Monsieur X, pour le compte du syndicat Force Ouvrière AP-HP, a saisi la commission d’accès aux documents administratifs, par un courrier enregistré à son secrétariat le 29 janvier 2018, du refus opposé par l’Assistance publique-Hôpitaux de Paris à sa demande de communication des fiches de signalement dites OSIRIS (Organisation du Système d’Information des Risques) du centre hospitalier Sainte-Périne depuis le 1er janvier 2017.

La commission souligne à titre liminaire qu'elle n'est pas compétente pour se prononcer sur le droit d'information que les représentants du personnel et les organisations syndicales tirent, en cette qualité, de textes particuliers. Toutefois, cette circonstance ne fait pas obstacle à ce que ces derniers puissent disposer par ailleurs du droit d'accès prévu par le livre III du code des relations entre le public et l'administration, qui est ouvert à toute personne, indépendamment des fonctions exercées ou des mandats détenus.

La commission relève par ailleurs que l’accès des personnes aux données à caractère personnel qui les concernent dans des fichiers, en l’espèce, les auteurs de signalements et les patients, est exclusivement régi par les dispositions de la loi du 6 janvier 1978, qu’elle n’a pas compétence pour interpréter. En revanche, les tiers, c’est-à-dire les personnes non autorisées à consulter les fichiers en vertu des textes qui les créent, peuvent se prévaloir du code des relations entre le public et l'administration pour obtenir communication, le cas échéant, des documents extraits de ces fichiers.

Ayant pris connaissance de la réponse de l'AP-HP à la demande qui lui a été adressée, la commission constate que si les fiches de signalement ont été transmises le 13 mars 2018 à l'ensemble des syndicats pour ce qui concerne la période de décembre 2017 à février 2018, pour deux catégories d'incidents, la demande, qui porte sur l'ensemble des fiches détenues depuis janvier 2017, sans distinction selon les catégories d'incidents, conserve un objet et elle prend note de l'intention de l'AP-HP de poursuivre cette communication.

La délibération n° 2007-369 du 11 décembre 2007 autorisant la mise en œuvre par l’Assistance Publique-Hôpitaux de Paris de traitements automatisés de données à caractère personnel d’aide à une gestion globale des risques hospitaliers de la Commission Nationale de l'Informatique et des Libertés (CNIL) définit « OSIRIS » comme « un traitement d’aide à une gestion globale des risques ayant pour finalités d’améliorer la qualité de la prise en charge hospitalière et de renforcer la sécurité à l’hôpital », qui « permet le signalement et le suivi d’événements indésirables de toute nature survenant dans les hôpitaux de l’AP-HP, ainsi que la constitution d’une base de données anonymisées destinée à l’élaboration de statistiques relatives aux risques ». La commission note qu'à ce mécanisme de déclaration volontaire s'est ajoutée une obligation de déclaration au directeur général de l'agence régionale de santé, à la charge de tout professionnel de santé, établissement de santé ou établissement et service médico-social ayant constaté soit une infection associée aux soins, dont une infection nosocomiale, soit tout événement indésirable grave associé à des soins, dans le cadre de soins réalisés lors d'investigations, de traitements, d'actes médicaux y compris à visée esthétique ou d'actions de prévention, prévue par l'article L1413-14 du code de la santé publique, issu de l’article 161 de la loi du 26 janvier 2016 de modernisation de notre système de santé.

La commission rappelle, en premier lieu, que les fiches de signalement « OSIRIS », qui sont obtenues par une extraction de la base de données, sont des documents administratifs au sens du livre III du code des relations entre le public et l'administration (avis n° 20093247 et n° 20124458).

En deuxième lieu, la commission relève que les fiches de signalement « OSIRIS » contiennent des informations médicales au sens des articles L1110-4 et L1111-7 du code de la santé publique. Si elles mentionnent le nom du patient ou permettent d'identifier celui-ci, de telles informations ne sont communicables qu’aux médecins chargés du patient, à l’intéressé ou à la personne qu’il a dûment mandatée.

En troisième lieu, la commission observe qu’en vertu de l'article L311-5 du même code, ne sont pas communicables les documents dont la communication porterait atteinte aux secrets protégés par la loi, au nombre desquels le secret professionnel prévu par l’article L1110-4 du code de la santé publique.

