DELIBERATION n°2016-184 du 16 juin 2016

Commission Nationale de l'Informatique et des Libertés
DELIBERATION n°2016-184 du 16 juin 2016
Délibération n° 2016-184 du 16 juin 2016 autorisant MEDECIN DIRECT à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la réalisation d’actes de téléconsultation.
Etat: VIGUEUR

(Demande d’autorisation n° 1895186)
La Commission nationale de l'informatique et des libertés,
Saisie par MEDECIN DIRECT d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la réalisation d’actes de téléconsultation ;
Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de santé publique, notamment ses articles L. 1110-4, L. 6316-1, L. 1111-8, R. 6316-1 à R. 6316- 11 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 8-IV et 25-I-1° ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu le décret n° 2010-1229 du 19 octobre 2010 relatif à la télémédecine ;
Vu le dossier et ses compléments ;
Sur la proposition de M. Alexandre LINDEN, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,
Formule les observations suivantes :
La Commission a été saisie le 8 octobre 2015 par la société MEDECIN DIRECT d’une demande d’autorisation relative à un traitement de données à caractère personnel portant sur la mise en œuvre d’une activité de télémédecine.
Cette activité et son organisation font l’objet d’un contrat particulier conclu entre le directeur général de l'agence régionale de santé d’Ile-de-France et la société MEDECIN DIRECT, conformément à l’article R. 6316-6 du code de la santé publique (ci-après « du CSP »).
En vue de développer son activité, MEDECIN DIRECT souhaite offrir des services de téléconsultation aux salariés d’entreprises, aux adhérents de complémentaires santé ou de mutuelles (ci-après les « bénéficiaires »). MEDECIN DIRECT et ces structures clientes (ci-après les « tiers payeurs ») financent en totalité les services de téléconseil et de téléconsultation en inclusion dans les contrats complémentaires santé.

Responsable du traitement
MEDECIN DIRECT est une société par actions simplifiée, opérationnelle depuis l’année 2010.
Sur la finalité
L’outil de télémédecine projeté a pour finalité d’organiser la réalisation d’actes de téléconsultation dans un objectif d’amélioration de l’accessibilité des soins.
A cette fin, il est prévu la création d’un dossier médical partagé temporaire des bénéficiaires, intitulé « télédossier ».
La Commission estime que les finalités poursuivies par le traitement sont déterminées, explicites et légitimes.
Elle considère qu’il y a lieu de faire application des articles 8-IV et 25-I-1° de la loi du 6 janvier 1978 modifiée, qui soumettent à autorisation de la Commission les traitements de données de santé qui sont justifiés, comme en l’espèce, par un intérêt de santé publique.
Sur les données traitées
Les données faisant l’objet d’un traitement sont :
S’agissant des bénéficiaires :
  • données d’identification : nom, prénom, sexe, numéro de téléphone, courriel et adresse postale, date et lieu de naissance, numéro d’adhérent proposé par le tiers payeur afin de vérifier auprès de ce dernier si l’assuré ou l’adhérent bénéficie effectivement du service MEDECIN DIRECT ;
  • habitudes de vie ;
  • données de connexion : log de connexion, adresse IP,
  • données de santé : pathologie, affection, antécédents familiaux, données relatives aux soins, situations ou comportements à risque.
  • nom, prénom, n° RPPS, n° ADELI, numéro de portable ou courriel pour recevoir un code de 6 chiffres leur permettant d’accéder à leur espace de travail, adresse professionnelle, spécialité ;
  • nom, prénom et coordonnées du pharmacien susceptible de contacter MEDECIN DIRECT afin de vérifier la validité d’une ordonnance ;
  • délai de réponse aux demandes des bénéficiaires ;
  • temps passé à répondre à un bénéficiaire.
