Décret n° 2015-393 du 3 avril 2015 autorisant les traitements automatisés de données à caractère personnel et les échanges d'informations mis en œuvre par les organismes gestionnaires des régimes obligatoires de base de l'assurance maladie pour l'accomplissement de leurs missions en matière d'accidents du travail et de maladies professionnelles




Décret n° 2015-393 du 3 avril 2015 autorisant les traitements automatisés de données à caractère personnel et les échanges d'informations mis en œuvre par les organismes gestionnaires des régimes obligatoires de base de l'assurance maladie pour l'accomplissement de leurs missions en matière d'accidents du travail et de maladies professionnelles

NOR: AFSS1428511D
Version consolidée au 14 novembre 2018

Le Premier ministre,
Sur le rapport de la ministre des affaires sociales, de la santé et des droits des femmes,
Vu le code rural et de la pêche maritime, notamment ses articles L. 722-19, L. 723-2 et L. 751-1 ;
Vu le code de la sécurité sociale ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27 ;
Vu la loi n° 98-1194 du 23 décembre 1998 de financement de la sécurité sociale pour 1999, notamment son article 41 ;
Vu l'ordonnance n° 2005-1516 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 79-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu l'avis de la Caisse nationale de l'assurance maladie des travailleurs salariés en date du 26 août 2014 ;
Vu l'avis de la caisse centrale de la Mutualité sociale agricole en date du 10 septembre 2014 ;
Vu l'avis de la Commission nationale de l'informatique et des libertés en date du 23 octobre 2014 ;
Le Conseil d'Etat (section sociale) entendu,
Décrète :


Pour l'application des articles L. 161-29, L. 211-1, L. 221-1, L. 242-5, L. 411-1, L. 431-1, L. 461-1, L. 611-4 et L. 611-8 du code de la sécurité sociale et des articles L. 722-19, L. 723-2 et suivants, L. 723-11 et suivants, L. 751-1 et suivants et L. 752-1 et suivants du code rural et de la pêche maritime, les organismes gestionnaires des régimes obligatoires de base de l'assurance maladie sont autorisés à mettre en œuvre des traitements de données à caractère personnel dont la finalité est d'effectuer les opérations nécessaires à la prise en charge des victimes d'accidents du travail et des maladies professionnelles, à la tarification des cotisations des entreprises et au développement de la prévention et à cet effet :
1° D'assurer la réception et l'enregistrement des informations utiles au traitement des certificats médicaux, des déclarations d'accidents de travail ou des déclarations de maladie professionnelle ;
2° D'assurer la gestion de la relation avec les bénéficiaires de la législation accidents du travail et maladies professionnelles, par courrier postal ou électronique, par messages téléphoniques, par accueil téléphonique ou physique et par téléservices ;
3° D'assurer la tarification du risque accidents du travail et maladies professionnelles et le versement des prestations dues en cas d'accident du travail et de maladie professionnelle ;
4° De contribuer à la sécurité du versement des prestations et à la prévention et à la lutte contre les fautes, abus et fraudes ainsi qu'à la gestion et au suivi des recours gracieux et des actions contentieuses ;
5° Transférer, lorsqu'un assuré change d'organisme gestionnaire, les informations relatives à cet assuré nécessaires à l'accomplissement des missions du nouvel organisme de rattachement, dans le respect des secrets professionnel et médical ;
6° De produire des statistiques à partir des données relatives aux accidents du travail et maladies professionnelles préalablement anonymisées, dans un but de pilotage, de mise en œuvre des politiques de gestion du risque et de prévention, d'analyse des prestations versées et des soins pris en charge, d'évaluation de la qualité du service rendu aux usagers, de contrôle, de prévention et de traitement des recours gracieux et contentieux et, le cas échéant, de lutte contre les fautes, abus et fraudes.


