Décret n° 2015-392 du 3 avril 2015 autorisant les traitements automatisés de données à caractère personnel et les échanges d'informations mis en œuvre par les organismes gestionnaires des régimes obligatoires de base de l'assurance maladie pour l'accomplissement des missions de leurs services sociaux




Décret n° 2015-392 du 3 avril 2015 autorisant les traitements automatisés de données à caractère personnel et les échanges d'informations mis en œuvre par les organismes gestionnaires des régimes obligatoires de base de l'assurance maladie pour l'accomplissement des missions de leurs services sociaux

NOR: AFSS1428502D
Version consolidée au 14 novembre 2018

Le Premier ministre,

Sur le rapport de la ministre des affaires sociales, de la santé et des droits des femmes,

Vu le code rural et de la pêche maritime, notamment son article L. 723-2 ;

Vu le code de la sécurité sociale ;

Vu la loi n° 78-17 du 16 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27 ;

Vu la loi n° 98-1194 du 23 décembre 1998 de financement de la sécurité sociale pour 1999, notamment son article 41 ;

Vu l'ordonnance n° 2005-1516 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 79-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu l'avis du conseil de la Caisse nationale de l'assurance maladie des travailleurs salariés en date du 26 août 2014 ;

Vu l'avis du conseil d'administration de la Caisse centrale de la mutualité sociale agricole en date du 10 septembre 2014 ;

Vu l'avis de la Commission nationale de l'informatique et des libertés en date du 23 octobre 2014 ;

Le Conseil d'Etat (section sociale) entendu,

Décrète :


Pour l'application des dispositions des articles L. 211-1, L. 221-1, L. 611-4 et L. 611-8 du code de la sécurité sociale et des articles L. 723-2 et L. 723-11 du code rural et de la pêche maritime, les organismes gestionnaires des régimes obligatoires de base de l'assurance maladie sont autorisés à mettre en œuvre des traitements de données à caractère personnel dont les finalités sont :
A. - La prise en charge et le suivi des dossiers des assurés et de leurs ayants droit bénéficiaires de l'action des services sociaux des organismes de base d'assurance maladie, consistant en :
1° La gestion de la relation avec les assurés et leurs ayants droit bénéficiaires par courrier postal ou électronique, par accueil téléphonique ou physique, par message téléphonique et par télé-services, et la gestion des offres de service individuelles ou collectives ;
2° La prise en charge des populations exposées à un risque de précarité mentionnées à l'article L. 262-1 du code de la sécurité sociale ;
3° Transférer, lorsqu'un assuré change d'organisme gestionnaire, les informations relatives à cet assuré nécessaires à l'accomplissement des missions du nouvel organisme de rattachement, dans le respect du secret professionnel.
B. - Le pilotage de l'activité du service social aux niveaux national, régional et local et l'évaluation de la qualité du service rendu aux bénéficiaires et à leurs ayants droit grâce à des statistiques élaborées à partir des données préalablement anonymisées.


