DELIBERATION n°2011-154 du 26 mai 2011

Commission Nationale de l'Informatique et des Libertés
DELIBERATION n°2011-154 du 26 mai 2011
Délibération n°2011-154 du 26 mai 2011 autorisant la mise en œuvre par la Caisse nationale d’assurance maladie des travailleurs salariés, CNAMTS, d’un traitement automatisé de données à caractère personnel ayant pour finalité l’expérimentation d’un programme de détection des fraudes à la CMUC (Datamining)
Etat: VIGUEUR

(Autorisation n°1482789)
La Commission nationale de l’informatique et des libertés,
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004, notamment ses articles 8-IV et 25-I-3° ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifié ;
Sur le rapport de M. Jean MASSOT, commissaire et les observations de Mme Elisabeth ROLIN, commissaire du gouvernement ;
Autorise, dans les conditions définies dans le dossier et ses compléments, la Caisse nationale d’assurance maladie des travailleurs salariés à mettre en œuvre un traitement de données à caractère personnel ayant pour finalité l’expérimentation d’un programme de détection des fraudes à la CMUC (Datamining), dont les caractéristiques sont résumées dans le tableau ci-dessous.

Responsable du traitement
La Caisse nationale d’assurance maladie des travailleurs salariés
Finalités
La CNAMTS souhaite expérimenter de nouvelles méthodes de détection des fraudes à la Couverture médicale universelle complémentaire (CMUC) fondées sur des modèles de « datamining ».
Pour permettre cette expérimentation, une base de données anonymisées sera constituée au niveau de la CNAMTS à partir des cas de fraudes avérées à la CMUC et de témoins non fraudeurs (7.000 environ) permettant de créer des modèles de détection de fraudes avérées.
Les données seront extraites du système d’information de l’assurance maladie (SIAM) de chaque caisse primaire (CPAM) à l’aide d’une requête écrite par la CNAMTS.
Chaque CPAM transmettra à la CNAMTS le fichier anonymisés des ressortissants sélectionnés.
La CNAMTS construira à partir de ces données un ou plusieurs modèles de « datamining ».
Ces modèles seront ensuite testés par les caisses primaires pour détecter les fraudes. Un score de risque de fraude sera attribué à chaque bénéficiaire de la CMUC ayant eu des remboursements de soins.
Ils ne constituent qu’une aide à la décision, aucune action ne sera engagée sans des investigations préalables permettant de conclure à la réalité des preuves matérielles de fraude.
La CNAMTS recevra un tableau anonymisé permettant de tester la pertinence du (ou des) modèle(s).
Données traitées
La constitution de la base nécessaire à l’élaboration des modèles de datamining requiert l’identification des fraudeurs.
Les données traitées seront relatives aux : nom, prénom, date, lieu de naissance et adresse, situation familiale, revenus, identifiants bancaires, et prestations versées au cours des 24 derniers mois par la caisse.
Les données permettant d’identifier des personnes (Nir, nom, prénom, adresse) seront ensuite anonymisées avec un algorithme de hachage.
Destinataires
Un agent de chaque caisse sera habilité à exécuter les requêtes sur les fichiers de la caisse. Il sera le seul à accéder aux données d’identification et au NIR des personnes concernées.
La base de données anonymisée transmise à la CNAMTS sera exploitée par des personnes habilitées du département statistique de la DCCRF sous la responsabilité de la caisse nationale.
La CNAMTS accèdera à des données agrégées.
Information et droits d’accès
Le droit d’accès défini au chapitre V de la loi du 6 janvier 1978 s’exercera auprès de la caisse de rattachement de l’assuré.
Les personnes concernées seront informées de la mise en œuvre du traitement informatique par voie d’affichage et via le site internet ameli.fr.
Caractéristiques particulières du traitement
Les échanges de données auront lieu au sein du réseau privé d’entreprise de la CNAMTS (RAMAGE).
L’accès à l’application sera tracé et s’effectuera avec une carte à puce et un code.
Observations
Les données seront conservées pendant la durée de l’expérimentation (1 an).
A l’issue de l’expérimentation, les fichiers créés par les CPAM seront détruits.
Seul sera conservé, à la CNAMTS, pour une durée de 2 ans, le fichier anonymisé issu de l’agrégation des fichiers transmis par les CPAM en vue d’améliorer les modèles de datamining.
Le Président
Alex TURK



Nature de la délibération: Autorisation