Décret n° 2015-389 du 3 avril 2015 autorisant les traitements automatisés de données à caractère personnel et les échanges d'informations mis en œuvre par les organismes gestionnaires des régimes obligatoires de base de l'assurance maladie pour l'accomplissement de leurs missions en matière de lutte contre les fautes, abus et fraudes


JORF n°0082 du 8 avril 2015 page 6366
texte n° 15




Décret n° 2015-389 du 3 avril 2015 autorisant les traitements automatisés de données à caractère personnel et les échanges d'informations mis en œuvre par les organismes gestionnaires des régimes obligatoires de base de l'assurance maladie pour l'accomplissement de leurs missions en matière de lutte contre les fautes, abus et fraudes

NOR: AFSS1428487D
ELI: https://www.legifrance.gouv.fr/eli/decret/2015/4/3/AFSS1428487D/jo/texte
Alias: https://www.legifrance.gouv.fr/eli/decret/2015/4/3/2015-389/jo/texte


Publics concernés : bénéficiaires de prestations de sécurité sociale, professionnels de santé et employeurs.
Objet : mise en œuvre de traitements de données à caractère personnel destinés à l'exercice des missions des organismes de gestionnaires des régimes obligatoires de l'assurance maladie en matière de lutte contre les fautes, abus et fraudes.
Entrée en vigueur : le présent décret entre en vigueur le lendemain de sa publication.
Notice : le décret autorise la mise en œuvre, par les organismes gestionnaires des régimes obligatoires de base de l'assurance maladie, de traitements de données à caractère personnel nécessaires à la lutte contre la fraude interne et les fautes, abus et fraudes des assurés, ayants droit, bénéficiaires de droits, employeurs, tiers, professionnels et établissements de santé, établissements médico-sociaux, établissements d'hébergement de personnes âgées dépendantes, laboratoires d'analyses médicales, fournisseurs et autres prestataires de services, ou toute autre personne physique ou morale autorisée à réaliser des actes de prévention, de diagnostic et de soins, à réaliser une prestation de service ou des analyses de biologie médicale ou à délivrer des produits ou dispositifs médicaux.
Références : le présent décret peut être consulté sur le site Légifrance (http :// www. legifrance. gouv. fr).
Le Premier ministre,
Sur le rapport de la ministre des affaires sociales, de la santé et des droits des femmes,
Vu le code rural et de la pêche maritime ;
Vu le code de la sécurité sociale, notamment ses articles L. 114-9, L. 224-14 et L. 611-4 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27 ;
Vu l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu l'avis de la Caisse nationale de l'assurance maladie des travailleurs salariés en date du 26 août 2014 ;
Vu l'avis de la Caisse centrale de la mutualité sociale agricole en date du 10 septembre 2014 ;
Vu l'avis de la Commission nationale de l'informatique et des libertés en date du 23 octobre 2014 ;
Le Conseil d'Etat (section sociale) entendu,
Décrète :


Pour l'application des dispositions du chapitre IV ter du titre Ier et du livre Ier et de la première partie du code de la sécurité sociale relatives au contrôle et à la lutte contre la fraude ainsi que des articles L. 224-14 et L. 315-1 du code de la sécurité sociale et des articles L. 723-2 et L. 723-11 du code rural et de la pêche maritime, les organismes gestionnaires des régimes obligatoires de base de l'assurance maladie sont autorisés à mettre en œuvre des traitements de données à caractère personnel dont la finalité est la lutte contre la fraude interne et les fautes, abus et fraudes des assurés, ayants droit, bénéficiaires de droits, employeurs, tiers, professionnels et établissements de santé, établissements médico-sociaux, établissements d'hébergement de personnes âgées dépendantes, laboratoires d'analyses médicales, fournisseurs et autres prestataires de services, ou toute autre personne physique ou morale autorisée à réaliser des actes de prévention, de diagnostic et de soins, à réaliser une prestation de service ou des analyses de biologie médicale ou à délivrer des produits ou dispositifs médicaux, et à cet effet :
1° Effectuer les opérations nécessaires au calcul des indus et des sanctions et à suivre et analyser des situations administratives, des prestations versées, des soins produits et des biens délivrés ;
2° Elaborer une typologie des risques de fautes, abus et fraudes permettant de mieux cibler les dossiers à contrôler ;
3° Communiquer les informations relatives aux fautes, abus et fraudes aux organismes gestionnaires des régimes obligatoires ;
5° Transmettre à l'établissement de santé, par tout moyen permettant de déterminer la date de réception, le rapport de contrôle prévu à l'article R. 162-42-10 du code de la sécurité sociale ;
4° Recueillir les informations susceptibles de constituer un manquement aux règles de déontologie de la part d'un professionnel de santé inscrit à un ordre professionnel et à les communiquer à l'ordre compétent en application de l'article L. 162-1-19 du code de sécurité sociale ;
6° Produire le rapport de synthèse prévu à l'article L. 114-9 du code de sécurité sociale ;
7° Suivre les signalements de suspicions de fautes, abus et fraudes afin de diligenter les contrôles, mener les investigations et, le cas échéant, d'engager des actions contentieuses ou des mesures d'accompagnement ;
8° Suivre les actions contentieuses et les actions de prévention et de lutte contre les fautes, abus et fraudes ;
9° Effectuer des requêtes et de produire des statistiques relatives à la fraude, à partir des données préalablement anonymisées.


