Décret n° 2015-390 du 3 avril 2015 autorisant les traitements de données à caractère personnel par les organismes gestionnaires des régimes obligatoires de base de l'assurance maladie pour l'accomplissement de leurs missions d'affiliation, d'immatriculation, d'instruction des droits aux prestations et de prise en charge des soins, produits et services




Décret n° 2015-390 du 3 avril 2015 autorisant les traitements de données à caractère personnel par les organismes gestionnaires des régimes obligatoires de base de l'assurance maladie pour l'accomplissement de leurs missions d'affiliation, d'immatriculation, d'instruction des droits aux prestations et de prise en charge des soins, produits et services

NOR: AFSS1428491D
Version consolidée au 29 mai 2017

Le Premier ministre,

Sur le rapport de la ministre des affaires sociales, de la santé et des droits des femmes,

Vu le code de l'action sociale et des familles, notamment son article L. 251-1 ;

Vu le code rural et de la pêche maritime, notamment ses articles L. 723-2, L. 723-3 et L. 723-11 ;

Vu le code de la sécurité sociale ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27 ;

Vu l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 79-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu l'avis de la Caisse nationale de l'assurance maladie des travailleurs salariés en date du 26 août 2014 ;

Vu l'avis de la Caisse centrale de la mutualité sociale agricole en date du 10 septembre 2014 ;

Vu l'avis de la Commission nationale de l'informatique et des libertés en date du 23 octobre 2014 ;

Le Conseil d'Etat (section sociale) entendu,

Décrète :


Pour l'application des articles L. 115-7, L. 161-1-4, L. 211-1, L. 221-1, L. 611-4 et L. 611-8 du code de la sécurité sociale, L. 723-2, L. 723-3, L. 723-11 et L. 723-12-1 du code rural et de la pêche maritime ainsi que l'article L. 251-1 du code de l'action sociale et des familles, les organismes gestionnaires des régimes obligatoires de base de l'assurance maladie sont autorisés à mettre en œuvre des traitements de données à caractère personnel destinés à l'exercice des missions qui leur sont confiées par la loi dont les finalités sont les suivantes :
1° L'immatriculation, l'affiliation, l'instruction, la gestion et le contrôle des droits des bénéficiaires des prestations de l'assurance maladie, maternité, paternité, invalidité et décès, de la protection complémentaire en matière de santé, de l'aide au paiement d'assurance complémentaire de santé, des prestations relevant de l'action sanitaire et sociale, de la prévention, de la législation en matière d'accidents du travail et de maladies professionnelles et de l'aide prévue à l'article L. 251-1 du code de l'action sociale et des familles ;
2° L'acquisition, le contrôle, le traitement et l'enregistrement des informations utiles :
a) Au versement des prestations et aides mentionnées au 1° et des rémunérations ;
b) A la délivrance de soins, produits ou prestations ou aides pris en charge ou faisant l'objet de remboursement ;
c) A la communication d'informations relatives à ces opérations aux bénéficiaires des remboursements, rémunérations ou prises en charge, aux organismes complémentaires et aux professionnels de santé, aux établissements de santé, aux centres de santé et aux structures médico-sociales ainsi qu'aux fournisseurs de services ;
3° La gestion individualisée de la relation avec les bénéficiaires, les professionnels de santé, les établissements de santé, les centres de santé, les structures médico-sociales, les fournisseurs de services, les organismes d'assurance maladie complémentaire, les institutions de prévoyance, les tiers déclarants et les employeurs par courrier postal ou électronique, par messages téléphoniques, par accueil téléphonique ou physique et par téléservices ;
4° Le suivi et le traitement des procédures amiables, recours gracieux, actions contentieuses et actions de prévention et de lutte contre les fautes, abus et fraudes ;
5° Le transfert, lorsqu'un assuré change d'organisme gestionnaire, des informations relatives à cet assuré nécessaires à l'accomplissement des missions du nouvel organisme de rattachement, dans le respect des secrets professionnel et médical ;
6° La production de statistiques et le pilotage et la mise en œuvre des politiques de gestion du risque et de santé publique à partir des données préalablement anonymisées.


