Délibération 2019-102 du 18 juillet 2019

Commission Nationale de l'Informatique et des Libertés
Délibération n°2019-102 du 18 juillet 2019
Délibération n° 2019-102 du 18 juillet 2019 portant avis sur un projet de décret modifiant le décret n° 2017-412 du 27 mars 2017 relatif à l’utilisation du numéro d’inscription au répertoire national d’identification des personnes physiques comme identifiant national de santé et les articles R. 1111-8-1 à R. 1111-8-7 du code de la santé publique (demande d’avis n° 19012320)
NOR: CNIX1927981V
Etat: VIGUEUR

La Commission nationale de l'informatique et des libertés,

Saisie par le ministère des solidarités et de la santé d’une demande d’avis concernant un projet de décret modifiant le décret n° 2017-412 du 27 mars 2017 relatif à l’utilisation du numéro d’inscription au répertoire national d’identification des personnes physiques comme identifiant national de santé et les articles R. 1111-8-1 à R. 1111-8-7 du code de la santé publique ;

Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;

Vu le code de la santé publique, notamment ses articles L. 1111-8-1 et R. 1111-8-1 et suivants ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 8-I-4°-a) ;

Vu le décret n° 2017-412 du 27 mars 2017 relatif à l’utilisation du numéro d’inscription au répertoire national d’identification des personnes physiques comme identifiant national de santé ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le dossier ;

Après avoir entendu Mme Valérie PEUGEOT, commissaire, en son rapport et Mme Nacima BELKACEM, commissaire du gouvernement, en ses observations,

Émet l’avis suivant :

La Commission a été saisie par le ministère des solidarités et de la santé (ci-après le ministère), en application de l’article 8-I-4°-a) de la loi du 6 janvier 1978 (ci-après loi informatique et libertés ), d’une demande d’avis sur un projet de décret modifiant le décret n° 2017-412 du 27 mars 2017 relatif à l’utilisation du numéro d’inscription au répertoire national d’identification des personnes physiques comme identifiant national de santé et les articles R. 1111-8-1 à R. 1111-8-7 du code de la santé publique (CSP).

L’article L. 1111-8-1 du CSP a consacré le principe de l’utilisation du numéro d’inscription au répertoire national d’identification des personnes physiques (NIR) comme identifiant national de santé (INS) afin de permettre, sans risque d’erreur et dans l’intérêt des patients, les échanges et le partage d’informations de santé entre les multiples acteurs de la sphère sanitaire et médico-sociale.

Le décret n° 2017-412 du 27 mars 2017 relatif à l’utilisation du NIR comme INS, codifié aux articles R. 1111-8-1 et suivants du CSP, a encadré l’usage de l’INS en le subordonnant au respect des garanties fondamentales suivantes, notamment :

  • l’INS doit être employé à des fins exclusivement sanitaires et médico-sociales pour référencer les données de santé et les données administratives de toute personne bénéficiant ou appelée à bénéficier d’un acte diagnostique, thérapeutique, de prévention, de soulagement de la douleur, de compensation du handicap, de prévention de la perte d’autonomie ou d’interventions nécessaires à la coordination de plusieurs de ces actes ;
  • les acteurs directement concernés par l’obligation de référencement sont les professionnels, établissements, services ou organismes mentionnés à l’article L.1110-4 du CSP et les professionnels constituant une équipe de soins et intervenant dans la prise en charge sanitaire ou médico-sociale de l’usager ;
  • l’accès à l’INS s’effectue par la carte d’assurance maladie dite carte Vitale ou, lorsque cette carte n’est pas accessible ou ne comporte pas l’information, par la mise à disposition de téléservices de recherche et de vérification de l’INS mis en œuvre par la Caisse nationale de l’assurance maladie (CNAM).

Un projet d’arrêté, portant approbation d’un référentiel dédié à l’INS, doit définir les modalités de mise en œuvre de l’obligation de référencement des données et préciser les procédures de surveillance et de gestion des risques et erreurs liés à l’identification des personnes prises en charge. A l’occasion des réflexions menées autour de la rédaction de ce référentiel, le ministère a souhaité fiabiliser l’INS traité et, dans cette perspective, retenir une qualification systématique de l’INS par appel aux téléservices mis en œuvre par la CNAM.

