Décret n° 2015-391 du 3 avril 2015 autorisant les traitements automatisés de données à caractère personnel et les échanges d'informations mis en œuvre par les organismes gestionnaires des régimes obligatoires de base de l'assurance maladie pour l'accomplissement des missions de leurs services médicaux




Décret n° 2015-391 du 3 avril 2015 autorisant les traitements automatisés de données à caractère personnel et les échanges d'informations mis en œuvre par les organismes gestionnaires des régimes obligatoires de base de l'assurance maladie pour l'accomplissement des missions de leurs services médicaux

NOR: AFSS1428496D
Version consolidée au 28 juillet 2017

Le Premier ministre,


Sur le rapport de la ministre des affaires sociales, de la santé et des droits des femmes,


Vu le code rural et de la pêche maritime, notamment ses articles L. 723-2, L. 723-11 et L. 732-5 ;


Vu le code de la sécurité sociale ;


Vu la loi n° 78-17 du 16 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27 ;


Vu l'ordonnance n° 2005-1516 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;


Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 79-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;


Vu l'avis du conseil de la Caisse nationale de l'assurance maladie des travailleurs salariés en date du 26 août 2014 ;


Vu l'avis du conseil d'administration de la Caisse centrale de la mutualité sociale agricole en date du 10 septembre 2014 ;


Vu l'avis de la Commission nationale de l'informatique et des libertés en date du 23 octobre 2014 ;


Le Conseil d'Etat (section sociale) entendu,


Décrète :


Pour l'application des dispositions des articles L. 314-1, L. 315-1, L. 315-2, L. 613-12 et L. 613-13 du code de la sécurité sociale et L. 723-2, L. 723-11 et L. 732-5 du code rural et de la pêche maritime, les organismes gestionnaires des régimes obligatoires de base de l'assurance maladie sont autorisés à mettre en œuvre des traitements de données à caractère personnel, pour l'exercice des missions de leur service médical, dont les finalités sont les suivantes :
1° Déterminer les droits aux prestations prévues par les articles mentionnés au premier alinéa, ouvrir ces droits et verser les prestations correspondantes ;
2° Procéder aux analyses et aux contrôles mentionnés à l'article L. 315-1 susmentionné ;
3° Permettre la gestion individualisée de la relation avec les bénéficiaires de prestations et les producteurs de soins et prestataires de services, par courrier postal ou électronique, par messages téléphoniques, par accueil téléphonique ou physique et par téléservices ;
4° Contribuer à la conformité du versement des prestations aux droits des assurés, à la prévention et la lutte contre les fautes, abus et fraudes et à la gestion et au suivi des actions contentieuses ;
5° Transférer, lorsqu'un assuré change d'organisme gestionnaire, les informations relatives à cet assuré nécessaires à l'accomplissement des missions du nouvel organisme de rattachement, dans le respect des secrets professionnel et médical ;
6° Produire des statistiques et piloter et mettre en œuvre la politique et les actions de gestion du risque et de prévention à partir des données préalablement anonymisées.