Les traitements autorisés par l'article 1er du présent décret peuvent porter sur les catégories de données suivantes :
A. - En ce qui concerne les assurés sociaux et leurs ayants droit :
1° Des données d'identification et relatives à la situation de l'assuré ou de l'ayant droit :
a) Le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) et, le cas échéant, tout numéro d'immatriculation temporaire qui leur aurait été attribué ou, pour les personnes en instance d'attribution d'un numéro d'inscription au répertoire national d'identification des personnes physiques, un numéro identifiant d'attente (NIA) attribué pour l'ensemble des organismes par la Caisse nationale d'assurance vieillesse des travailleurs salariés à partir des données d'état civil et leur date d'attribution ;
b) Le nom de famille, le nom d'usage, les prénoms, le sexe ;
c) La date, le lieu et, le cas échéant, le rang de naissance et la date de décès ;
d) La nationalité, si cette information est nécessaire à l'application d'une convention bilatérale, ou qualité de ressortissant d'un pays membre de l'Union européenne, dont la France, ou d'un pays non membre de l'Union européenne ;
e) Le numéro de pièce d'identité ou de titre de séjour, le numéro AGDREF, les dates limites du titre de séjour et la nature du titre de séjour ;
f) Les informations relatives aux pièces justificatives de la résidence stable en France ;
g) L'adresse postale, les numéros de téléphone et l'adresse électronique ;
h) Le régime de rattachement ou le ou les organismes d'affiliation ;
i) Les informations relatives à l'adhésion à un organisme d'assurance maladie complémentaire ;
j) Les informations relatives aux droits et aux dispositifs d'accès aux soins comportant les justificatifs, périodes et natures ;
k) Les identifiants et le rattachement aux organismes d'allocations familiales ;
l) Les identifiants bancaires ;
m) L'information relative à la désignation d'un médecin traitant et ses nom, prénom, spécialité, numéros d'identification, adresse et numéros de téléphone ;
n) La photographie ;
o) Le montant des ressources et la composition du foyer ;
2° Des données relatives à la santé :
a) L'information relative à la résidence en établissement d'hébergement pour personnes âgées dépendantes, établissement de santé ou centre de santé ;
b) L'information relative à l'exonération ou à la modulation du ticket modérateur, la date, la nature et la durée de l'exonération ;
c) La nature et les montants remboursés des actes, prestations, médicaments ou produits de santé et le numéro de code détaillé des actes effectués ou des prestations délivrées, le pays dans lequel ces actes ont été exécutés ou ces prestations délivrées ;
d) L'existence d'une grossesse, d'une maternité ou d'une paternité et, en cas de grossesse, sa date présumée, la date d'examen, la date de saisie, le nombre d'enfants à naître et le nombre d'enfants à charge ;
e) Le bénéfice de la couverture maladie universelle, de la couverture maladie universelle complémentaire ou de l'aide à l'acquisition d'une complémentaire santé ;
f) Les informations relatives à un appareillage, à une cure thermale, à une prestation soumise à accord préalable ;
g) L'existence d'un recours contre tiers ;
h) L'existence d'un accident du travail, d'une maladie professionnelle ou d'une invalidité, sa date, le siège de la lésion, les numéros de dossier, la nature de l'avis médical ;
i) L'existence d'une hospitalisation, la discipline médico-tarifaire et les modes de traitement, les dates, les groupe homogène de séjour et groupe homogène de tarifs, les prestations dans le cadre de la pharmacie rétrocédée, les spécialités pharmaceutiques et liste des produits et prestations en sus du séjour, le montant du séjour ;
j) Les informations nécessaires à la prise en charge de prestations et aides dans le cadre de l'action sanitaire et sociale, notamment le montant des ressources et la composition du foyer ;
k) Les informations nécessaires à la prise en charge de prestations dans le cadre de la prévention ;
l) Les informations nécessaires à la délivrance des cartes mentionnées à l'article 1er et à la gestion de leur production et renouvellement ;
m) Les données relatives aux arrêts de travail, au versement d'indemnités journalières pour les risques maladie, maternité, paternité, accidents du travail et maladies professionnelles et au versement de pensions d'invalidité, de rentes consécutives à accidents du travail et maladies professionnelles ou de capitaux décès.
B. - En ce qui concerne les demandeurs et bénéficiaires de l'aide prévue à l'article L. 251-1 du code de l'action sociale et des familles, en complément des informations citées au 1° :
a) Le bénéfice de l'aide prévue à l'article L. 251-1 du code de l'action sociale et des familles ;
b) Le numéro de bénéficiaire de l'aide prévue à l'article L. 251-1 du code de l'action sociale et des familles ;
c) La date d'arrivée en France ;
d) Les caractéristiques de l'adresse, qu'il s'agisse d'une adresse personnelle, d'une domiciliation ou d'un hébergement ;
e) Le code type relatif à la validité du titre de séjour, le numéro de duplicata, le code mention figurant sur le titre de séjour ;
f) La photographie ;
g) Le montant des ressources.
C. - En ce qui concerne les professionnels de santé, les auxiliaires médicaux et autres prestataires de service :
a)) Les données d'identification comportant le nom, le prénom, le numéro ADELI, le numéro d'inscription au répertoire partagé des professionnels de santé (RPPS), le numéro SIRET, le numéro FINESS et le numéro d'assurance maladie (DAM) ;
b) La profession et, le cas échéant, la spécialité ;
c) L'adresse postale, les numéros de téléphone et l'adresse électronique ;
d) La situation conventionnelle ;
e) Les actes, produits et prestations prescrits et exécutés avec leur codage détaillé ;
f) Le montant des honoraires ou les montants et les types de rémunérations perçus ainsi que les indicateurs et la patientèle ayant servi au calcul de ces rémunérations ;
g) Les identifiants bancaires ;
h) Les tarifs pratiqués ;
i) Les indicateurs d'activité ;
j) Les informations relatives à l'existence d'un conventionnement du professionnel de santé avec un organisme complémentaire.
D. - En ce qui concerne les établissements de santé, centres de santé et structures médico-sociales :
a) Les données d'identification de l'établissement, comportant la raison sociale, le numéro FINESS, le numéro de SIRET et la caisse de rattachement ;
b) Les données relatives à l'activité de l'établissement, comportant sa catégorie, son statut juridique, les spécialités qui y sont exercées, la discipline médico-tarifaire et les modes de traitement, l'agrément Radio.
E. - En ce qui concerne les employeurs :
a) Le nom, la raison sociale, les numéros SIRET ;
b) L'adresse postale et électronique et les numéros de téléphone ;
c) Les identifiants bancaires ;
d) L'activité principale de l'employeur ;
e) Les éléments déclarés pour la gestion des droits aux prestations ;
f) Les nom, prénom et coordonnées postales, téléphoniques et électroniques des interlocuteurs.
F. - En ce qui concerne les organismes complémentaires :
a) La raison sociale, l'identifiant, les numéros SIRET ;
b) L'image des décomptes, la tarification complémentaire, y compris dans le cadre du tiers payant coordonné ;
c) Les données d'identification du destinataire de la facturation et de l'organisme payeur en cas de tiers payant coordonné, comportant la nature du destinataire ainsi que ses coordonnées postales, téléphoniques et électroniques.