Or, le recours systématique aux téléservices de la CNAM n’est, en l’état des dispositions de l’article R. 1111-8-6 du CSP, pas prévu. Aussi, une modification préalable des dispositions du décret du 27 mars 2017 précité est nécessaire pour permettre la parution du référentiel.

La Commission indique qu’au-delà de la modification apportée à l’article R. 1111-8-6 du CSP, le projet de décret procède également à des mises en cohérence rendues nécessaires, d’une part, par l’entrée en application de la loi informatique et libertés modifiée par l’ordonnance n° 2018-1125 du 12 décembre 2018 et, d’autre part, par l’ajustement du calendrier de déploiement de l’INS.

Sur ces bases, la Commission formule les observations suivantes :

Sur le traitement de l’INS à des fins de recherche :

Le projet d’article R. 1111-8-2 du CSP modifié réintroduit la possibilité d’utiliser l’INS à des fins de recherche et précise le cadre juridique applicable. En effet, il prévoit que l’INS peut être traité à des fins de recherche dans le domaine de la santé tel que mentionné au dernier alinéa de l’article 30 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, et autorisé dans les conditions prévues à la section 3 du chapitre III du titre II de la même loi .

La Commission relève que l’article 21 l’ordonnance n° 2018-1125 du 12 décembre 2018 précitée a supprimé le II de l’article L. 1111-8-1 du CSP qui reconnaissait la possibilité d’utiliser le NIR comme INS à des fins de recherche et qui prévoyait que la Commission puisse imposer que le NIR soit confié à un organisme tiers, distinct du responsable de traitement, habilité à détenir l’INS et chargé de procéder aux appariements nécessaires. Elle prend acte que le projet d’article R. 1111-8-2 du CSP modifié réintègre le traitement possible de l’INS à des fins de recherche, sous réserve qu’il soit autorisé conformément aux dispositions de la section 3 du chapitre III du titre II de la même loi. Dans ces conditions, elle indique que le traitement de l’INS à des fins de recherche ne soulève aucune observation particulière de sa part.

Sur la généralisation du recours aux téléservices de la CNAM pour fiabiliser le NIR utilisé comme INS :

En premier lieu, en ce qui concerne le recours de principe aux téléservices de la CNAM, le projet d’article R.1111-8-6 du CSP modifié systématise le recours à ces dispositifs, sauf en cas d’indisponibilité des téléservices ou motif légitime invoqué par les professionnels, pour :

  • accéder au NIR utilisé comme INS ;

  • vérifier l’exactitude de l’INS collecté par les professionnels et établissements ainsi que des traits d’identité des usagers concernés.

La Commission relève que ces téléservices, via la collecte de l’INS, sont susceptibles de faciliter l’accès à des données de santé à caractère personnel concernant l’ensemble de la population française et qu’ils ont vocation à être utilisés par l’ensemble des professionnels du secteur sanitaire et médico-social (soit environ 2 millions de personnes). Elle observe que les risques d’interconnexions et de détournements de finalités pourraient, de ce fait, se voir multipliés. Elle estime donc indispensable que ces téléservices intègrent des mesures de sécurité conséquentes, suffisamment fortes pour éviter que l’INS ne soit diffusé plus que nécessaire et à des fins détournées, et qui devront être à même de garantir un haut niveau de disponibilité, d’intégrité, de confidentialité et de traçabilité. Par conséquent, elle demande que, conformément aux dispositions de l’article 35 du RGPD, ces mesures de sécurité soient particulièrement détaillées dans l’analyse d’impact relative à la protection des données que la CNAM devra mener préalablement à la mise en œuvre des téléservices concernés.

Par ailleurs, la Commission s’interroge sur la notion de motif légitime invoqué par un professionnel de santé pour justifier qu’il ne procède pas au référencement des données à partir de l’INS et, par suite, sur les risques possibles de contournement de la réglementation. Elle demande que ce point soit clarifié dans le référentiel à venir.

En deuxième lieu, en ce qui concerne la maîtrise du risque d’erreur dans l’identification des personnes, le projet d’article R. 1111-8-6 du CSP modifié indique que le recours aux téléservices n’exonère pas les professionnels et établissements de mettre en place toute procédure de surveillance, de correction et de prévention des erreurs relevant de l’organisation de la prise en charge des personnes et concourant à la maîtrise du risque d’erreur dans l’identification.