Les traitements autorisés par l'article 1er du présent décret peuvent porter sur les catégories de données suivantes :
1° En ce qui concerne les victimes d'accidents du travail ou de maladies professionnelles, leurs ayants droit et les bénéficiaires de l'article 41 de la loi du 23 décembre 1998 susvisée, les informations d'identification suivantes :
a) Les données d'identification comportant le nom de famille, le nom d'usage, les prénoms, le sexe, la date, le lieu de naissance, le cas échéant la date de décès et la justification de la qualité d'ayant droit ;
b) Le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) et, le cas échéant, tout numéro d'immatriculation temporaire qui leur aurait été attribué ou, pour les personnes en instance d'attribution, d'un numéro d'inscription au répertoire national d'identification des personnes physiques, un numéro identifiant d'attente (NIA) attribué pour l'ensemble des organismes par la Caisse nationale d'assurance vieillesse des travailleurs salariés à partir des données d'état civil et sa date d'attribution ;
c) Considérées au moment de la survenance de l'accident ou de la reconnaissance de la maladie professionnelle, la nationalité, si cette information est nécessaire à l'application d'une convention bilatérale, ou la qualité de ressortissant d'un pays membre de l'Union européenne, dont la France, ou d'un pays non membre de l'Union européenne ;
d) L'adresse postale, les numéros de téléphone et l'adresse électronique ;
e) L'organisme de rattachement et le régime d'affiliation ;
f) Les informations relatives à l'étendue des droits au remboursement de soins, le ou les organismes de rattachement ainsi que, le cas échéant, le bénéfice de l'exonération du ticket modérateur, de la couverture maladie universelle, de la couverture maladie universelle complémentaire ou de l'aide prévue à l'article L. 251-1 du code de l'action sociale et des familles ;
g) Les données relatives à la santé, dans la mesure où elles sont nécessaires à la mise en œuvre des finalités prévues par les dispositions de l'article 1er ;
h) Les données relatives à la vie professionnelle nécessaires à la mise en œuvre des finalités prévues par les dispositions de l'article 1er ;
i) Les données relatives à l'assurance maladie complémentaire ;
j) Les données relatives aux salaires nécessaires à la détermination du montant des prestations à servir ;
k) Les coordonnées bancaires ;
l) Le numéro de sinistre ;
2° En ce qui concerne les professionnels de santé, établissements et centres de santé, et structures médico-sociales, les informations d'identification suivantes :
a) Le nom, le prénom et l'adresse professionnelle ;
b) Les numéros d'identification professionnels ;
c) La situation conventionnelle ;
d) La profession et, le cas échéant, la spécialité ;
3° En ce qui concerne les employeurs et les personnes mentionnées à l'article L. 752-1 du code rural et de la pêche maritime, les informations d'identification qui peuvent comprendre :
a) Le nom, le prénom ;
b) La raison sociale ;
c) Le numéro de SIRET, l'adresse professionnelle et la catégorie de risque « accident du travail » de l'entreprise ou de la victime, le nombre de salariés de l'entreprise, le montant des masses salariales de l'entreprise et son taux de cotisation ;
4° En ce qui concerne des tiers impliqués ou témoins d'accidents, les informations d'identification suivantes : le nom, le prénom et l'adresse du tiers ou témoin et les coordonnées de la compagnie d'assurance du tiers impliqué ;
5° En ce qui concerne les circonstances des accidents de travail et de trajet, les données suivantes : l'heure et le lieu de l'accident, l'activité liée à l'accident, la tâche effectuée au moment de l'accident, l'élément matériel, le mouvement, la nature et le siège de la lésion ;
6° En ce qui concerne les maladies professionnelles : la maladie professionnelle, l'agent causal, la durée d'exposition au risque et la profession de la victime ;
7° En ce qui concerne les conséquences des accidents du travail et maladies professionnelles, les données nécessaires à leur suivi et leur prise en compte le cas échéant, notamment la date de guérison ou de consolidation, le résumé des séquelles, le taux d'incapacité permanente, la date de révision du taux d'incapacité permanente, le taux d'incapacité permanente révisé, la date de guérison et la date de rechute.

Ont accès aux données mentionnées à l'article 2 strictement nécessaires à l'exercice de leurs missions, dans la limite du besoin d'en connaître et à l'exception des données mentionnées au g du 1° de l'article 2, les agents intervenant dans la prise en charge des assurés, individuellement habilités par le directeur de leur organisme d'assurance maladie.


Toutefois, seuls sont habilités à accéder, dans le respect du secret professionnel auquel ils sont soumis, aux données identifiantes des bénéficiaires lorsque ces données sont associées aux données mentionnées au g du 1° de l'article 2 les praticiens-conseils et les personnels placés sous leur autorité ainsi que, dans la stricte mesure où ces données sont indispensables à l'accomplissement de leurs missions en matière d'accidents du travail et de maladies professionnelles, au regard des dispositions des articles L. 441-6 et L. 461-5 du code de la sécurité sociale, les personnels administratifs des organismes d'assurance maladie obligatoire chargés de telles missions.


Lorsqu'un assuré change d'organisme gestionnaire, les agents du nouvel organisme dont il relève ont accès, dans les conditions fixées aux deux alinéas précédents, aux données à caractère personnel le concernant dans la mesure nécessaire pour assurer la continuité de sa prise en charge.