Ont accès aux données mentionnées à l'article 2, pour leur enregistrement et leur gestion et à raison de leurs attributions respectives et dans la limite du besoin d'en connaître, les agents intervenant dans la prise en charge des assurés, individuellement habilités par le directeur de leur organisme d'assurance maladie ainsi que les praticiens-conseils habilités par le médecin-conseil chef du service du contrôle médical et les agents placés sous son autorité.
N'ont accès aux données à caractère médical que les praticiens-conseils et personnels placés sous leur autorité, dans le respect des règles du secret médical et dans la stricte mesure où ces données sont nécessaires à l'exercice des missions qui leur sont confiées.
Lorsqu'un assuré change d'organisme gestionnaire, les agents du nouvel organisme dont il relève ont accès, dans les conditions fixées aux deux alinéas précédents, aux données à caractère personnel le concernant dans la mesure nécessaire pour assurer la continuité de sa prise en charge.
Sont destinataires des données mentionnées à l'article 2 strictement nécessaires à l'exercice de leurs missions, dans la limite du besoin d'en connaître, les agents habilités par l'autorité compétente de leur organisme ou administration :
1° Des caisses d'allocations familiales et de la Caisse nationale d'allocations familiales, pour l'ouverture de droits pour les bénéficiaires des prestations qu'elles servent et la prévention des indus ;
2° Des caisses d'assurance retraite et de la santé au travail et de la Caisse nationale d'assurance vieillesse des travailleurs salariés, pour l'inscription au répertoire national interrégimes des bénéficiaires de l'assurance maladie, créé par l'article L. 161-32 du code de la sécurité sociale, et la détermination des droits à pension ;
3° Des unions de recouvrement des cotisations de sécurité sociale et d'allocations familiales et de l'Agence centrale des organismes de sécurité sociale, pour la fixation du montant des cotisations dues par les professionnels de santé et les bénéficiaires de la couverture maladie universelle ;
4° Des organismes d'assurance maladie complémentaire, pour la prise en charge des prestations qu'ils versent au titre de la part complémentaire, de la CMU-C ou de l'ACS ;
5° De Pôle emploi, pour la prévention des indus ;
6° Des agents des départements et des régions, pour l'exercice de leurs missions en matière sociale ;
7° Des agents du Centre des liaisons européennes et internationales de sécurité sociale, pour l'exercice de leurs missions en matière de gestion des droits des travailleurs détachés ;
8° Des agents des organismes de sécurité sociale étrangers, dans l'exercice de leurs missions en matière de gestion des créances et des dettes internationales de sécurité sociale, pour le remboursement des prestations prises en charge au titre de la réglementation européenne ou des conventions bilatérales ou multilatérales, dans le respect des dispositions des articles 68 et 69 de la loi du 6 janvier 1978 modifiée susvisée ;
9° Des agents des services du ministère de la justice chargés de l'administration pénitentiaire, pour l'exercice de leurs missions en matière de prise en charge des frais de soins des personnes placées sous main de justice en application des dispositions de l'article L. 381-30-1 du code de la sécurité sociale ;
10° Des agents des services du ministère chargé de l'intérieur chargés de la lutte contre la fraude à l'identité, pour l'exercice de cette mission ;
11° Des agents des services de l'administration fiscale, d'une part, pour le calcul de l'imposition dont ces services sont chargés et, d'autre part, pour transmettre à l'organisme d'assurance maladie compétent les informations nécessaires à l'instruction des demandes de prestations sous condition de ressources ;
12° Des comptables publics chargés du recouvrement des créances hospitalières pour l'exercice de cette mission ;
13° Des personnels de l'administration fiscale et des fournisseurs d'énergie pour l'attribution aux bénéficiaires de la couverture maladie universelle complémentaire ou de l'aide à la complémentaire santé des tarifs prévus aux articles L. 337-3 et L. 445-5 du code de l'énergie.
Sont destinataires des données mentionnées à l'article 2 strictement nécessaires à l'exercice de leurs missions, dans la limite du besoin d'en connaître :
a) Pour assurer le versement et le remboursement des indemnités journalières, les employeurs ou les tiers agissant pour leur compte ;
b) Pour leur information sur les soins qu'ils ont effectués, remboursés ou pris en charge, les professionnels de santé et établissements de soins.
Sont destinataires des données anonymisées, le cas échéant agrégées, strictement nécessaires à l'exercice de leurs missions, dans la limite du besoin d'en connaître, les agents de la Haute Autorité de santé, de la Commission européenne et des ministères chargés de la sécurité sociale, de l'agriculture et du travail.