En quatrième lieu, la commission constate que les fiches de signalement mentionnent le nom de leur auteur et retracent des incidents ayant eu lieu au sein de l'Assistance Publique-Hôpitaux de Paris. En application des dispositions de l'article L311-6 de ce même code, ne sont communicables qu'à l'intéressé les documents dont la communication porterait atteinte à la vie privée, portant une appréciation ou un jugement de valeur sur une personne physique, nommément désignée ou facilement identifiable ou faisant apparaître le comportement d'une personne, dès lors que la divulgation de ce comportement pourrait lui porter préjudice. Elle estime que, sur ce fondement, les documents tels que les signalements, dès lors que leur auteur est identifiable, ne sont pas communicables à des tiers.

Il résulte de ce qui précède que les fiches de signalement ne sont, à l'origine, communicables qu'au patient concerné ou au professionnel de santé ayant signalé l'incident.

La commission relève, en outre, que passé un délai de trois mois, les fiches sont automatiquement anonymisées. La délibération précitée de la Commission nationale Informatique et Libertés mentionne, en effet, que les données nominatives sont conservées dans l’application pour une durée inférieure ou égale à trois mois, à l'issue de laquelle les fiches demeurent dans le fichier sous une forme anonymisée et l'article 3 de la charte ayant institué le traitement OSIRIS stipule que les données sont automatiquement anonymisées dans ce même délai. La commission en déduit que les fiches de signalement deviennent alors communicables à toute personne qui en fait la demande. La commission précise que si elle considère que les dispositions du 3° de l'article L311-6 sont invocables tant par les personnes morales que par les personnes physiques (avis CADA n° 20131530 du 4 juillet 2013), elles ne sauraient l'être par une personne publique agissant dans le cadre de l'exercice de ses missions de service public pour s'opposer à la communication d'un document relatif aux conditions dans lesquelles elle exerce les missions de service public qui lui ont été confiées.

La commission insiste sur l'importance particulière qui s'attache à l'anonymisation préalable des fiches OSIRIS. Elle souligne que l'anonymisation exige de supprimer toute information permettant d’identifier directement ou indirectement soit le patient (nom, prénom, date de naissance, numéro de sécurité sociale, numéro dit NIR ou NIP attribué par l'Assistance Publique-Hôpitaux de Paris) ainsi que l’auteur du signalement ou le personnel auxiliaire associé (notamment nom, prénom, fonctions, numéro de téléphone, courriel, matricule). En outre, la commission considère que la mention simultanée de l’unité ou service compétent ainsi que de la date précise de l’évènement, plutôt, par exemple, que de la seule année de son intervention, doit être évitée, ces informations étant susceptibles d’être rapprochées avec le tableau de service ou les informations relatives aux entrées et aux présences de patients et, ainsi, d’identifier l’auteur du signalement ou le patient. Il incombe en conséquence à l'Assistance Publique-Hôpitaux de Paris, préalablement à la communication de fiches de signalement anonymisées de veiller à l'absence de mention simultanée de ces éléments. La commission précise, à toutes fins utiles, que des techniques d'anonymisation de bases de données, aux fins d'extraction par requête, sont couramment utilisées en application de l'arrêté du 22 mars 2017 relatif au référentiel de sécurité applicable au Système national des données de santé, créé par l'article 193 de la loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé, et de son guide d'accompagnement, et que, de manière générale, de telles techniques sont recensées dans l'avis 05/2014 sur les techniques d'anonymisation adopté le 10 avril 2014 par le groupe de travail dit de l'article 29 sur la protection des données personnelles.

Dans l'hypothèse où l'anonymisation, dans la mesure ainsi précisée, équivaudrait en réalité à la confection d'une nouvelle base documentaire, qui n'existe pas en l'état et ne pourrait être obtenue à ce jour par un traitement automatisé d'usage courant mais seulement au prix d'efforts disproportionnés qui excèderaient les sujétions que le législateur a entendu faire peser sur l'administration en vertu de l'article L311-7 du code des relations entre le public et l'administration, l'Assistance Publique-Hôpitaux de Paris serait fondée à refuser la communication des fiches de signalement. Il en irait de même si l'anonymisation était d'une efficacité insuffisante, eu égard au faible nombre de signalements à l'échelle de l'entité au sein de l'Assistance Publique-Hôpitaux de Paris faisant l'objet de la requête permettant l'extraction des signalements. La commission note toutefois en l'espèce que ce dernier risque n'est pas avéré au regard du nombre de signalements effectués en 2017 à l'échelle de l'ensemble de l'AP-HP et à celle de l'hôpital Sainte-Périne.

La commission émet, par suite, un avis favorable, sous les réserves et dans les conditions précitées.