Décret n° 2015-1263 du 9 octobre 2015 autorisant la création de traitements de données à caractère personnel pour la mise en œuvre des actes de télémédecine issus des expérimentations fondées sur l'article 36 de la loi n° 2013-1203 du 23 décembre 2013 de financement de la sécurité sociale pour 2014




Décret n° 2015-1263 du 9 octobre 2015 autorisant la création de traitements de données à caractère personnel pour la mise en œuvre des actes de télémédecine issus des expérimentations fondées sur l'article 36 de la loi n° 2013-1203 du 23 décembre 2013 de financement de la sécurité sociale pour 2014

NOR: AFSH1507867D
Version consolidée au 24 août 2016

Le Premier ministre,
Sur le rapport de la ministre des affaires sociales, de la santé et des droits des femmes,
Vu le code de la santé publique, notamment ses articles L. 6316-1, R. 6316-1 et R. 6316-2 ;
Vu le code de la sécurité sociale, notamment ses articles L. 162-1-7 et R. 161-43 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment le 1° du I de son article 27 ;
Vu la loi n° 2013-1203 du 23 décembre 2013 de financement de la sécurité sociale pour 2014, notamment son article 36 ;
Vu le décret n° 2014-1523 du 16 décembre 2014 autorisant la création d'un traitement de données à caractère personnel pour le dépistage de la rétinopathie diabétique ;
Vu la délibération n° 2014-239 du 12 juin 2014 de la Commission nationale de l'informatique et des libertés relative à la mise en œuvre par les professionnels et les établissements de santé ainsi que les professionnels du secteur médico-social habilités par une loi, de traitements de données à caractère personnel ayant pour finalité l'échange par voie électronique de données de santé à travers un système de messagerie sécurisé ;
Vu l'avis de la Commission nationale de l'informatique et des libertés en date du 2 avril 2015 ;
Vu l'avis du conseil de la Caisse nationale de l'assurance maladie des travailleurs salariés en date du 5 mai 2015 ;
Vu l'avis du conseil central d'administration de la Mutualité sociale agricole en date du 12 mai 2015 ;
Vu l'avis de la Commission des accidents du travail et des maladies professionnelles en date du 13 mai 2015 ;
Vu l'avis du conseil de l'Union nationale des caisses d'assurance maladie en date du 21 mai 2015 ;
Le Conseil d'Etat (section sociale) entendu,
Décrète :


I.-Pour l'application de l'article 36 de la loi de financement de la sécurité sociale pour 2014, qui prévoit, à titre expérimental, la réalisation d'actes de télémédecine tels que définis à l'article L. 6316-1 du code de la santé publique, les professionnels mentionnés à l'article R. 6316-1 du même code qui participent à la réalisation de ces mêmes actes sont autorisés à mettre en œuvre des traitements de données à caractère personnel, conformément aux dispositions du 1° du I de l'article 27 de la loi du 6 janvier 1978 susvisée.
II.-Ces traitements de données à caractère personnel ont pour finalités :
1° La prise en charge coordonnée, et le cas échéant conjointe, d'un patient par les professionnels mentionnés au I au moyen de la télémédecine dans les conditions prévues aux articles L. 6316-1 et R. 6316-1 à R. 6316-5 et R. 6316-8 à R. 6316-11 du même code ;
2° La transmission au professionnel de santé distant ou à la structure au sein de laquelle il exerce, des données nécessaires à la facturation de l'acte de télémédecine qu'il réalise et à la transmission de ces données à l'organisme d'assurance maladie obligatoire et à l'organisme d'assurance maladie complémentaire compétents.
III.-Ont la qualité de responsables de traitement les professionnels mentionnés au I qui le mettent en œuvre, qu'ils sollicitent l'acte en cause ou le réalisent, et, dans le cas où ils n'exercent pas leur activité à titre libéral, les employeurs de ces professionnels.
IV.-La personne responsable du traitement adresse à la Commission nationale de l'informatique et des libertés un engagement de conformité du traitement aux prescriptions du présent décret.


Les données à caractère personnel utilisées par les traitements mentionnés à l'article 1er du présent décret sont :
1° Les informations nécessaires à la facturation de l'acte de télémédecine réalisé par le professionnel de santé distant :
a) Le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) et, le cas échéant, tout numéro d'immatriculation temporaire qui leur aurait été attribué, pour les personnes en instance d'attribution d'un numéro d'inscription au répertoire national d'identification des personnes physiques, un numéro identifiant d'attente (NIA) attribué par la Caisse nationale d'assurance vieillesse des travailleurs salariés à partir des données d'état civil ;
b) Les noms, prénoms, date de naissance, lieu de résidence, organisme d'affiliation au titre du régime obligatoire et organisme d'assurance maladie complémentaire du patient ;
2° Les informations nécessaires à la transmission du compte rendu de l'acte réalisé au patient et aux professionnels mentionnés au I de l'article 1er participant à sa prise en charge : nom, prénom, numéro de téléphone, adresse postale, adresse de messagerie sécurisée des professionnels de santé et, lorsqu'il existe et que le patient a donné son consentement, données nécessaires au dépôt du compte rendu dans son dossier médical personnel ;
3° Les données cliniques, notamment les résultats d'analyse et d'examen, les éventuels clichés, images, photos et autres supports numériques nécessaires à la réalisation de l'acte de télémédecine par le professionnel de santé requis à distance.


