l’acte réglementaire, et ne se limitent généralement pas à la seule consultation des données mais incluent aussi l’enregistrement, la correction ou l’effacement des données. Par ailleurs, au sens de la réglementation, et notamment du RGPD, les « destinataires » sont les personnes à qui le responsable de traitement peut être amené à communiquer les données et sur lesquelles il doit fournir une information aux personnes concernées. En pratique, cette communication peut prendre plusieurs formes, qu’il s’agisse d’une transmission d’un extrait des données ou d’une simple faculté de consultation par un accès sécurisé au système informatique. Lorsqu’un projet de décret mentionne des personnes comme « accédants aux données » alors qu’elles ne seront pas seulement chargées de consulter les données mais également de décider de leur recueil, ce point doit être précisé pour éviter toute ambiguïté.

Il résulte du 1° du I de l'article R. 40‑29 du code de procédure pénale (CPP) que les agents habilités selon les modalités prévues au 1° du I de l'article R. 40‑28 peuvent consulter les données à caractère personnel figurant dans le traitement des antécédents judiciaires (TAJ), qui se rapportent à des procédures judiciaires closes ou en cours, sans autorisation du ministère public, dans le cadre des enquêtes prévues à l'article L. 114‑1 du code de la sécurité intérieure (CSI), applicable en particulier à l'instruction des demandes d'agrément des personnes chargées des visites de sûreté portuaire. Dès lors que l'article L. 5332‑8 du code des transports prévoit la possibilité que certains traitements automatisés de données à caractère personnel soient consultés au cours de l'enquête conduite par l'administration dans le cadre de ses pouvoirs de police, préalablement à la délivrance d'un agrément individuel, la circonstance que l'agent ayant procédé à cette consultation n'aurait pas été, en application des articles R. 40‑23, R. 40‑28 et du 1° du I de l'article R. 40‑29 du CPP, individuellement désigné et régulièrement habilité à cette fin, si elle est susceptible de donner lieu aux procédures de contrôle de l'accès à ces traitements, n'est pas, par elle‑même, de nature à entacher d'irrégularité la décision prise sur la demande d'agrément.

1) a) Politique d'habilitation pour les dossiers des patients informatisés (DPI) dans un hôpital. Est admissible un paramétrage du DPI prévoyant qu'un médecin peut consulter tout le dossier de ses patients, sans limite d'antériorité, à l'exception de séjours qui peuvent être paramétrés au sein du DPI en accès restreints, car présentant une sensibilité particulière pour la vie privée, ainsi que certains évènements futurs programmés à accès restreints. Un tel paramétrage répond à l'exigence de définir des droits en fonction du métier exercé au sein de la structure hospitalière en application de l'article L.1110-12 du Code de la santé publique et satisfait à l'exigence de protection de la confidentialité des données par une politique d'habilitation appropriée résultant de l' article 32 du RGPD.

b) N'est pas admissible, en revanche, le paramétrage qui prévoit que les médecins peuvent consulter les dossiers de tous les patients présents dans le DPI alors même qu'ils ne feraient pas partie de leur équipe de soins. Un tel paramétrage est contraire aux articles L.1110-4 et L.1110-12 du code de la santé publique, qui exigent que les habilitations tiennent compte de la notion d'équipe de soins.

2) a) Eu égard au volume et à la sensibilité des données traitées au sein du DPI, des contrôles réguliers de ces accès doivent être opérés, afin d'identifier ceux susceptibles d'être frauduleux ou illégitimes (par exemple un nombre trop élevé de dossiers consultés, ou un usage fréquent du mode « bris de glace » lorsqu'il est mis en place). Il est fortement recommandé d'exercer ces contrôles par le biais d'une analyse automatisée ou semi-automatisée, permettant de garantir la sécurité et la confidentialité des données à caractère personnel traitées.

b) L'absence de contrôle régulier des journaux d'accès au DPI, alors qu'il contient des données sensibles qui concernent un nombre important de personnes, constitue un manquement à l'article 32 du RGPD.

1) Au titre des mesures élémentaires de sécurité, il est en principe nécessaire que l'accès à un système d'information contenant des données à caractère personnel qui n'ont pas vocation à être publiées se fasse à travers un compte individuel, auquel l'utilisateur se connecte par un identifiant et un facteur d'authentification propres. En effet, seuls les comptes individuels permettent une bonne traçabilité des accès et des actions effectués sur le système. Les comptes partagés rendent beaucoup plus difficile l'imputabilité d'une action et compliquent le travail d'investigation en cas d'incident de sécurité ou de violation de données.

Par ailleurs, s'agissant des mots de passe, conformément aux règles élémentaires relatives à la sécurité des systèmes d'information, un mot de passe doit, pour être efficace, demeurer secret et individuel. Or, lorsqu'un compte est partagé entre plusieurs personnes, cette règle n'est plus respectée.