Les traitements autorisés par l'article 1er du présent décret peuvent porter sur les catégories de données suivantes :
1° En ce qui concerne les assurés sociaux et leurs ayants droit :
a) Le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) et, le cas échéant, tout numéro d'immatriculation temporaire qui leur aurait été attribué ou, pour les personnes en instance d'attribution d'un numéro d'inscription au répertoire national d'identification des personnes physiques, un numéro identifiant d'attente (NIA) attribué pour l'ensemble des organismes par la Caisse nationale d'assurance vieillesse des travailleurs salariés à partir des données d'état civil et leur date d'attribution ;
b) Le nom de famille, le nom d'usage, les prénoms, le sexe, la civilité et la qualité d'assuré ou d'ayant droit et, dans ce cas, le lien familial éventuel avec l'assuré ;
c) La date et le lieu de naissance, le rang de naissance et, le cas échéant, la date de décès ;
d) Le numéro de pièce d'identité ou de titre de séjour ;
e) L'adresse postale et les numéros de téléphone des lieux de résidence permanente ou temporaire et l'adresse électronique ;
f) Le ou les organismes de rattachement ;
g) Les données relatives à l'état de santé présent et passé du bénéficiaire ;
h) S'il en a été désigné un, le médecin traitant, ses identifiants, nom, prénom, spécialité, adresse et numéro de téléphone ;
i) L'information relative à la résidence en établissement d'hébergement de personnes âgées dépendantes ;
j) L'information relative à l'exonération du ticket modérateur, la date, la nature et le motif médical de l'exonération ;
k) La nature des actes et médicaments ou produits de santé et leurs codages détaillés ;
l) L'existence d'une grossesse ou d'une affection de longue durée et les éléments du protocole relatif à cette affection ;
m) L'identification de l'organisme complémentaire ;
n) Le bénéfice éventuel de la couverture maladie universelle, de la couverture maladie universelle complémentaire ou de l'aide à l'acquisition d'une complémentaire santé ;
o) Les informations relatives à l'appareillage, à une cure thermale ou à une prestation soumise à accord préalable et toute information relative aux factures, demandes de remboursement de frais de santé, demandes de versement d'indemnités, d'allocations ou de pensions, demandes de reconnaissance d'un statut particulier au regard des prestations prévues par le code de la sécurité sociale ;
p) L'existence d'un recours contre tiers ;
q) L'existence d'accidents du travail ou de maladies professionnelle, leurs dates, le siège de la ou des lésions et leurs diagnostics, les numéros de dossier, la nature de l'avis médical et les éventuels taux d'incapacité permanente avec le descriptif des séquelles cliniques ou fonctionnelles correspondantes ;
r) L'existence d'une hospitalisation, ses dates, le numéro d'établissement, la discipline médico-tarifaire, et le groupe homogène de séjour ;
s) L'existence d'un arrêt de travail, ses dates de début et de fin, sa qualité d'arrêt initial ou de prolongation, le risque sur lequel il est imputé, le montant des indemnités journalières et les éléments d'ordre médical relatifs à cet arrêt ;
t) L'existence d'une invalidité, sa catégorie, l'existence d'une inaptitude, leurs diagnostics et le versement d'une prestation invalidité ;
u) Le descriptif médical comportant le compte rendu de l'examen clinique et médico-administratif en rapport avec l'état de santé à l'origine d'une demande de prestation ;
v) Les résultats des examens complémentaires en rapport avec une pathologie à l'origine d'une demande de prestation ;
w) Les traitements en cours en rapport avec une pathologie à l'origine d'une demande de prestation ;
x) Les documents dématérialisés échangés avec les bénéficiaires et les professionnels de santé dans le cadre de la gestion des dossiers et demandes de prestations.
2° En ce qui concerne les professionnels de santé, les établissements de santé, centres de santé et structures médico-sociales, les auxiliaires médicaux et autres prestataires de services :
a) Les données d'identification dont le nom, le prénom, les numéros ADELI, du répertoire partagé des professionnels de santé, du RFOS ou SIRET ;
b) La profession et, le cas échéant, la spécialité ;
c) L'adresse postale, les numéros de téléphone et l'adresse électronique ;
d) La situation conventionnelle ;
e) Les actes prescrits et exécutés avec leur codage détaillé ;
f) Le montant des honoraires ou rémunérations perçus.


Ont accès aux données mentionnées à l'article 2 strictement nécessaires à l'exercice de leurs missions, dans la limite du besoin d'en connaître, les agents intervenant dans la prise en charge des assurés, individuellement habilités par le médecin-conseil chef du service du contrôle médical et placés sous l'autorité d'un praticien-conseil.
Seuls les praticiens-conseils et les personnels placés sous leur autorité ont accès aux données nominatives issues des traitements, lorsqu'elles sont associées au numéro de code d'une pathologie diagnostiquée.
Lorsqu'un assuré change d'organisme gestionnaire, les agents du nouvel organisme dont il relève ont accès, dans les conditions fixées aux deux alinéas précédents, aux données à caractère personnel le concernant dans la mesure nécessaire pour assurer la continuité de sa prise en charge.