Les professionnels mentionnés au I de l'article 1er ou, le cas échéant, leur employeur, responsables du traitement s'acquittent de leur devoir d'information dans les conditions prévues à l'article 32 de la loi du 6 janvier 1978 susvisée.
Ce devoir d'information porte en outre sur les modalités de réalisation de l'acte et de transmission des données mentionnées à l'article 2 du présent décret au professionnel de santé requis en vue de la réalisation de l'acte de télémédecine dans le respect des dispositions de l'article L. 1111-2 du code de la santé publique.
Préalablement à la réalisation de l'acte de télémédecine, le consentement du patient est recueilli dans le respect des dispositions de l'article L. 1111-4 du même code.


I. - La transmission des données mentionnées à l'article 2 du présent décret s'effectue :
1° Soit par messagerie sécurisée de santé autorisée par la délibération du 12 juin 2014 de la Commission nationale de l'informatique et des libertés susvisée ;
2° Soit, lorsqu'elle a pour objectif de permettre la facturation de l'acte, au moyen d'un dispositif contribuant à l'élaboration d'une facture.
Ce dispositif :
a) Apporte une qualité de service au moins équivalente à celle rendue par la messagerie sécurisée de santé mentionnée au 1° du présent article ;
b) Respecte les conditions de mise en œuvre des activités de télémédecine décrites dans le code de la santé publique ;
c) Respecte les dispositions du cahier des charges SESAM-Vitale mis à jour par le GIE SESAM-VITALE ;
d) Garantit l'intégrité, la confidentialité et la disponibilité des données qui sont transmises ;
e) Garantit que les flux d'informations échangées sont tracés et, le cas échéant, hébergés auprès d'un hébergeur agréé de données de santé.
II. - Le professionnel de santé qui réalise à distance l'acte de télémédecine est destinataire de l'ensemble des données mentionnées à l'article 2 du présent décret.
Les professionnels destinataires du compte rendu mentionné au 2° du même article 2 sont destinataires des données mentionnées au b du 1° et au 2° du même article 2.
L'organisme d'assurance maladie obligatoire compétent est destinataire des données mentionnées aux 1° et 2° du même article 2.
Les organismes d'assurance maladie complémentaires compétents sont destinataires des données mentionnées au 1° du même article 2.


Les données mentionnées à l'article 2 du présent décret sont conservées :
1° Par le médecin prescripteur, le professionnel demandeur d'un acte de télémédecine ou, le cas échéant, leur employeur, pendant une durée maximale de trente jours suivant leur transmission au professionnel de santé qui réalise l'acte de télémédecine ;
2° Par le professionnel de santé qui réalise l'acte de télémédecine, pendant une durée maximale de quatre-vingt-dix jours, dans les conditions précisées par l'article 3 de la délibération du 12 juin 2014 de la Commission nationale de l'informatique et des libertés susvisée ;
3° Exclusivement dans le dossier médical du patient pour ce qui est des données mentionnées aux 3° de l'article 2 du présent décret, dans des conditions et délais conformes au droit en vigueur applicable aux professionnels de santé libéraux, aux établissements de santé, et aux établissements et services médico-sociaux concernés. Les durées de conservation de trente et quatre-vingt-dix jours respectivement mentionnées aux 1° et 2° du présent article ont uniquement vocation à permettre la réalisation de l'acte de télémédecine, la transmission du compte rendu de l'acte réalisé ou la facturation de l'acte de télémédecine.
Les données mentionnées au présent article peuvent être hébergées auprès d'un tiers disposant d'un agrément conformément aux dispositions de l'article L. 1111-8 du code de la santé publique.
La conservation et l'archivage des données mentionnées aux 1°, 2° et 3° du présent article sont réalisés dans des conditions de sécurité conformes aux dispositions de l'article 34 de la loi du 6 janvier 1978 susvisée.


Les droits d'accès et de rectification prévus par les articles 39 et 40 de la loi du 6 janvier 1978 susvisée s'exercent auprès de l'un des professionnels mentionnés au I de l'article 1er du présent décret impliqués dans la prise en charge ou, le cas échéant, de leur employeur.


Par dérogation aux dispositions de l'article R. 161-43 du code de la sécurité sociale, la signature de la feuille de soins ou du bordereau établi pour la facturation des frais correspondants, quels qu'en soient le support et le mode de transmission, par l'assuré ou le bénéficiaire, n'est pas exigée.


Sous réserve de la présentation à la Commission nationale de l'informatique et des libertés, par le responsable de chaque traitement, de l'engagement de conformité mentionné au IV de l'article 1er, les traitements de données à caractère personnel faisant l'objet du présent décret sont autorisés pour toute la durée des expérimentations prévues à l'article 36 de la loi du 23 décembre 2013 de financement de la sécurité sociale pour 2014 susvisée.

Article 9
A modifié les dispositions suivantes :


Le ministre des finances et des comptes publics et la ministre des affaires sociales, de la santé et des droits des femmes sont chargés, chacun en ce qui le concerne, de l'exécution du présent décret, qui sera publié au Journal officiel de la République française.


Fait le 9 octobre 2015.


Manuel Valls

Par le Premier ministre :


La ministre des affaires sociales, de la santé et des droits des femmes,

Marisol Touraine


Le ministre des finances et des comptes publics,

Michel Sapin