2) Cette exigence d'individualisation des comptes présente une acuité particulière s'agissant des administrateurs, qui disposent de droits plus étendus sur les données à caractère personnel traitées par le système, ce qui en fait des cibles d'attaque informatique et rend nécessaire de pouvoir détecter rapidement et efficacement une violation de données réalisée par l'un d'entre eux. À défaut, et en particulier lorsque des systèmes ou des équipements ne permettent pas de disposer de plusieurs comptes d'administration, des mesures complémentaires doivent être mises en œuvre pour assurer l'imputabilité des actions (ex.: bastion, main courante…) et assurer la protection du secret.

L'absence de telles mesures et/ou d'individualisation des comptes est susceptible de constituer un manquement à l'article 32 du RGPD.

En application des articles L.1110-4 et L.1110-12 du code de la santé publique et de la Politique générale de sécurité des systèmes d'information de santé élaborée par l'Agence du Numérique en Santé (PGSSI-S), le responsable de traitement d'un dispositif de Dossiers Patients Informatisés (DPI) doit mettre en place une politique d'habilitation rigoureuse et adaptée aux besoins de l'établissement, de sorte que chaque professionnel de santé et agent de l'établissement n'accède qu'aux dossiers dont il a à connaître. Cette politique d'habilitation doit combiner deux critères :

• d'une part, le métier exercé : ainsi, un agent responsable de l'accueil des patients dans la structure ne doit accéder qu'au dossier administratif du patient et non aux données médicales, alors qu'un médecin accèdera également aux données médicales ;

• d'autre part, la prise en compte de la notion d'équipe de soins, telle que définie par l'article L.1110-12 du code de la santé publique précité, afin que seuls les professionnels effectivement impliqués dans la prise en charge d'un patient ou dans les soins qui lui sont prodigués puissent avoir accès aux informations couvertes par le secret médical.

En outre, il est recommandé de prévoir des mesures de confidentialité renforcées pour certains dossiers particuliers (par exemple, les dossiers de patients provenant d'un établissement pénitentiaire).

Les habilitations accordées peuvent être complétées d'un mode « bris de glace », défini par le référentiel d'authentification des acteurs de santé de la PGSSI-S comme « l'attribution temporaire et exceptionnelle de droits étendus en situation de crise » ; cela permet tant aux agents administratifs qu'aux professionnels de santé, en cas d'urgence, d'avoir accès à d'autres données pour tout patient. L'utilisation de ce mode « bris de glace » doit être particulièrement bien tracée et surveillée afin que toute personne y ayant recours puisse être identifiée et justifier des conditions de son utilisation.

Le paramétrage d'un DPI ne permettant pas de limiter le recours en mode « bris de glace » aux situations exceptionnelles est susceptible de constituer un manquement à l'article 32 du RGPD.

En application des articles L.1110-4 et L.1110-12 du code de la santé publique et de la politique générale de sécurité des systèmes d'information de santé élaborée par l'Agence du Numérique en Santé (PGSSI-S), le responsable de traitement d'un dispositif dossiers patients informatisés (DPI) doit mettre en place une politique d'habilitation rigoureuse et adaptée aux besoins de l'établissement, de sorte que chaque professionnel de santé et agent de l'établissement n'accède qu'aux dossiers dont il a à connaître. Cette politique d'habilitation doit combiner deux critères :

• d'une part, le métier exercé : ainsi, un agent responsable de l'accueil des patients dans la structure ne doit accéder qu'au dossier administratif du patient et non aux données médicales, alors qu'un médecin accèdera également aux données médicales ;
• d'autre part, la prise en compte de la notion d'équipe de soins, telle que définie par l'article L.1110‑12 du code de la santé publique précité, afin que seuls les professionnels effectivement impliqués dans la prise en charge d'un patient ou dans les soins qui lui sont prodigués puissent avoir accès aux informations couvertes par le secret médical.

En outre, il est recommandé de prévoir des mesures de confidentialité renforcées pour certains dossiers particuliers (par exemple, les dossiers de patients provenant d'un établissement pénitentiaire).

Les habilitations accordées peuvent être complétées d'un mode « bris de glace », défini par le référentiel d'authentification des acteurs de santé de la PGSSI-S comme « l'attribution temporaire et exceptionnelle de droits étendus en situation de crise ». Ce mode permet tant aux agents administratifs qu'aux professionnels de santé, en cas d'urgence, d'avoir accès à d'autres données pour tout patient. L'utilisation de ce mode « bris de glace » doit être particulièrement bien tracée et surveillée afin que toute personne y ayant recours puisse être identifiée et justifier des conditions de son utilisation.

Le paramétrage d'un DPI ne permettant pas de limiter le recours en mode « bris de glace » aux situations exceptionnelles est susceptible de constituer un manquement à l'article 32 du RGPD.