Les traitements autorisés par l'article 1er peuvent porter sur les catégories de données suivantes, dès lors que ces données s'avèrent strictement nécessaires et proportionnées aux finalités poursuivies :
A. - Les données d'identification des personnes physiques ou morales auteurs ou concernés par une faute, un abus ou une fraude présumés ou avérés, qui comportent :
1° Pour chaque personne physique :
a) Le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) et, le cas échéant, tout numéro d'immatriculation temporaire qui leur aurait été attribué ou, pour les personnes en instance d'attribution d'un numéro d'inscription au répertoire national d'identification des personnes physiques, un numéro identifiant d'attente (NIA) attribué pour l'ensemble des organismes par la Caisse nationale d'assurance vieillesse des travailleurs salariés à partir des données d'état civil, et leur date d'attribution ;
b) Le nom de famille, le nom d'usage, les prénoms, le sexe ;
c) La date et le lieu de naissance ;
d) Le numéro de pièce d'identité ou de titre de séjour ;
e) Les coordonnées postales, téléphoniques et électroniques ;
2° Pour les personnes morales : la raison sociale, l'identifiant SIRET, les noms, prénoms et date de naissance du représentant légal et l'adresse du siège social ;
3° Pour les professionnels de santé, les établissements, fournisseurs et autres prestataires de services : les numéros d'identification, catégorie, spécialité, secteur de conventionnement ;
4° Dans le cadre d'une recherche de fraude interne, le numéro d'agent ;
5° Le pays où les soins ont été délivrés.
B. - Les informations décrivant les caractéristiques de la faute, de l'abus ou de la fraude, qui comportent :
1° La branche, le service et la prestation ou le droit concerné ;
2° La date ou période des faits ;
3° La date de découverte des faits et les modalités de détection de la faute, de l'abus ou de la fraude ;
4° Le domaine de risque ;
5° Le type de faute, abus ou fraude ;
6° La nature du ou des documents en cause ;
7° L'évaluation du montant du préjudice subi ou évité ;
8° L'identification des tiers concernés, en particulier en tant que victime, témoin des faits, complice ou coauteur potentiel, comportant éventuellement, sauf pour les témoins des faits, le NIR lorsque cette information est utile aux besoins de l'enquête ;
9° Le comité opérationnel départemental anti-fraude concerné ;
10° Toutes les informations utiles relatives à la prestation ou au droit servi dont le numéro identifiant le séjour en établissement dans le cadre du contrôle des établissements.
C. - En cas de faute, abus ou fraude avérés, les informations relatives aux actions engagées à l'initiative des organismes gestionnaires des régimes obligatoires de base de l'assurance maladie, qui comportent :
1° La nature des actions engagées ;
2° Le cas échéant, l'autorité saisie ;
3° La mention : « procédure en cours » ou « clôturée » et, le cas échéant, la date de clôture ;
4° Le cas échéant, les mentions : « classement sans suite », « non lieu » ou « relaxe » ;
5° Les mentions de notification d'indu, de signature de transaction, de notification d'une pénalité financière, leur montant et, le cas échéant, leur recouvrement ;
6° Les sanctions ordinales.


I. - Ont accès aux données des traitements mentionnés à l'article 1er pour leur enregistrement et leur gestion et à raison de leurs attributions respectives et dans la limite du besoin d'en connaître les agents intervenant dans la prise en charge des assurés, individuellement habilités par le directeur de l'organisme d'assurance maladie auquel ils appartiennent.
II. - Sont destinataires des données des traitements mentionnés à l'article 1er strictement nécessaires à l'exercice de leurs missions et dans la limite du besoin d'en connaître :
1° Les agents de l'Etat ou des organismes de protection sociale mentionnés à l'article L. 114-16-3 du code de sécurité sociale ;
2° Les agents des services dépendant du ministère chargé des finances publiques chargés de la lutte contre la fraude.
III. - N'ont accès aux données à caractère médical que les praticiens-conseils et personnels placés sous leur autorité, dans le respect des règles du secret médical et dans la stricte mesure où ces données sont nécessaires à l'exercice des missions qui leur sont confiées.