S’agissant des professionnels de santé :
  • données d’identification : nom, prénom, sexe, numéro de téléphone, courriel et adresse postale, date et lieu de naissance, numéro d’adhérent proposé par le tiers payeur afin de vérifier auprès de ce dernier si l’assuré ou l’adhérent bénéficie effectivement du service MEDECIN DIRECT ;
  • habitudes de vie ;
  • données de connexion : log de connexion, adresse IP,
  • données de santé : pathologie, affection, antécédents familiaux, données relatives aux soins, situations ou comportements à risque.
  • nom, prénom, n° RPPS, n° ADELI, numéro de portable ou courriel pour recevoir un code de 6 chiffres leur permettant d’accéder à leur espace de travail, adresse professionnelle, spécialité ;
  • nom, prénom et coordonnées du pharmacien susceptible de contacter MEDECIN DIRECT afin de vérifier la validité d’une ordonnance ;
  • délai de réponse aux demandes des bénéficiaires ;
  • temps passé à répondre à un bénéficiaire.
Les ordonnances rédigées par les médecins de MEDECIN DIRECT sont numérisées par leurs soins puis déposées dans le télédossier. Les bénéficiaires n’ayant pas d’accès à Internet peuvent demander à MEDECIN DIRECT de les recevoir par courrier.
La Commission considère que les données sont adéquates, pertinentes et non excessives au regard de la finalité du traitement.
Sur les destinataires
Les destinataires sont les professionnels de santé authentifiés et habilités, dans la limite de leurs attributions respectives et dans la stricte mesure nécessaire à la prise en charge des bénéficiaires.
Le médecin traitant pourra être destinataire du compte rendu de téléconsultation, imprimé et envoyé par les bénéficiaires.
La Commission prend acte de ce qu’aucune donnée à caractère personnel relative à la santé des bénéficiaires ne sera transmise ni à l’employeur, ni à la mutuelle ou la compagnie d’assurance dont ils relèvent, conformément aux dispositions des articles 226-13 du code pénal, L. 1110-4 et R. 4127-4 du code de la santé publique.
L’utilisation de l’outil de téléconsultation est subordonnée à la signature d’une convention par laquelle les professionnels de santé s’engagent à respecter les modalités de mise en œuvre de cet outil, et notamment l’information et le recueil du consentement des bénéficiaires ou de leur représentant légal, le cas échéant.
Les données étant hébergées chez un hébergeur de données de santé agréé, le médecin de l’hébergeur a accès aux données de santé afin d’exercer ses missions, notamment afin de répondre aux demandes de droit d’accès des bénéficiaires.
Il est prévu que les tiers payeurs pourront recevoir des statistiques agrégées à partir des données relatives à la santé des bénéficiaires, afin de mesurer l’impact du service proposé à leurs salariés ou assurés.
Ils ne recevront alors que des données synthétiques et globalisées, telles que : le nombre d'inscrits, le nombre de questions posées et leur répartition par spécialité, sur une pyramide des âges ainsi qu'une répartition par sexe.
Afin de réduire les risques de réidentification des bénéficiaires, les données extraites avant agrégation seront appauvries, de sorte qu’elles ne contiendront pas d’éléments directement ou indirectement identifiants comme par exemple le nom ou la ville de résidence. Certaines données utiles comme l’âge ou le code postal seront rendues moins précises, et l’extraction ne s’exécutera que si elle concerne au moins 10 personnes. Les données extraites seront transmises par un canal sécurisé au Président de MEDECIN DIRECT, chargé leur mise en forme.
Enfin, la Commission relève que le formulaire de consentement des bénéficiaires prévoit également l’usage de ces données à des fins d’études scientifiques ou épidémiologiques. Elle appelle l’attention du responsable de traitement sur les dispositions de l’article 6-2° de la loi Informatique et Libertés et précise à cet effet que toute nouvelle étude qui serait mise en œuvre à partir des données issues du présent projet, devra faire l’objet de nouvelles formalités auprès de la Commission.
Ces destinataires n’appellent pas d’observation de la part de la Commission.