Les données mentionnées à l'article 2, à l'exception de celles mentionnées au 2° du A, sont conservées au plus cinq ans après la fermeture des droits à l'assurance maladie de l'assuré ou de l'ayant droit ou jusqu'à l'intervention d'une décision définitive en cas de contentieux.
Les données du 2° du A de l'article 2 sont conservées au maximum trois ans à partir de la date de versement. Au-delà de ce délai, elles peuvent être archivées pendant une durée maximale de dix ans dans un environnement logique séparé afin d'assurer la gestion des actions contentieuses, de la lutte contre la fraude et des recours contre tiers.
L'accès aux données mentionnées à l'alinéa précédent est réservé aux seuls agents habilités conjointement par le médecin-conseil responsable de l'échelon local du service médical ou par le médecin-conseil chef de service du contrôle médical des caisses de mutualité sociale agricole et par le directeur de l'organisme, dans le cadre du pilotage, de la gestion du risque, du contrôle interne, du contentieux, du recours contre tiers, de la lutte contre la fraude et des activités du service médical. L'accès simultané aux données archivées à caractère médical et aux identifiants des personnes physiques est réservé aux praticiens-conseils et aux personnels placés sous leur autorité.
Pour chacun des traitements autorisés en application du présent décret, les données sont conservées pendant une durée proportionnée à la finalité poursuivie par le traitement, conformément aux dispositions des articles 6 et 36 de la loi du 6 janvier 1978 modifiée susvisée.
Les informations relatives à l'identification des agents ayant accédé aux données enregistrées dans les traitements visés à l'article 1er ou les ayant modifiées ainsi que les dates, heures et types de ces accès ou modifications sont conservées durant l'année civile au cours de laquelle l'accès ou la modification a eu lieu et les quatre années civiles suivantes.