Les données mentionnées à l'article 2 ne sont pas conservées après le décès de l'assuré ou de l'ayant droit. Cependant elles sont conservées au maximum :
1° Trois ans après son décès lorsqu'elles sont relatives à un assuré ou un ayant droit concerné par une affection de longue durée ou des prestations soumises à l'accord préalable du service du contrôle médical ;
2° Cinq ans après son décès lorsqu'elles sont relatives à un assuré ou un ayant droit concerné par une invalidité ou une inaptitude ;
3° Dix ans après son décès lorsqu'elles sont relatives à un assuré ou un ayant droit concerné par un accident du travail ou une maladie professionnelle.
En outre, lorsqu'il existe un recours contre tiers ou un contentieux, les données sont conservées jusqu'à l'intervention de la décision définitive.
Au-delà des délais susmentionnés, les données peuvent être archivées pendant dix ans dans un environnement logique séparé afin d'assurer une meilleure gestion des litiges, de la lutte contre la fraude et des recours contre tiers.
L'accès aux données archivées est réservé aux seuls agents habilités conjointement par le médecin-conseil responsable de l'échelon local du service médical ou le médecin-conseil chef de service du contrôle médical des caisses de mutualité sociale agricole et par le directeur de l'organisme dans le cadre du pilotage, de la gestion du risque, du contrôle interne, du contentieux, du recours contre tiers, de la lutte contre la fraude et des activités du service médical. L'accès simultané aux données archivées relatives aux pathologies et aux identifiants des bénéficiaires n'est possible que pour les médecins-conseils et les personnes placées sous leur autorité.
Pour chacun des traitements autorisés en application du présent décret, les données sont conservées pendant une durée proportionnée à la finalité poursuivie par le traitement, conformément aux dispositions des articles 6 et 36 de la loi du 6 janvier 1978 modifiée susvisée.
Les informations relatives à l'identification des agents ayant accédé aux données enregistrées dans les traitements visés à l'article 1er ou les ayant modifiées ainsi que les dates, heures et types de ces accès ou modifications sont conservées durant l'année civile au cours de laquelle l'accès ou la modification a eu lieu et les quatre années civiles suivantes.


Les personnes auxquelles se rapportent les données mentionnées à l'article 2 sont informées de l'existence et de la mise en œuvre d'un traitement de données à caractère personnel les concernant, de ses finalités, de l'identité du responsable, des destinataires des données et des modalités d'exercice des droits d'accès et de rectification prévus par les articles 39 et 40 de la loi du 6 janvier 1978 susvisée par la diffusion d'une information sur les sites internet respectifs des régimes obligatoires de base de l'assurance maladie.
Le droit d'opposition prévu à l'article 38 de la loi du 6 janvier 1978 susvisée ne s'applique pas aux traitements autorisés par le présent décret.
Les droits d'accès et de rectification prévus aux articles 39 et 40 de la loi du 6 janvier 1978 susvisée s'exercent auprès du directeur de l'organisme de rattachement des personnes concernées.


Les responsables des traitements prennent les mesures nécessaires pour préserver la sécurité des données tant à l'occasion de leur recueil que de leur consultation, de leur communication ou de leur conservation.
Les traitements mis en œuvre dans le cadre du présent décret respectent, lorsqu'ils y sont soumis, le référentiel général de sécurité créé par l'article 9 de l'ordonnance du 8 décembre 2005 susvisée.


En application des dispositions du IV de l'article 26 de la loi du 6 janvier 1978 susvisée, le responsable de chacun des traitements de données autorisés sur le fondement du présent décret adresse à la Commission nationale de l'informatique et des libertés, préalablement à sa mise en œuvre, un engagement de conformité aux dispositions du présent décret dans les conditions fixées à l'article 8 du décret du 20 octobre 2005 susvisé.


La ministre des affaires sociales, de la santé et des droits des femmes et le ministre de l'agriculture, de l'agroalimentaire et de la forêt, porte-parole du Gouvernement, sont chargés, chacun en ce qui le concerne, de l'exécution du présent décret, qui sera publié au Journal officiel de la République française.


Fait le 3 avril 2015.


Manuel Valls

Par le Premier ministre :


La ministre des affaires sociales, de la santé et des droits des femmes,

Marisol Touraine


Le ministre de l'agriculture, de l'agroalimentaire et de la forêt, porte-parole du Gouvernement,

Stéphane Le Foll