I.-Les traitements autorisés par l'article 1er peuvent porter sur les catégories de données suivantes en ce qui concerne les assurés sociaux et leurs ayants droit bénéficiaires du service social, dès lors que ces données s'avèrent strictement nécessaires et proportionnées aux finalités poursuivies par le traitement mentionné à l'article 1er :
1° Le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) et, le cas échéant, tout numéro d'immatriculation temporaire qui leur aurait été attribué ou, pour les personnes en instance d'attribution d'un numéro d'inscription au répertoire national d'identification des personnes physiques, un numéro identifiant d'attente (NIA) attribué pour l'ensemble des organismes par la Caisse nationale d'assurance vieillesse des travailleurs salariés à partir des données d'état civil, et sa date d'attribution ;
2° Le nom de famille, le nom d'usage, les prénoms, le sexe ;
3° La date et le lieu de naissance ;
4° L'adresse postale, les numéros de téléphone et l'adresse électronique ;
5° La situation familiale ;
6° Les données d'identification des personnes composant le foyer, comportant leur nom de famille, leur nom d'usage, leurs prénoms, leur année de naissance et leur lien de parenté avec l'assuré ;
7° Les données relatives à la situation sociale et l'appréciation des difficultés sociales comportant les noms et coordonnées des relations familiales, amicales, de voisinage ou associatives, strictement nécessaires à l'évaluation et au traitement des problématiques relatives à la perte d'autonomie et à l'isolement ;
8° Pour tous les membres du foyer, le montant et le type des ressources, charges, crédits, dettes strictement nécessaires à l'examen des situations de précarité liées à la maladie, au handicap ou à la perte d'autonomie ;
9° Les données relatives aux modalités de prise en charge de la santé, comportant le cas échéant l'inscription de l'assuré dans un parcours de soins, son éligibilité à la prestation de compensation du handicap, son classement selon la grille " autonomie, gérontologie, groupe Iso ressources ", son taux d'invalidité permanente partielle, l'exonération du ticket modérateur et l'existence d'une déclaration de médecin traitant ;
10° Les avis des services médicaux et restrictions des aptitudes, comportant, le cas échéant, les mentions relatives à la consolidation, l'aggravation, l'inaptitude au travail ou au poste de travail ;
11° La situation par rapport à la formation et l'emploi et le statut professionnel de l'assuré ou de l'ayant droit bénéficiaire du service social ;
12° Le risque concerné, à savoir maladie, maternité, accident du travail, maladie professionnelle ou invalidité ;
13° Le ou les organismes de rattachement et régimes d'affiliation et leurs identifiants et coordonnées ;
14° Les informations relatives à la situation vis-à-vis des organismes sociaux en matière de droits et avantages et de prestations attribuées ;
15° Le bénéfice éventuel de la couverture maladie universelle, de la couverture maladie universelle complémentaire ou de l'aide à l'acquisition d'une complémentaire santé ;
16° Les informations nécessaires à la prise en charge de prestations dans le cadre de la prévention et de l'action sanitaire et sociale comportant le type et les conditions du logement, les aides préventives et compensatoires telles que les aides à la personne ou au ménage, l'aide technique, les soins à domicile, l'action sociale et les aides facultatives ;
17° Les données relatives aux arrêts de travail, au versement d'indemnités journalières pour les risques maladie, maternité, paternité, accidents du travail et maladies professionnelles et au versement de pensions d'invalidité, de rentes consécutives à accidents du travail et maladies professionnelles ou de capitaux décès.
II.-Les traitements autorisés par l'article 1er peuvent en outre porter, dès lors que ces données s'avèrent strictement nécessaires et proportionnées aux finalités poursuivies par le traitement, sur l'identification des partenaires publics et privés du service social associés à la prise en charge du bénéficiaire :
1° Pour les personnes morales, leur nature et leur raison sociale ;
2° Pour les personnes physiques, leurs nom, prénom et fonction ainsi que leurs coordonnées postales, téléphoniques et électroniques.


Ont accès aux données mentionnées à l'article 2 strictement nécessaires à l'exercice de leurs missions, dans la limite du besoin d'en connaître, les agents intervenant dans la prise en charge des assurés et de leurs ayants droit, individuellement habilités par le directeur de leur organisme d'assurance maladie.
Lorsqu'un assuré change d'organisme gestionnaire, les agents du nouvel organisme dont il relève ont accès, dans les conditions fixées à l'alinéa précédent, aux données à caractère personnel le concernant dans la mesure nécessaire pour assurer la continuité de sa prise en charge.
Sont destinataires des données mentionnées à l'article 2 strictement nécessaires à l'exercice de leurs missions, dans la limite du besoin d'en connaître, les personnels des partenaires personnes morales mentionnés au 1° du II de l'article 2, habilités par l'autorité responsable de ces partenaires.
Seuls les organismes autorisés à utiliser le numéro d'inscription au répertoire national d'identification des personnes physiques ou un numéro identifiant d'attente comme identifiant des usagers peuvent en être destinataires.