Sur l’information et les droits des personnes
Les tiers payeurs informent leurs adhérents de la disponibilité du service de téléconsultation, des éventuels coûts et des modalités de l’acte. Il sera clairement précisé que l’utilisation du service par un assuré ne peut en aucun cas servir de fondement à une augmentation du montant des primes ou à la résiliation du contrat.
Les personnes souhaitant bénéficier du service de télémédecine ont accès à une « notice d'information », sur le site internet de MEDECIN DIRECT au moment de leur inscription, rédigée notamment pour assurer le respect des dispositions de l’article 32 de la loi du 6 janvier 1978 modifiée.
Pour chaque acte de télémédecine, le consentement des bénéficiaires au traitement de leurs données sera recueilli par internet ou par téléphone.
Le recueil par téléphone est réalisé par un opérateur qui reçoit l’appel, délivre les informations prévues par la loi et mentionne le consentement des bénéficiaires dans leur dossier. Le recueil du consentement par Internet est réalisé via un formulaire en ligne.
Les bénéficiaires doivent ensuite adresser à MEDECIN DIRECT, via le site sécurisé ou par courrier postal, une copie de leur carte d’identité, afin de vérifier leur identité et leur permettre d’accéder à une téléconsultation.
La Commission recommande que le recueil du consentement fasse également l'objet d'une confirmation écrite par l'envoi d'un sms ou d'un courriel par MEDECIN DIRECT aux bénéficiaires.
Enfin, le médecin recueillera le consentement des bénéficiaires à l’acte de téléconsultation, par téléphone ou par courriel.
Le formulaire de recueil du consentement à l’acte de téléconsultation indique le caractère volontaire de la participation au service, autorise MEDECIN DIRECT à conserver de façon sécurisée les données de santé des bénéficiaires et autorise les médecins de la plateforme à les consulter en vue d'obtenir un avis médical ou une téléconsultation ainsi qu’à utiliser les données anonymisées le concernant à des fins statistiques ou d’études scientifiques ou épidémiologiques.
Les droits d’accès, de rectification et de suppression, tels que reconnus par la loi du 6 janvier 1978 modifiée, sont explicités sur la note d’information précitée et s’exerceront auprès du Président de MEDECIN DIRECT, par courrier ou par courriel.
La Commission estime que ces modalités d’information et d’exercice des droits sont satisfaisantes.
Sur les mesures de sécurité
Système informatique
Le système informatique se compose de serveurs externalisés chez un hébergeur, accessible à travers un réseau privé virtuel sécurisé par chiffrement (VPN IPsec).
Sécurité physique des locaux
La sécurité physique des locaux de l’hébergeur met en œuvre un accès biométrique par reconnaissance veineuse, faisant l’objet d’un engagement de conformité à l’AU 19 n° 1516035, une alarme incendie, une alarme intrusion, une vidéosurveillance faisant l’objet d’une déclaration normale n° 1515918.
Sauvegarde
La sauvegarde des données est effectuée chez l’hébergeur, sur disques, quotidiennement, avec un chiffrement des supports.
Echanges
L’application met en œuvre des procédés de sécurisation du transport des données et d’authentification destinataire ou « serveur ». A cet égard, la Commission recommande l’utilisation du protocole de chiffrement TLS dans sa version la plus à jour possible.
Visioconférence
Concernant le système de visioconférence, la Commission prend acte de ce que cette fonctionnalité n’est pas encore développée et que sa mise en œuvre fera l’objet d’une demande de modification préalable auprès des services de la Commission.
Identification des personnes habilitées
Des profils d'habilitation sont prévus afin de gérer les accès aux données.
S’agissant des données de la base « Médecin » :
  • le médecin responsable de la plateforme MEDECIN DIRECT dispose de privilèges de lecture, d’écriture, de modification, de suppression ;
  • les médecins de la plateforme disposent de privilèges de lecture des données les concernant ;
  • l’administrateur technique dispose de privilèges de lecture, d’écriture, de modification, de suppression, sous le contrôle du médecin responsable.
