DELIBERATION n°2018-149 du 3 MAI 2018

Commission Nationale de l'Informatique et des Libertés
DELIBERATION n°2018-149 du 3 MAI 2018
Délibération n° 2018-149 du 3 mai 2018 autorisant la société Pharma Dom à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la mise en œuvre d’un dispositif de télésurveillance médicale dénommé CHRONIC CARE CONNECT Pneumologie
Etat: VIGUEUR

La Commission nationale de l'informatique et des libertés,

Saisie par la société Pharma Dom d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la mise en œuvre d’un dispositif de télésurveillance médicale dénommé CHRONIC CARE CONNECT Pneumologie ;

Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu le code de la santé publique, notamment ses articles L. 1110-4, L. 1111-8, L. 6316-1, R. 6316-1 et suivants ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 25-I-6° ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu l’arrêté du 6 décembre 2016 portant cahiers des charges des expérimentations relatives à la prise en charge par télésurveillance mises en œuvre sur le fondement de l’article 36 de la loi n° 2013-1203 de financement de la sécurité sociale pour 2014 ;

Vu le dossier et ses compléments ;

Sur la proposition de M. Alexandre LINDEN, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,

Formule les observations suivantes :

Responsable du traitement

La société Pharma Dom est le responsable du traitement de données à caractère personnel mis en œuvre dans le cadre de l’utilisation de CHRONIC CARE CONNECT Pneumologie.

Sur la finalité

Le traitement de données à caractère personnel a pour objectif la réalisation d’actes de télésurveillance médicale des personnes atteintes d’insuffisance respiratoire chronique, à travers la mise en place d’un dispositif, nommé CHRONIC CARE CONNECT Pneumologie.

La Commission estime que les finalités poursuivies par le traitement sont déterminées, explicites et légitimes.

Elle considère qu’il y a lieu de faire application de l’article 25-1-6° de la loi du 6 janvier 1978 modifiée (ci-après la loi « Informatique et Libertés »), qui soumet à autorisation de la Commission les traitements de données parmi lesquelles figure le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (NIR).

Sur les données traitées

Concernant les patients, les données traitées sont :

les données d’identification ;

le NIR ;

les données relatives à la vie personnelle ;

les données relatives à la vie professionnelle ;

les données de santé nécessaires à l’acte de télésurveillance ;

les données de santé nécessaires à l’accompagnement thérapeutique ;

les données techniques de connexion.

La Commission prend acte de ce que le NIR des patients ne sera utilisé qu’à des fins de remboursement du dispositif médical et des prestations associées.

Concernant les professionnels de santé participant à la prise en charge du patient et les autres professionnels accompagnant les professionnels de santé, les données traitées sont :

les données d’identification ;

les données relatives à la vie professionnelle ;

les données techniques de connexion.

Sont également collectées les données visées à l’article R. 6316-4 du code de la santé publique.

La Commission considère que ces données sont adéquates, pertinentes et non excessives au regard de la finalité du traitement, conformément aux dispositions de l’article 6-3° de la loi « Informatique et Libertés ».

Sur les destinataires

Les destinataires des données sont les suivants : 

les professionnels de santé : le médecin télésurveillant et les autres professionnels de santé prenant en charge le patient et sous réserve d’avoir été expressément et préalablement autorisés par ce dernier ;

l’équipe infirmière de Pharma Dom ;

l’équipe administrative de Pharma Dom gérant le dossier administratif du patient ;

l’équipe technique de Pharma Dom en charge de gérer la logistique et les éventuelles problématiques liées aux matériels ;

une société prestataire en charge de la gestion de la facturation et la liquidation des droits.

Les données à caractère personnel seront exclusivement destinées aux personnes authentifiées et habilitées dans la limite de leurs attributions respectives et dans la stricte mesure nécessaire à la réalisation de leurs missions.

Sur l’information et le droit d’accès

Concernant les patients

Le patient est informé par le biais d’une note d’information remise par le professionnel de santé prescripteur. Cette note d’information, accompagnée d’un formulaire de consentement, est rédigée notamment pour assurer le respect des dispositions de l’article 32 de la loi « Informatique et Libertés ».

Le formulaire de consentement signé sera :

soit collecté par le professionnel de santé prescripteur afin de l’adresser, par voie postale, à la société Pharma Dom ;

soit remis au patient pour permettre à la société Pharma Dom de le collecter directement auprès de ce dernier lors de la première visite à domicile.

Les droits d’accès, de rectification et d’opposition peuvent s’exercer :

via un numéro d’accueil clients communiqué sur l’ensemble des correspondances. Sur ce point, la Commission demande à ce que les personnes en charge de ce service soient sensibilisées aux dispositions de la loi relatives aux droits des personnes afin d’en assurer un exercice effectif ;

par courrier, directement auprès du service en charge de la protection des données personnelles de la société Pharma Dom ;

directement auprès du médecin effectuant la télésurveillance ;

auprès de l’hébergeur agréé de données de santé.

L’exercice des droits sur les données archivées s’exerce de la même manière.

Concernant les professionnels

Les professionnels sont informés de la collecte et du traitement de leurs données via les conditions générales d’utilisation du logiciel de la solution qu’ils doivent accepter lors de leur première connexion.

Les modalités d’exercice des droits d’accès, de rectification et d’opposition sont similaires à ceux des patients.

La Commission considère que ces modalités d’information, de recueil du consentement et d’exercice des droits sont satisfaisantes, au regard notamment des dispositions de la loi « Informatique et Libertés ».

Sur les mesures de sécurité

L'ensemble des données de santé à caractère personnel traitées sont hébergées auprès d’un hébergeur agréé dans les conditions prévues par la règlementation.

Les échanges de données sont réalisés via des canaux de communication chiffrés et assurant l’authentification de la source et du destinataire.

Les données stockées sont chiffrées avec des algorithmes et des procédures de gestion de clés conformes à l'annexe B1 du référentiel général de sécurité.

La Commission recommande que la création de comptes utilisateur, le paramétrage du canal utilisé pour la transmission des codes à usage unique et le renouvellement du mot de passe soient sécurisés par une authentification forte avec la carte CPS de l’utilisateur ou celle de son responsable s’il n’en dispose pas lui-même.

Sous réserve de l’effectivité de l’ensemble des éléments précités, la Commission considère que la sécurité du dispositif est assurée de façon adéquate, conformément à l’article 34 de la loi « Informatique et Libertés ». Elle rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.

Sur les autres caractéristiques du traitement

L’ensemble des données traitées par la société Pharma Dom est conservé six mois en base active à compter de la fin de la période de prise en charge du patient, puis en base archive pendant dix ans.

A l’issue de cette période, l’ensemble des données à caractère personnel traitées sera supprimé.

Par ailleurs, les données à caractère personnel collectées dans le cadre d’opérations de facturation et la liquidation des droits (NIR) sont conservées pour une durée de deux ans à compter de la fin de la prestation.

Autorise, conformément à la présente délibération, la société Pharma Dom à mettre en œuvre le traitement susmentionné.

Pour la Présidente Le Vice-Président délégué

Marie-France MAZARS




Nature de la délibération: Autorisation
Date de la publication sur legifrance: 30 mai 2018