I. - Les données enregistrées dans les outils de gestion des alertes sont conservées pour une durée maximale de cinq ans. Toute alerte non pertinente est supprimée sans délai.
II. - Les données de signalement des fautes, abus et fraudes et anomalies sont conservées pour des durées maximales de :
1° Un an pour les dossiers classés sans suite par l'organisme ou ayant fait l'objet d'une décision de non lieu ou de relaxe à compter de la date de cette décision ;
2° Un an pour les dossiers classés sans suite par le procureur de la République sauf s'ils font encore l'objet d'une procédure de sanction ou conventionnelle ;
3° Cinq ans à compter de l'intervention d'une décision définitive en cas de contentieux, dans les autres cas.
III. - Les données issues de requêtes pour la réalisation du ciblage des dossiers à contrôler sont conservées jusqu'au ciblage suivant sur le même type de faute, abus ou fraude ou la même personne et pendant une durée qui ne peut excéder trois ans.
IV. - Au-delà de leur délai de conservation, les données mentionnées aux I et II, à l'exception des données relatives aux dossiers classés sans suite, peuvent être archivées pour une période de cinq ans maximum dans un environnement logique séparé, aux fins d'évaluation.
L'accès aux données archivées est réservé aux seuls agents habilités par le directeur de l'organisme, lorsqu'aucune donnée de santé n'est concernée, conjointement par le médecin-conseil responsable de l'échelon local du service médical ou par le médecin-conseil chef de service du contrôle médical des caisses de mutualité sociale agricole et par le directeur de l'organisme, lorsque des données de santé sont concernées. L'accès simultané aux données archivées à caractère médical et aux identifiants des personnes physiques est réservé aux praticiens-conseils et aux personnels placés sous leur autorité.
V. - Les informations relatives à l'identification des agents ayant accédé aux données enregistrées dans les traitements visés à l'article 1er ou les ayant modifiées ainsi que les dates, heures et types de ces accès ou modifications sont conservées durant l'année civile au cours de laquelle l'accès ou la modification a eu lieu et les quatre années civiles suivantes.
VI. - Pour chacun des traitements autorisés en application du présent décret, les données sont conservées pendant une durée proportionnée à la finalité poursuivie par le traitement, conformément aux dispositions des articles 6 et 36 de la loi du 6 janvier 1978 susvisée.


Les personnes auxquelles se rapportent les données des traitements mentionnés à l'article 1er sont informées de l'existence et de la mise en œuvre d'un traitement les concernant autorisé en application du présent décret, de ses finalités, de l'identité du responsable du traitement, des destinataires des données et des modalités d'exercice des droits d'accès et de rectification prévus par les articles 39 et 40 de la loi du 6 janvier 1978 susvisée par la diffusion d'une information sur les sites internet respectifs des régimes obligatoires de base de l'assurance maladie.
Le droit d'opposition prévu à l'article 38 de la loi du 6 janvier 1978 susvisée ne s'applique pas aux traitements autorisés par le présent décret.
Les droits d'accès et de rectification prévus aux articles 39 et 40 de la loi du 6 janvier 1978 susvisée s'exercent auprès du directeur de l'organisme de rattachement des personnes concernées.


Les responsables des traitements prennent les mesures nécessaires pour préserver la sécurité des données tant à l'occasion de leur recueil que de leur consultation, de leur communication ou de leur conservation ainsi que des informations mentionnées au V de l'article 4.
Les traitements mis en œuvre dans le cadre du présent décret respectent, lorsqu'ils y sont soumis, le référentiel général de sécurité mentionné à l'article 9 de l'ordonnance du 8 décembre 2005 susvisée.


En application des dispositions du IV de l'article 26 de la loi du 6 janvier 1978 susvisée, le responsable de chacun des traitements de données autorisés sur le fondement du présent décret adresse à la Commission nationale de l'informatique et des libertés, préalablement à sa mise en œuvre, un engagement de conformité aux dispositions du présent décret dans les conditions fixées à l'article 8 du décret du 20 octobre 2005 susvisé.


La ministre des affaires sociales, de la santé et des droits des femmes et le ministre de l'agriculture, de l'agroalimentaire et de la forêt, porte-parole du Gouvernement, sont chargés, chacun en ce qui le concerne, de l'exécution du présent décret, qui sera publié au Journal officiel de la République française.


Fait le 3 avril 2015.


Manuel Valls

Par le Premier ministre :


La ministre des affaires sociales, de la santé et des droits des femmes,

Marisol Touraine


Le ministre de l'agriculture, de l'agroalimentaire et de la forêt, porte-parole du Gouvernement,

Stéphane Le Foll