  • les bénéficiaires disposent de privilèges de lecture et d’écriture sur l’ensemble du contenu de la base, excepté sur les données de connexion et d’identité des professionnels participant à leur prise en charge, dont l’accès s’effectue en lecture seule ;
  • les médecins de la plateforme MEDECIN DIRECT disposent de privilèges de lecture, d’écriture, de modification sur toutes les données des bénéficiaires qu'ils prennent en charge,
  • le médecin responsable de la plateforme dispose de privilèges de lecture, d’écriture, de modification sur toutes les données relatives aux bénéficiaires. Il est le seul à disposer d’un privilège de suppression des données relatives aux bénéficiaires ;
  • l’administrateur technique dispose d’un privilège de lecture. Les données non médicales sont alors consultables en clair mais les données médicales sont chiffrées ;
  • le personnel administratif dispose de privilèges de lecture et d’écriture sur les données suivantes : civilité, nom, prénom, courriel, adresse, date de naissance, affectation de l'abonnement, tiers payeur, numéro d'adhérent, afin de pouvoir inscrire un utilisateur et faire les modifications dans le cas d'un dossier existant.
  • Les professionnels de santé :
  • Les bénéficiaires :
  • L’administrateur :
S’agissant des données de la base « Patient » :
  • le médecin responsable de la plateforme MEDECIN DIRECT dispose de privilèges de lecture, d’écriture, de modification, de suppression ;
  • les médecins de la plateforme disposent de privilèges de lecture des données les concernant ;
  • l’administrateur technique dispose de privilèges de lecture, d’écriture, de modification, de suppression, sous le contrôle du médecin responsable.
  • les bénéficiaires disposent de privilèges de lecture et d’écriture sur l’ensemble du contenu de la base, excepté sur les données de connexion et d’identité des professionnels participant à leur prise en charge, dont l’accès s’effectue en lecture seule ;
  • les médecins de la plateforme MEDECIN DIRECT disposent de privilèges de lecture, d’écriture, de modification sur toutes les données des bénéficiaires qu'ils prennent en charge,
  • le médecin responsable de la plateforme dispose de privilèges de lecture, d’écriture, de modification sur toutes les données relatives aux bénéficiaires. Il est le seul à disposer d’un privilège de suppression des données relatives aux bénéficiaires ;
  • l’administrateur technique dispose d’un privilège de lecture. Les données non médicales sont alors consultables en clair mais les données médicales sont chiffrées ;
  • le personnel administratif dispose de privilèges de lecture et d’écriture sur les données suivantes : civilité, nom, prénom, courriel, adresse, date de naissance, affectation de l'abonnement, tiers payeur, numéro d'adhérent, afin de pouvoir inscrire un utilisateur et faire les modifications dans le cas d'un dossier existant.
  • Les professionnels de santé :
  • Les bénéficiaires :
  • L’administrateur :
Le éléments produits à l’appui du dossier précisent que les professionnels de santé qui rendent le service de téléconsultation sont les médecins libéraux de MEDECIN DIRECT sous contrat ad hoc soumis pour avis à l’ordre départemental des médecins de rattachement, tous inscrits au conseil de l’ordre des médecins et à jour de leurs obligations professionnelles, notamment en ce qui concerne leur assurance responsabilité civile professionnelle, en utilisant la plateforme actuelle de MEDECIN DIRECT.
MEDECIN DIRECT a mis en place des procédures et des protocoles touchant au recrutement, à la formation aux outils et aux pratiques médicales que requiert l’exercice du téléconseil médical (opérationnel depuis 2010) et de la téléconsultation (en cours de mise en oeuvre). Des contrôles par le médecin chef sont régulièrement effectués pour vérifier la bonne adéquation des services et la qualité des réponses médicales. Un service est à leur disposition pour toute question technique par mail ou par téléphone, conformément à l’article R. 6316-9 du CSP.