La Commission estime que les données de santé et les données administratives à caractère personnel, le cas échéant, leur échange et leur partage doivent reposer sur un dispositif d’indexation fiable, ce qui implique de disposer de l’identité exacte de l’usager conformément aux dispositions de l’article 5-1-d) du RGPD, afin d’éviter tout risque de confusion d’identité dont les conséquences pourraient être particulièrement graves. Elle rappelle qu’un recueil d’identité qui ne serait pas suffisamment fiable remettrait non seulement en cause l’opération de référencement en résultant, mais également toute la chaîne des traitements de données de santé et de données administratives indexés sur l’INS à partir de ce référencement. Un recueil insuffisamment fiable dans l’identité constituerait un risque important pour l’interopérabilité des systèmes d’information locaux alors que cette interopérabilité est conçue par le ministère pour faciliter le décloisonnement des parcours de soins et éviter les doublons de dossiers ainsi que les collisions d’identité conduisant à rattacher des données d’une personne à une autre. Plus largement, il affecterait la qualité et la sécurité des soins prodigués à l’usager.

Aussi, compte tenu des enjeux, la Commission considère que le renvoi à la responsabilité des professionnels et établissements de santé dans l’élaboration de procédures de surveillance, de correction et de prévention des erreurs au titre de l’organisation de la prise en charge des usagers, s’il est utile, n’est pas suffisant. Elle demande que le ministère précise les modalités de vérification de l’identité des usagers concernés par l’opération de référencement dans le référentiel à venir.

En troisième lieu, en ce qui concerne la nature des téléservices mis en œuvre par la CNAM, le projet d’article R. 1111-8-6 du CSP modifié qualifie ces téléservices de téléservices de l’administration électronique au sens des dispositions de l’ordonnance n° 2005-1516 du 8 décembre 2005 modifiée relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives. La Commission relève que ces téléservices vont permettre aux établissements et professionnels des secteurs sanitaire et médico-social, dans le cadre de leur obligation de référencer les données, d’effectuer une démarche de nature administrative de récupération et de vérification de l’INS et des traits d’identité des usagers auprès de la CNAM. Elle constate que, pour cette raison, le ministère fait le choix d’appliquer les dispositions de l’ordonnance précitée. Elle prend acte de ce choix et indique, en conséquence, que les téléservices doivent être conformes au référentiel général de sécurité (RGS) prévu par le décret n° 2010-112 du 2 février 2010 et doivent, à ce titre, faire l'objet d'une analyse de risque incluant les risques pesant sur les personnes concernées. Elle rappelle également qu’il revient à la CNAM en tant que responsable de traitement d’attester formellement de l'acceptation du niveau de sécurité des téléservices au travers d’une homologation RGS et d'en publier l'attestation d'homologation sur son site.

Sur l’ajustement du calendrier applicable au déploiement de l’INS et ces incidences en termes de formalités à réaliser auprès de la Commission :

Le projet d’article 2 du décret n° 2017-412 du 27 mars 2017 modifié intègre un nouveau calendrier, imposant aux professionnels et établissements de santé de se conformer aux exigences posées en matière de référencement des données avant le 1er janvier 2021. Par ailleurs, il supprime, outre les dates de parution du référentiel INS (dont la publication était prévue au plus tard le 31 mars 2018) et de mise en œuvre des téléservices de la CNAM (fixée au plus tard le 31 décembre 2018), la possibilité d’utiliser l’INS avant même la parution du référentiel ainsi que la formalité de notification à laquelle les professionnels et établissements devaient, dans cette hypothèse, procéder auprès de la Commission. La Commission signale qu’aucune notification portant sur l’utilisation du NIR comme INS ne lui est à ce jour parvenue.

La Commission relève que l’usage de l’INS ne peut intervenir, en pratique, que si les conditions techniques d’utilisation en termes de sécurité et l’architecture globale du téléservice, en sont précisées par le référentiel à venir. Elle ajoute également que l’accès à un INS fiabilisé est, à ce jour, rendu impossible dans la mesure où les téléservices de la CNAM ne sont pas encore en service.

Dans ces conditions, la Commission considère que les ajustements, auxquels le projet procède en termes de calendrier et de formalités, sont adaptés.

Les autres points du projet de décret n’appellent pas, en l’état et au regard du Règlement général sur la protection des données et de la loi informatique et libertés , d’autres observations de la Commission.

La Présidente

Marie-Laure DENIS

Date de la publication sur legifrance: 15 octobre 2019