Sont destinataires des données mentionnées à l'article 2 strictement nécessaires à l'exercice de leurs missions, dans la limite du besoin d'en connaître, les agents suivants, habilités par l'autorité compétente de l'organisme ou de l'administration dont ils dépendent :


1° Les agents des organismes chargés de l'indemnisation du chômage ;


2° Les agents des organismes chargés de la gestion du risque accident du travail et maladies professionnelles et de l'assurance vieillesse, pour l'application des dispositions relatives à la pénibilité, pour la prise en compte des périodes assimilées en vue du calcul des droits à la retraite et, en cas d'accident du travail, en vue du calcul de la cotisation due par l'entreprise ;


3° Les agents des organismes de retraite complémentaire pour la prise en compte des droits à la retraite des assurés bénéficiaires de la cessation anticipée accordée aux travailleurs de l'amiante en application des dispositions de l'article 41 modifié de la loi du 23 décembre 1998 susvisée ;


4° Les agents des organismes du nouveau régime d'assurance maladie compétent, en cas de changement de régime de l'assuré ;


5° Les agents de l'inspection du travail, pour l'application des dispositions de l'article L. 441-3 du code de la sécurité sociale ;


6° Les agents de l'administration fiscale, qui ne sont destinataires d'aucun des numéros mentionnés au b du 1° de l'article 2.


Pour l'établissement de statistiques, les agents des services compétents des organismes gestionnaires des régimes obligatoires de base de l'assurance maladie sont destinataires des données mentionnées à l'article 2 à l'exception de celles relatives à l'identité de l'assuré.
Sont destinataires des données mentionnées au 3° de l'article 2 strictement nécessaires à l'exercice de leurs missions, dans la limite de leur besoin d'en connaître, les agents des organismes de recouvrement habilités par le directeur de l'organisme dont ils dépendent.
Sont destinataires des données agrégées et des statistiques produites à partir des données mentionnées à l'article 2 les agents des services compétents des ministères chargés de la sécurité sociale, de l'agriculture, du travail et des finances publiques et les agents de l'Agence nationale de santé publique et de l'Institut de recherche et documentation en économie de la santé (IRDES).


Les données à caractère personnel mentionnées à l'article 2 du présent décret sont conservées pour une durée maximale de :
1° Vingt ans après le décès de la victime, en l'absence d'ayants droit ;
2° Cinq ans après l'extinction des droits du dernier survivant parmi les ayants droit de la victime ;
3° Cinq ans après l'intervention d'une décision définitive en cas de contentieux.
A l'issue de leur durée de conservation, les données sont archivées sous forme anonyme ou supprimées.
Pour chacun des traitements autorisés en application du présent décret, les données sont conservées pendant une durée proportionnée à la finalité poursuivie par le traitement, conformément aux dispositions des articles 6 et 36 de la loi du 16 janvier 1978 modifiée susvisée.
Les informations relatives à l'identification des agents ayant accédé aux données enregistrées dans les traitements visés à l'article 1er ou les ayant modifiées ainsi que les dates, heures et types de ces accès ou modifications sont conservées durant l'année civile au cours de laquelle l'accès ou la modification a eu lieu et les quatre années civiles suivantes.


Les personnes auxquelles se rapportent les données mentionnées à l'article 2 sont informées de l'existence et de la mise en œuvre d'un traitement de données à caractère personnel les concernant, autorisé en application de l'article 1er, de ses finalités, de l'identité du responsable, des destinataires des données et des modalités d'exercice des droits d'accès et de rectification prévus par les articles 39 et 40 de la loi du 6 janvier 1978 susvisée par la diffusion d'une information sur les sites internet respectifs des régimes obligatoires de base de l'assurance maladie.
Le droit d'opposition prévu par l'article 38 de la loi du 6 janvier 1978 susvisée ne s'applique pas aux traitements autorisés par le présent décret.
Les droits d'accès et de rectification prévus aux articles 39 et 40 de la loi du 6 janvier 1978 susvisée s'exercent auprès du directeur de l'organisme de rattachement des personnes concernées.


Les responsables des traitements prennent les mesures nécessaires pour préserver la sécurité des données tant à l'occasion de leur recueil que de leur consultation, de leur communication ou de leur conservation.
Les traitements mis en œuvre dans le cadre du présent décret respectent, lorsqu'ils y sont soumis, le référentiel général de sécurité créé par l'article 9 de l'ordonnance du 8 décembre 2005 susvisée.


En application des dispositions du IV de l'article 26 de la loi du 6 janvier 1978 susvisée, le responsable de chacun des traitements de données autorisés sur le fondement du présent décret adresse à la Commission nationale de l'informatique et des libertés, préalablement à sa mise en œuvre, un engagement de conformité aux dispositions du présent décret dans les conditions fixées par l'article 8 du décret du 20 octobre 2005 susvisé.


La ministre des affaires sociales, de la santé et des droits des femmes et le ministre de l'agriculture, de l'agroalimentaire et de la forêt, porte-parole du Gouvernement, sont chargés, chacun en ce qui le concerne, de l'exécution du présent décret, qui sera publié au Journal officiel de la République Française.


Fait le 3 avril 2015.


Manuel Valls

Par le Premier ministre :


La ministre des affaires sociales, de la santé et des droits des femmes,

Marisol Touraine


Le ministre de l'agriculture, de l'agroalimentaire et de la forêt, porte-parole du Gouvernement,

Stéphane Le Foll