Authentification des personnes habilitées
  • le médecin responsable de la plateforme MEDECIN DIRECT dispose de privilèges de lecture, d’écriture, de modification, de suppression ;
  • les médecins de la plateforme disposent de privilèges de lecture des données les concernant ;
  • l’administrateur technique dispose de privilèges de lecture, d’écriture, de modification, de suppression, sous le contrôle du médecin responsable.
  • les bénéficiaires disposent de privilèges de lecture et d’écriture sur l’ensemble du contenu de la base, excepté sur les données de connexion et d’identité des professionnels participant à leur prise en charge, dont l’accès s’effectue en lecture seule ;
  • les médecins de la plateforme MEDECIN DIRECT disposent de privilèges de lecture, d’écriture, de modification sur toutes les données des bénéficiaires qu'ils prennent en charge,
  • le médecin responsable de la plateforme dispose de privilèges de lecture, d’écriture, de modification sur toutes les données relatives aux bénéficiaires. Il est le seul à disposer d’un privilège de suppression des données relatives aux bénéficiaires ;
  • l’administrateur technique dispose d’un privilège de lecture. Les données non médicales sont alors consultables en clair mais les données médicales sont chiffrées ;
  • le personnel administratif dispose de privilèges de lecture et d’écriture sur les données suivantes : civilité, nom, prénom, courriel, adresse, date de naissance, affectation de l'abonnement, tiers payeur, numéro d'adhérent, afin de pouvoir inscrire un utilisateur et faire les modifications dans le cas d'un dossier existant.
  • Les professionnels de santé :
  • Les bénéficiaires :
  • L’administrateur :
Les professionnels de santé s’authentifient à l’aide de leur carte de professionnel de santé, et ce dès la création de leur compte utilisateur médecin.
En cas de déplacement, ils pourront se connecter en authentification forte avec un identifiant, un mot de passe (huit caractères dont au moins une majuscule, une minuscule, un chiffre et un caractère spécial ; renouvellement tous les cinq mois ; verrouillage au bout de dix tentatives) et un One Time Password (OTP, code à six chiffres adressé par SMS ou messagerie électronique).
A cet égard, la Commission relève que la carte de professionnel de santé sera exigée pour la configuration du canal de réception de l’OTP ainsi que pour le renouvellement du mot de passe.
En outre, l’accord du Directeur des systèmes d’information et/ou du Président de la société est requis pour la création de l’utilisateur, et l’identifiant et le mot de passe initial sont délivrés dans deux courriels distincts.
La Commission relève que le nouvel article L.1110-4 du code de la santé publique issu de la loi du 26 janvier 2016 de modernisation de notre système de santé ne prévoit plus l’authentification par carte de professionnel de santé ou dispositif équivalent agréé par l’ASIP santé et que le nouvel article L.1110-4-1 du même code renvoie ces modalités d’authentification à la conformité à des référentiels d'interopérabilité et de sécurité approuvés par le ministre en charge de la santé après avis de la Commission.
Dans l’attente de la publication des textes réglementaires permettant l’entrée en vigueur de ces nouvelles dispositions, la Commission demande que l’authentification des professionnels de santé intervienne au moyen d’une carte de professionnel de santé ou d’un dispositif équivalent agréé par l’ASIP santé.
  • le médecin responsable de la plateforme MEDECIN DIRECT dispose de privilèges de lecture, d’écriture, de modification, de suppression ;
  • les médecins de la plateforme disposent de privilèges de lecture des données les concernant ;
  • l’administrateur technique dispose de privilèges de lecture, d’écriture, de modification, de suppression, sous le contrôle du médecin responsable.
