Décret n° 2012-1249 du 9 novembre 2012 autorisant la création de traitements de données à caractère personnel pour la mise en œuvre de programmes de prévention et d'accompagnement en santé des assurés sociaux


JORF n°0263 du 11 novembre 2012 page 17878
texte n° 1




Décret n° 2012-1249 du 9 novembre 2012 autorisant la création de traitements de données à caractère personnel pour la mise en œuvre de programmes de prévention et d'accompagnement en santé des assurés sociaux

NOR: AFSS1233684D
ELI: https://www.legifrance.gouv.fr/eli/decret/2012/11/9/AFSS1233684D/jo/texte
Alias: https://www.legifrance.gouv.fr/eli/decret/2012/11/9/2012-1249/jo/texte


Publics concernés : bénéficiaires de prestations de sécurité sociale.
Objet : mise en œuvre de services en santé par les organismes gestionnaires des régimes obligatoires de base de l'assurance maladie.
Entrée en vigueur : le texte entre en vigueur le lendemain de sa publication.
Notice : le décret autorise la création d'une catégorie de traitements de données à caractère personnel pour la mise en œuvre de programmes de prévention et d'accompagnement en santé des assurés sociaux. Les finalités de ces traitements permettent la mise en œuvre de programmes ou de services de prévention, d'éducation à la santé, de conseil et d'orientation.
Références : le décret peut être consulté sur le site Légifrance (http://www.legifrance.gouv.fr).
Le Premier ministre,
Sur le rapport de la ministre des affaires sociales et de la santé,
Vu le code de la sécurité sociale, notamment son article L. 162-1-11 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment le IV de son article 26 et son article 27 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu l'avis du conseil central d'administration de la Mutualité sociale agricole en date du 16 juillet 2012 ;
Vu l'avis du conseil de la Caisse nationale de l'assurance maladie des travailleurs salariés en date du 19 juillet 2012 ;
Vu la délibération de la Commission nationale de l'informatique et des libertés en date du 19 juillet 2012 ;
Le Conseil d'Etat (section sociale) entendu,
Décrète :


Pour l'application des dispositions de l'article L. 162-1-11 du code de la sécurité sociale, les organismes gestionnaires des régimes obligatoires de base de l'assurance maladie sont autorisés à mettre en œuvre des traitements de données à caractère personnel dont la finalité est d'effectuer les opérations relatives à la gestion de programmes de prévention et d'accompagnement des assurés sociaux ainsi que de leurs ayants droit et, à cet effet :
1° D'effectuer des opérations relatives à l'identification, la sélection et la sollicitation des assurés sociaux et de leurs ayants droit qui sont éligibles aux programmes mentionnés au premier alinéa du présent article ;
2° De mettre en œuvre ces programmes et d'assurer un suivi des services offerts aux personnes qui y ont adhéré.


I. ― Les traitements autorisés par l'article 1er du présent décret peuvent porter sur les catégories de données suivantes :
1° En ce qui concerne les assurés sociaux et leurs ayants droit, éligibles à ces programmes :
a) Les données d'identification, notamment le nom de famille, le nom d'usage, les prénoms, le sexe, la date et le lieu de naissance ;
b) Le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) ;
c) L'adresse postale, les numéros de téléphone et l'adresse électronique ;
d) L'organisme de rattachement ;
e) Les informations relatives à l'étendue des droits au remboursement de soins ainsi que, le cas échéant, au bénéfice de l'exonération du ticket modérateur, de la couverture maladie universelle ou de la couverture maladie universelle complémentaire ;
f) Les données relatives à la santé, à la consommation de médicaments ou de produits de santé ainsi qu'aux hospitalisations et aux soins en établissements de santé, dans la mesure strictement nécessaire à la mise en œuvre des dispositions du 1° de l'article 1er du présent décret ;
2° En ce qui concerne les personnes ayant adhéré à l'un des programmes de prévention et d'accompagnement mentionnés à l'article 1er du présent décret, les données mentionnées aux a à e du 1° du présent article ainsi que :
a) Les données d'identification du médecin traitant, son adresse postale, ses numéros de téléphone et son adresse électronique ;
b) Les données relatives à la situation familiale ;
c) Les données relatives à la situation professionnelle ;
d) Les données relatives aux habitudes de vie ;
e) Les données relatives à la santé, à la consommation de médicaments ou de produits de santé ainsi qu'aux hospitalisations et aux soins en établissements de santé ;
f) Les données relatives aux actions mises en œuvre dans le cadre des programmes mentionnés à l'article 1er du présent décret ;
3° Les données d'identification des professionnels de santé intervenant dans le cadre des programmes mentionnés à l'article 1er du présent décret qui peuvent comporter :
a) Les données d'identification ;
b) L'adresse postale, les numéros de téléphone et l'adresse électronique ;
c) La profession et, le cas échéant, la spécialité ;
d) Les programmes dans le cadre desquels ils interviennent.


