Délibération n° 2017-014 du 19 janvier 2017 portant avis sur un projet de décret relatif à l'utilisation du numéro d'inscription au répertoire national d'identification des personnes physiques comme identifiant de santé (demande d'avis n° 16024670)

JORF n°0075 du 29 mars 2017
texte n° 133



Délibération n° 2017-014 du 19 janvier 2017 portant avis sur un projet de décret relatif à l'utilisation du numéro d'inscription au répertoire national d'identification des personnes physiques comme identifiant de santé (demande d'avis n° 16024670)

NOR: CNIX1708174X
ELI: Non disponible


La Commission nationale de l'informatique et des libertés,
Saisie par le ministère des affaires sociales et de la santé d'une demande d'avis concernant un projet de décret relatif à l'utilisation du numéro d'inscription au répertoire national d'identification des personnes physiques comme identifiant de santé ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de la santé publique, notamment ses articles L. 1110-4, L. 1110-12 et L. 1111-8-1 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Après avoir entendu Mme Valérie PEUGEOT, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La Commission a été saisie par le ministère des affaires sociales et de la santé (ci-après le « ministère ») d'une demande d'avis sur un projet de décret en Conseil d'Etat relatif à l'utilisation du numéro d'inscription au répertoire national d'identification des personnes physiques ou « NIR » comme identifiant de santé (ci-après le « projet »).
Ce projet est pris en application du I de l'article L. 1111-8-1du code de la santé publique (ci-après « CSP ») tel que modifié par l'article 193 de la loi n° 2016-41 de modernisation de notre système de santé du 26 janvier 2016, étant entendu que le II de l'article L. 1111- 8-1 du CSP prévoit que la Commission sera saisie pour avis d'un arrêté encadrant le traitement de l'identifiant de santé à des fins de recherche dans le domaine de la santé.
A titre liminaire, la Commission souhaite attirer l'attention du Gouvernement sur les principales observations suivantes.
En premier lieu, la Commission rappelle que dès 2013 elle s'était montrée ouverte à l'utilisation du NIR comme identifiant dans la sphère de la santé, à la condition que es garanties strictes soient mises en place pour en circonscrire l'utilisation à cette seule finalité.
La Commission est en effet régulièrement sollicitée en vue d'utiliser le NIR comme identifiant administratif de référence. Compte tenu du risque d'interconnexion généralisée du fait d'une utilisation plus grande de ce numéro signifiant, elle considère que l'extension de son utilisation comme identifiant, au-delà des cas déjà admis, doit être cantonnée à la sphère sanitaire et médico-sociale, à l'exclusion de toute autre utilisation.
A cet égard, elle avait appelé l'attention du Gouvernement, dans son avis du 18 septembre 2014 relatif au projet de loi de modernisation de notre système de santé, sur la nécessité de mener une évaluation de l'unicité du NIR et de la possibilité d'en cantonner l'usage à la sphère médico-sociale à l'exclusion de toute nouvelle utilisation, notamment de tout traitement massif de cette donnée en dehors de ces domaines.
La Commission regrette que l'évaluation précitée n'ait porté que sur l'unicité et la stabilité du NIR sans approfondir les risques sur la vie privée, au regard des utilisations déjà admises dans d'autres secteurs.
Elle relève néanmoins que le projet de décret limite strictement les organismes et les finalités de l'utilisation de l'identifiant national de santé (ci-après « INS »), ce qui participe au cantonnement du NIR comme identifiant et constitue une garantie importante.
En deuxième lieu, la Commission rappelle l'importance des mesures de sécurité effectives devant encadrer la mise en œuvre du NIR comme INS, compte tenu des risques sur la vie privée et de l'élargissement substantiel du nombre d'organismes et de personnes amenées à traiter du NIR dans ce contexte. A cet égard, elle considère que le référentiel technique encadrant les modalités d'utilisation de l'INS devra prévoir des mesures de sécurité et être publié avant la mise en œuvre effective de l'utilisation du NIR comme INS par les organismes de santé.
En troisième lieu, la Commission relève qu'un téléservice sera mis à la disposition des professionnels du secteur sanitaire et médico-social (soit environ 2 millions de personnes) permettant potentiellement l'accès au NIR et à l'identité de l'ensemble de la population. Elle rappelle qu'elle devra être saisie de la création de ce traitement et sera particulièrement vigilante sur les modalités d'accès par les professionnels, les mesures de sécurité et les risques que pourrait faire peser un tel téléservice sur la vie privée.
Sur le projet d'article R. 1111-8-1 :
Le premier alinéa de cet article énonce que l'identifiant de santé visé à l'article L. 1111- 8-1du CSP est le NIR ou le numéro identifiant d'attente (« NIA ») quand les personnes sont en instance d'attribution d'un NIR.
Le second alinéa précise qu'aucun autre identifiant ne peut être utilisé, sauf lorsque le NIR ou le NIA sont inconnus, afin que leur absence ne soit pas un obstacle à la prise en charge. Ce même alinéa prévoit toutefois que les données ainsi traitées doivent être référencées à l'aide de l'identifiant de santé dès que possible.