Les personnes auxquelles se rapportent les données des traitements mentionnés à l'article 1er sont informées de l'existence et de la mise en œuvre d'un traitement de données à caractère personnel les concernant, de ses finalités, de l'identité du responsable, des destinataires des données et des modalités d'exercice des droits d'accès et de rectification prévus par les articles 39 et 40 de la loi du 6 janvier 1978 susvisée par la diffusion d'une information sur les sites internet respectifs des régimes obligatoires de base de l'assurance maladie.
Le droit d'opposition prévu à l'article 38 de la loi du 6 janvier 1978 susvisée ne s'applique pas aux traitements autorisés par le présent décret.
Les droits d'accès et de rectification prévus aux articles 39 et 40 de la loi du 6 janvier 1978 susvisée s'exercent auprès du directeur de l'organisme de rattachement des personnes concernées.


Les responsables des traitements autorisés par le présent décret prennent les mesures nécessaires pour préserver la sécurité des données tant à l'occasion de leur recueil que de leur consultation, de leur communication ou de leur conservation.
Les traitements mis en œuvre dans le cadre du présent décret respectent, lorsqu'ils y sont soumis, le référentiel général de sécurité créé par l'article 9 de l'ordonnance du 8 décembre 2005 susvisée.


En application des dispositions du IV de l'article 26 de la loi du 6 janvier 1978 susvisée, le responsable de chacun des traitements de données autorisés sur le fondement du présent décret adresse à la Commission nationale de l'informatique et des libertés, préalablement à sa mise en œuvre, un engagement de conformité aux dispositions du présent décret dans les conditions fixées à l'article 8 du décret du 20 octobre 2005 susvisé.


La ministre des affaires sociales, de la santé et des droits des femmes et le ministre de l'agriculture, de l'agroalimentaire et de la forêt, porte-parole du Gouvernement, sont chargés, chacun en ce qui le concerne, de l'exécution du présent décret, qui sera publié au Journal officiel de la République française.


Fait le 3 avril 2015.


Manuel Valls

Par le Premier ministre :


La ministre des affaires sociales, de la santé et des droits des femmes,

Marisol Touraine


Le ministre de l'agriculture, de l'agroalimentaire et de la forêt, porte-parole du Gouvernement,

Stéphane Le Foll