L'adhésion aux programmes mentionnés à l'article 1er du présent décret résulte du consentement exprès de la personne éligible ou de son représentant légal. Cette personne peut à tout moment se retirer des programmes auxquels elle a adhéré sans avoir à présenter de justification.


I. ― Seuls les praticiens-conseils des organismes gestionnaires des régimes obligatoires de base de l'assurance maladie et les personnels placés sous leur autorité sont habilités à accéder, dans le respect des règles relatives au secret médical et dans la stricte mesure où elles sont nécessaires à l'exercice des missions qui leur sont confiées, aux données identifiantes mentionnées à l'article 2 du présent décret lorsque ces dernières sont associées à une pathologie diagnostiquée.
II. ― Les professionnels de santé intervenant dans le cadre de ces programmes peuvent, dans le respect des règles relatives au secret médical, être destinataires des données mentionnées à l'alinéa précédent pour les patients à la prise en charge desquels ils participent.


I. ― Les données à caractère personnel mentionnées à l'article 2 du présent décret sont conservées pour une durée qui ne saurait dépasser :
1° Trois ans à compter de la date de la dernière proposition d'adhérer au programme pour lequel le traitement de données est autorisé, pour les données relatives aux personnes sollicitées qui n'y ont pas adhéré, à l'exception des données mentionnées aux a, b et d du 1° de l'article 2 du présent décret, qui peuvent être conservées pendant dix ans ;
2° Trois ans à compter du décès ou de la demande de retrait du programme, pour les données relatives aux personnes qui y ont adhéré, à l'exception des données mentionnées aux a, b et d du 1° de l'article 2 du présent décret, qui peuvent être conservées pendant dix ans ;
II. ― Par dérogation aux dispositions du I du présent article, et en vue d'opérer des traitements statistiques, les données à caractère personnel peuvent être conservées au maximum cinq ans pour un échantillon représentatif de personnes éligibles non adhérentes et de personnes éligibles adhérentes à un programme mentionné à l'article 1er du présent décret, à compter, respectivement, de la dernière proposition d'adhésion ou bien du décès ou de la demande de retrait de ce programme.
La durée mentionnée à l'alinéa précédent peut être portée à quinze ans lorsque le programme est destiné à l'accompagnement de personnes atteintes d'une maladie chronique.


Les droits d'accès, de rectification et d'opposition prévus aux articles 38 à 40 de la loi du 6 janvier 1978 susvisée s'exercent auprès du directeur de la caisse de rattachement des personnes concernées.


En application des dispositions du IV de l'article 26 de la loi du 6 janvier 1978 susvisée, le responsable de chacun des traitements de données autorisés sur le fondement du présent décret adresse à la Commission nationale de l'informatique et des libertés, préalablement à sa mise en œuvre, un engagement de conformité aux dispositions du présent décret dans les conditions fixées à l'article 8 du décret du 20 octobre 2005 susvisé.


La ministre des affaires sociales et de la santé est chargée de l'exécution du présent décret, qui sera publié au Journal officiel de la République française.


Fait le 9 novembre 2012.


Jean-Marc Ayrault


Par le Premier ministre :


La ministre des affaires sociales

et de la santé,

Marisol Touraine