  • les bénéficiaires disposent de privilèges de lecture et d’écriture sur l’ensemble du contenu de la base, excepté sur les données de connexion et d’identité des professionnels participant à leur prise en charge, dont l’accès s’effectue en lecture seule ;
  • les médecins de la plateforme MEDECIN DIRECT disposent de privilèges de lecture, d’écriture, de modification sur toutes les données des bénéficiaires qu'ils prennent en charge,
  • le médecin responsable de la plateforme dispose de privilèges de lecture, d’écriture, de modification sur toutes les données relatives aux bénéficiaires. Il est le seul à disposer d’un privilège de suppression des données relatives aux bénéficiaires ;
  • l’administrateur technique dispose d’un privilège de lecture. Les données non médicales sont alors consultables en clair mais les données médicales sont chiffrées ;
  • le personnel administratif dispose de privilèges de lecture et d’écriture sur les données suivantes : civilité, nom, prénom, courriel, adresse, date de naissance, affectation de l'abonnement, tiers payeur, numéro d'adhérent, afin de pouvoir inscrire un utilisateur et faire les modifications dans le cas d'un dossier existant.
  • Les professionnels de santé :
  • Les bénéficiaires :
  • L’administrateur :
Les bénéficiaires qui souhaitent créer leur télédossier s’authentifient à l’aide de leurs informations personnelles (nom, prénom, date de naissance, adresse électronique et postale, numéro de bénéficiaire) et d’une copie de leur carte d’identité, conformément aux dispositions de l’article R. 6316-3 du CSP qui impose l’identification du bénéficiaire. Un courriel est envoyé à la personne pour confirmation de son adresse électronique.
Pour ensuite alimenter leur dossier, consulter les comptes rendus de téléconsultation et les prescriptions, les bénéficiaires seront en authentification forte incluant un One Time Password généré par la plateforme de MEDECIN DIRECT.
S’agissant de la vérification d’identité des bénéficiaires pour les contacts par téléphone, les opérateurs téléphoniques ont pour consigne de demander aux bénéficiaires au minimum leur date et leur lieu de naissance ainsi que leur numéro de téléphone portable, et leur adresse courriel s’ils l’ont déposée.
  • le médecin responsable de la plateforme MEDECIN DIRECT dispose de privilèges de lecture, d’écriture, de modification, de suppression ;
  • les médecins de la plateforme disposent de privilèges de lecture des données les concernant ;
  • l’administrateur technique dispose de privilèges de lecture, d’écriture, de modification, de suppression, sous le contrôle du médecin responsable.
  • les bénéficiaires disposent de privilèges de lecture et d’écriture sur l’ensemble du contenu de la base, excepté sur les données de connexion et d’identité des professionnels participant à leur prise en charge, dont l’accès s’effectue en lecture seule ;
  • les médecins de la plateforme MEDECIN DIRECT disposent de privilèges de lecture, d’écriture, de modification sur toutes les données des bénéficiaires qu'ils prennent en charge,
  • le médecin responsable de la plateforme dispose de privilèges de lecture, d’écriture, de modification sur toutes les données relatives aux bénéficiaires. Il est le seul à disposer d’un privilège de suppression des données relatives aux bénéficiaires ;
  • l’administrateur technique dispose d’un privilège de lecture. Les données non médicales sont alors consultables en clair mais les données médicales sont chiffrées ;
  • le personnel administratif dispose de privilèges de lecture et d’écriture sur les données suivantes : civilité, nom, prénom, courriel, adresse, date de naissance, affectation de l'abonnement, tiers payeur, numéro d'adhérent, afin de pouvoir inscrire un utilisateur et faire les modifications dans le cas d'un dossier existant.
  • Les professionnels de santé :
  • Les bénéficiaires :
  • L’administrateur :
La connexion de l’administrateur repose sur une authentification forte. Son One Time Password est adressé par le système au médecin responsable de la plateforme, de telle sorte que l’administrateur ne puisse effectivement accéder aux données que sous le contrôle de ce professionnel de santé.
Confidentialité
Le personnel administrateur des bases de données est soumis à une clause de confidentialité.
L'ensemble des données de santé à caractère personnel collectées et traitées dans le cadre de la téléconsultation sont hébergées auprès d’un hébergeur agréé au sens de l'article L. 1111-8 du CSP.