Il résulte du 1° du I de l'article R. 40‑29 du code de procédure pénale (CPP) que les agents habilités selon les modalités prévues au 1° du I de l'article R. 40‑28 peuvent consulter les données à caractère personnel figurant dans le traitement des antécédents judiciaires (TAJ), qui se rapportent à des procédures judiciaires closes ou en cours, sans autorisation du ministère public, dans le cadre des enquêtes prévues à l'article L. 114‑1 du code de la sécurité intérieure (CSI), applicable en particulier à l'instruction des demandes d'agrément des personnes chargées des visites de sûreté portuaire.

Dès lors que l'article L. 5332‑8 du code des transports prévoit la possibilité que certains traitements automatisés de données à caractère personnel soient consultés au cours de l'enquête conduite par l'administration dans le cadre de ses pouvoirs de police, préalablement à la délivrance d'un agrément individuel, la circonstance que l'agent ayant procédé à cette consultation n'aurait pas été, en application des articles R. 40‑23, R. 40‑28 et du 1° du I de l'article R. 40‑29 du CPP, individuellement désigné et régulièrement habilité à cette fin, si elle est susceptible de donner lieu aux procédures de contrôle de l'accès à ces traitements, n'est pas, par elle‑même, de nature à entacher d'irrégularité la décision prise sur la demande d'agrément.

Les visites de sûreté portuaire sont donc maintenues. L'absence d'habilitation ne constitue pas un motif de refus.

Cas d'un traitement de l'État permettant d'enregistrer des informations sur les ressortissants français et leurs ayants droit ainsi que documents relatifs à une situation de crise à l'étranger en vue d'en faciliter la gestion et d'informer et associer les personnes concernées.

1) Une fois que les données ne sont plus utilisées dans le cadre de la gestion opérationnelle liée à l'événement survenu à l'étranger ou pour réaliser les statistiques prévues, il est recommandé de mettre en place un archivage intermédiaire afin de limiter la consultation de ces données à des personnes spécifiquement habilitées. Eu égard à l'écart entre la durée d'utilisation opérationnelle des données et le délai de conservation en base intermédiaire (10 ans), le principe d'un tel archivage intermédiaire devrait, dans l'espèce, être inscrit dans le décret portant création du traitement, à titre de garantie apportée aux personnes concernées.

2) S'agissant de l'archivage définitif au titre de l'application des règles régissant les archives publiques issues du code du patrimoine, un acte réglementaire régissant un traitement public réserve toujours implicitement l'application des obligations du code du patrimoine et l'archivage définitif n'a pas besoin d'être expressément prévu par l'acte réglementaire.

Le terme « accédant », que n’utilise ni le RGPD, ni la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés mais qui a été créé par la doctrine, désigne, s’agissant d’un traitement automatisé de données mis en œuvre par une administration et encadré par un acte réglementaire, les personnes qui, au sein du responsable de traitement, seront appelées à effectuer les diverses opérations de traitement et, à ce titre, à accéder au système informatique en cause. Les habilitations des différents accédants peuvent être définies par l’acte réglementaire, et ne se limitent généralement pas à la seule consultation des données mais incluent aussi l’enregistrement, la correction ou l’effacement des données.

Par ailleurs, au sens de la réglementation, et notamment du RGPD, les « destinataires » sont les personnes à qui le responsable de traitement peut être amené à communiquer les données et sur lesquelles il doit fournir une information aux personnes concernées. En pratique, cette communication peut prendre plusieurs formes, qu’il s’agisse d’une transmission d’un extrait des données ou d’une simple faculté de consultation par un accès sécurisé au système informatique.

Lorsqu’un projet de décret mentionne des personnes comme « accédants aux données » alors qu’elles ne seront pas seulement chargées de consulter les données mais également de décider de leur recueil, ce point doit être précisé pour éviter toute ambiguïté.

Le I de l’article 26 de la loi n°78‑17 du 6 janvier 1978 dans sa rédaction applicable et le deuxième alinéa de l’article 84 du décret n°2005‑1309 du 20 octobre 2005, qui constituent des garanties pour toute personne dont les données nominatives font l’objet du traitement en cause, mais aussi pour le gestionnaire du fichier et pour ses utilisateurs, pour lesquels la limitation d’accès des personnes qualifiées garantit la confidentialité et l’intégrité du fichier concerné, implique que toutes les personnes participant à des vérifications à la demande de la CNIL disposent de cette habilitation spécifique, soit que les vérifications ordonnées aient pour objet un traitement relevant de l’article 26 de la loi du 6 janvier 1978, soit que les agents découvrent des données issues d’un traitement de ce type alors que de telles données n’étaient pas initialement visées par les vérifications.

Toutefois, dans ce dernier cas, la Régularité des opérations de vérification ne sera pas viciée si le procès‑verbal contradictoire des opérations signé par les agents et du représentant de la personne objet de la vérification atteste que les agents dépourvus de l’habilitation requise ont immédiatement cessé de participer aux opérations de vérification.