Les données relatives à un assuré ou un ayant droit bénéficiaire de l'action du service social sont conservées pendant une durée maximale de dix-huit mois après la fin de l'action sous réserve de la mise en œuvre des dispositions de l'article 38 de la loi du 6 janvier 1978 susvisée.
Au-delà de ce délai et sauf opposition de la part de l'assuré ou de l'ayant droit, ces données peuvent être archivées pendant trois ans maximum dans un environnement logique séparé aux fins d'évaluation des dispositifs d'intervention. L'accès aux données archivées est réservé à des agents habilités à cet effet par le directeur de l'organisme.
L'accès aux données archivées est réservé aux seuls agents habilités conjointement par le médecin-conseil responsable de l'échelon local du service médical, ou le médecin-conseil chef de service du contrôle médical des caisses de mutualité sociale agricole et par le directeur de l'organisme dans le cadre du pilotage, de la gestion du risque, du contrôle interne, du contentieux, du recours contre tiers, de la lutte contre la fraude et des activités du service médical.
Pour chacun des traitements autorisés en application du présent décret, les données sont conservées pendant une durée proportionnée à la finalité poursuivie par le traitement, conformément aux dispositions des articles 6 et 36 de la loi du 16 janvier 1978 modifiée susvisée.
Les informations relatives à l'identification des agents ayant accédé aux données enregistrées dans les traitements visés à l'article 1er ou les ayant modifiées ainsi que les dates, heures et types de ces accès ou modifications sont conservées durant l'année civile au cours de laquelle l'accès ou la modification a eu lieu et les quatre années civiles suivantes.


Les personnes auxquelles se rapportent les données mentionnées à l'article 2 sont informées de l'existence et de la mise en œuvre d'un traitement de données à caractère personnel les concernant, autorisé en application de l'article 1er, de ses finalités, de l'identité du responsable, des destinataires des données et des modalités d'exercice des droits d'opposition, d'accès et de rectification prévus par les articles 38, 39 et 40 de la loi du 6 janvier 1978 susvisée par la diffusion d'une information sur les sites internet respectifs des régimes obligatoires de base de l'assurance maladie.
Le droit d'opposition prévu à l'article 38 de la loi du 6 janvier 1978 susvisée s'exerce auprès du directeur de l'organisme de rattachement.
Les droits d'accès et de rectification prévus aux articles 39 et 40 de la loi du 6 janvier 1978 susvisée s'exercent auprès du directeur de l'organisme de rattachement.


Les responsables des traitements prennent les mesures nécessaires pour préserver la sécurité des données tant à l'occasion de leur recueil que de leur consultation, de leur communication ou de leur conservation.
Les traitements mis en œuvre dans le cadre du présent décret respectent, lorsqu'ils y sont soumis, le référentiel général de sécurité créé par l'article 9 de l'ordonnance du 8 décembre 2005 susvisée.


En application des dispositions du IV de l'article 26 de la loi du 6 janvier 1978 susvisée, le responsable de chacun des traitements de données autorisés sur le fondement du présent décret adresse à la Commission nationale de l'informatique et des libertés, préalablement à sa mise en œuvre, un engagement de conformité aux dispositions du présent décret dans les conditions fixées par l'article 8 du décret du 20 octobre 2005 susvisé.


La ministre des affaires sociales, de la santé et des droits des femmes et le ministre de l'agriculture, de l'agroalimentaire et de la forêt, porte-parole du Gouvernement, sont chargés, chacun en ce qui le concerne, de l'exécution du présent décret, qui sera publié au Journal officiel de la République française.


Fait le 3 avril 2015.


Manuel Valls

Par le Premier ministre :


La ministre des affaires sociales, de la santé et des droits des femmes,

Marisol Touraine


Le ministre de l'agriculture, de l'agroalimentaire et de la forêt, porte-parole du Gouvernement,

Stéphane Le Foll