Le personnel de l'hébergeur n'a pas accès aux bases de données « Patient » et « Médecin ». Seul le médecin responsable de la plateforme MEDECIN DIRECT peut intervenir, pour modifier et/ou supprimer les données dans l'une ou l'autre des bases.
Traçabilité :
Les dates et heures de connexion sont enregistrées concernant les accès à l'application et toute consultation, création, mise à jour et suppression de données, ainsi que les délais et durées des réponses aux bénéficiaires, afin d’établir des statistiques sur les usages du service.
Un outil de supervision permet d'enregistrer dans la base de données tous les accès aux données. Il trace en particulier les accès réussis, les accès échoués, le nom du compte, l'adresse IP publique. Il est possible, pour l'administrateur, d'extraire un journal de ces informations selon des critères de dates.
En outre, tout accès en mode « bris de glace » nécessite l’autorisation préalable du médecin chef et fait l’objet d’un suivi intégral par ce praticien du début à la fin du bris de glace, 7 jours sur 7 et dans un délai d’intervention inférieur à 2 heures.
Toutes les traces des échanges médicaux sont ainsi stockées dans le dossier des bénéficiaires et seront conservées comme celui-ci pendant 5 ans en base active et 5 ans en base archive.
La Commission recommande d’effectuer un contrôle des traces de manière automatique, afin de détecter les comportements anormaux et lever des alertes. Elle recommande également que des mesures soient mises en œuvre pour assurer l’intégrité de ces traces.
Les autres mesures de sécurité décrites par le responsable de traitement sont conformes à l’exigence de sécurité prévues par l’article 34 de la loi du 6 janvier 1978 modifiée.
La Commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.
Sur les autres caractéristiques du traitement
Durées de conservation
  • La base de données « Patients » sera conservée pendant 10 ans (5 en base active, 5 en base archive) ;
  • la base « Médecin » sera conservée pendant 18 mois à compter de la cessation du contrat ;
  • les justificatifs d’identité des bénéficiaires seront conservés pendant 2 mois à compter de la finalisation du compte.
La Commission prend acte du fait que ces durées de conservation sont déterminées par le responsable de traitement en tant que durées strictement nécessaires au traitement des données.
La Commission estime que ces durées de conservation n’appellent pas d’observation au regard de la finalité poursuivie par le traitement.
Réutilisation des données
La Commission rappelle que tout traitement de données à caractère personnel, notamment scientifique ou épidémiologique, qui serait mis en œuvre à partir des données issues du présent projet devra faire l’objet de nouvelles formalités auprès d’elle, conformément à l’article 6-2° de la loi du 6 janvier 1978 modifiée.
Accès à distance aux ordonnances
La Commission relève que l’outil permet aux bénéficiaires d’imprimer une copie des ordonnances signées par les médecins à l’issue de la téléconsultation.
Les pharmaciens pourront vérifier l’authenticité et l’intégrité de ces ordonnances en joignant un professionnel de santé ou un membre du personnel administratif habilité par le médecin responsable de la plateforme à accéder aux dossiers médicaux (après accord du bénéficiaire).
Chaque membre du personnel administratif habilité à accéder aux données a signé un engagement de confidentialité. Un médecin de la plateforme peut ainsi être amené à accéder en lecture au télédossier d’un autre bénéficiaire pour répondre au pharmacien. Cet accès sera automatiquement tracé dans le dossier du bénéficiaire.
La Commission prend acte de ce que la fonctionnalité d’accès à distance à ces ordonnances pour vérification par le pharmacien n’a pas pu être développée.

Autorise, conformément à la présente délibération, MEDECIN DIRECT à mettre en œuvre le traitement susmentionné.
Pour La Présidente,
Le Vice-Président délégué,
Marie-France MAZARS




Nature de la délibération: Autorisation
Date de la publication sur legifrance: 25 août 2016