| N° de demande d’avis : 25010262 | Thématiques : fonds d’indemnisation, amiante |
| Organisme(s) à l’origine de la saisine : ministère du travail, de la santé, des solidarités et des familles | Fondement de la saisine : article 53 de la loi n° 2000-1257 du 23 décembre 2000 modifiée |
L’essentiel :
Le fonds d’indemnisation des victimes de l’amiante (FIVA) est autorisé à requérir des organismes locaux du régime général d’assurance maladie (CPAM) et de la Caisse centrale de la Mutualité sociale agricole (CCMSA) la communication des données à caractère personnel permettant d’identifier les éventuels bénéficiaires d’une réparation des préjudices causés par une exposition à l’amiante.
La CNIL relève que les personnes concernées seront informées directement par leur organisme de prise en charge, en application de l’article 13 du RGPD, en amont de la transmission de leurs données au FIVA. Elles ne pourront s’opposer au traitement de leurs données par le FIVA qu’après la première communication avec celui-ci.
La CNIL invite le ministère à rappeler aux responsables des traitements que les modalités de stockage des données à caractère personnel doivent assurer la stricte confidentialité de celles-ci.
La Commission nationale de l’informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (« loi informatique et libertés ») ;
Vu la loi n° 2000-1257 du 23 décembre 2000 modifiée de financement de la sécurité sociale pour 2001, notamment son article 53 ;
Sur proposition de M. Philippe Latombe, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :
I. – La saisine
A. – Le contexte
L’article 53 de la loi n° 2000-1257 du 23 décembre 2000 modifiée de financement de la sécurité sociale pour 2001 (ci-après « LFSS 2001 modifiée ») a instauré un droit à la réparation intégrale des préjudices causés par une exposition à l’amiante. Pour ce faire, il a créé un fonds d’indemnisation des victimes de l’amiante (FIVA), établissement public administratif chargé de la mission d’indemnisation.
Au regard des marges d’amélioration du taux de recours à ce dispositif par les personnes éligibles, une politique proactive d’identification et de contact des potentielles victimes a été mise en œuvre. Aussi, une mission d’identification des personnes pouvant obtenir la réparation intégrale de leur préjudice a été conférée au FIVA par l’article 89 de la loi n° 2023-1250 du 26 décembre 2023 de financement de la sécurité sociale pour 2024.
A ce titre, il autorise le FIVA à requérir de différents services publics la communication des informations et données à caractère personnel permettant d’identifier les éventuels bénéficiaires d’une réparation.
B. – L’objet de la saisine
Le projet de décret en Conseil d’Etat soumis pour avis à la CNIL crée un traitement qui a pour finalités de permettre au FIVA, responsable du traitement qu’il met en œuvre sur le fondement de sa mission d’intérêt public :
– d’identifier les potentiels bénéficiaires de la réparation des préjudices causés par une exposition à l’amiante ;
– et de les informer sur leur droit au bénéfice de cette réparation.
Il organise à cette fin, au profit du FIVA, la transmission automatique et périodique par les CPAM et la CCMSA des données à caractère personnel des personnes ayant sollicité ou obtenu la reconnaissance d’une maladie professionnelle occasionnée par l’amiante ou la reconnaissance en affection longue durée (ALD) pour une pathologie occasionnée par l’amiante.
Il précise également les traitements effectués par les CPAM et la CCMSA – dont ils sont responsables – pour constituer les fichiers aux fins de transmission au FIVA.
II. – L’avis de la CNIL
A. – Sur l’information des personnes
Le projet de décret prévoit que les personnes concernées sont informées indirectement du traitement de leurs données à caractère personnel, en application de l’article 14 du RGPD, par le FIVA au moment de la première communication individuelle.
La CNIL relève qu’elles seront également informées directement par leur organisme de prise en charge, en application de l’article 13 du RGPD, en amont de la transmission de leurs données au FIVA, à travers le courrier de notification à l’assuré de sa prise en charge en ALD ou de reconnaissance ou de rejet du caractère professionnel de sa maladie.
B. – Sur les mesures de sécurité
Aux fins de la transmission au FIVA, les CPAM et la CCMSA constituent des fichiers contenant les données des personnes susceptibles d’obtenir la réparation intégrale de leurs préjudices. Ils conservent les fichiers pendant une durée maximale de trois mois à compter de la transmission.
Au regard de la sensibilité des données, parmi lesquelles des données relatives à la santé des personnes, la CNIL invite le ministère à rappeler aux responsables des traitements que les modalités de stockage des données à caractère personnel doivent assurer leur stricte confidentialité.
Elle recommande notamment la mise en œuvre de procédures visant à éviter toute divulgation volontaire ou accidentelle, l’habilitation spécifique et la formation des agents autorisés à consulter les fichiers conservés pour l’accomplissement de leurs missions, ainsi que la traçabilité des accès.
C. – Sur le droit d’opposition
Le droit d’opposition ne s’applique pas aux traitements effectués par les caisses à des fins de transmission au FIVA, ceux-ci étant fondés sur la base légale de l’obligation légale. La CNIL relève cependant que les personnes concernées pourront tout de même s’opposer à la poursuite du traitement de leurs données dans la base de données de contact du FIVA, après la première communication individuelle avec celui-ci, en application de l’article 53 de la LFSS 2001 modifiée.
Les autres dispositions du projet de décret n’appellent pas d’observations de la part de la CNIL.