La Commission attire l'attention du ministère sur les risques inhérents au basculement vers le NIR comme donnée de référencement. Elle considère que le référentiel prévu au projet d'article R. 1111-8-7 devra prévoir des mesures en conséquence afin de fiabiliser les conditions de cette bascule.
Sur le projet d'article R. 1111-8-2 :
Ce projet d'article vise à délimiter le champ d'application de la prise en charge sanitaire et médico-sociale en caractérisant les personnes dont les données peuvent être référencées grâce à l'identifiant de santé. Il s'agit de « toute personne bénéficiant ou ayant vocation à bénéficier d'un acte de prévention, diagnostique, thérapeutique, de compensation du handicap, de soulagement de la douleur ou de prévention de perte d'autonomie, ou d'actions nécessaires à la coordination de plusieurs de ces actes ».
Cette définition n'appelle pas d'observations de la part de la Commission.
Par ailleurs, la Commission rappelle que l'article L. 1111-8-1 du CSP prévoit que le décret précise les modalités d'utilisation de l'INS « afin d'en empêcher l'utilisation à des fins autres que sanitaires et médico-sociales ».
A cet égard, la Commission relève qu'il limite strictement la finalité de l'INS et les organismes pouvant y avoir accès, garanties qui participent au cantonnement de l'utilisation du NIR aux fins sanitaires et médico-sociales.
Le projet de décret soumis à la Commission a uniquement pour objet d'encadrer l'utilisation du NIR comme INS dans le secteur sanitaire et médico-social. En effet, l'article R. 1111-8-2 précise que l'attribution du NIR comme INS se fait« sans préjudice (…) des dispositions relatives à des autorisations particulières d'utilisation à d'autres fins du numéro d'inscription au Répertoire national d'identification des personnes physiques ».
La Commission appelle l'attention du ministère sur l'ambiguïté de cette formulation qui laisse supposer qu'à l'avenir de nouvelles exceptions demeurent envisageables.
La Commission rappelle l'importance que l'utilisation du NIR, en tant qu'identifiant, soit cantonnée à la sphère sanitaire et médico-sociale et sera particulièrement vigilante à ce qu'aucun élargissement de cet usage n'intervienne à l'avenir.
Sur le projet d'article R. 1111-8-3 :
Ce projet d'article vise à délimiter le champ d'application de la prise en charge sanitaire et rnédico-sociale en caractérisant les professionnels habilités à traiter le NIR comme identifiant de santé. Il s'agit des structures et professionnels visés par les dispositions du code de la santé publique relatives à l'échange et au partage d'informations (articles L. 1110-4 et L. 1110-12).
La Commission prend acte de cette définition et évalue le nombre de professionnels ainsi habilités à traiter le NIR à environ 2 millions.
Par ailleurs, ce même projet d'article prévoit que l'opération de référencement des données à l'aide du NIR est mise en œuvre dans le respect des exigences de la loi Informatique et Libertés.
S'agissant des formalités préalables, la Commission rappelle que l'article L. 1111-8-1 du CSP prévoit que« Les dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés prescrivant une procédure particulière d'autorisation à raison de l'utilisation du numéro d'inscription au répertoire national d'identification des personnes physiques dans un traitement de données à caractère personnel ne sont pas applicables aux traitements qui utilisent ce numéro exclusivement dans les conditions prévues au présent I. »
Le ministère a précisé dans le cadre de l'instruction de la demande d'avis qu'il entendait exonérer l'opération de référencement de toute formalité auprès de la CNIL.
La Commission souscrit pleinement à cet objectif de simplification. En effet, l'accomplissement d'une formalité préalable serait non seulement une contrainte supplémentaire pour les responsables de traitements mais surtout dénuée d'efficacité dans la mesure où la CNIL pourrait difficilement analyser chacune des milliers de déclarations qui ne manqueraient pas de lui être soumises (tous les fichiers du secteur sanitaire et médico-social étant potentiellement touchés).
Elle prend acte de ce que le projet de décret précisera que seules les opérations de référencement feront l'objet d'une dispense de formalités préalables, les traitements de données à caractère personnel, ayant une finalité médicale ou de suivi social et médico-social, y compris la gestion administrative des personnes prises en charge, resteront soumis aux formalités prévues par la loi Informatique et Libertés.
Sur le projet d'article R. 1111-8-4 :
Ce projet d'article vise à délimiter le champ d'application de la prise en charge sanitaire et médico-sociale en caractérisant les finalités des traitements de données à caractère personnel sous-jacents. Il s'agit des traitements « ayant une finalité médicale et de suivi social et médico-social, y compris les fonctions support nécessaires pour assurer la gestion administrative des personnes prises en charge ».
Le ministère n'opère donc pas de distinction entre le dossier « médical » au sens propre et le dossier « administratif » du patient qui ont vocation à reposer sur le NIR comme identifiant tant que la finalité poursuivie est la prise en charge du patient.
Dans le cadre des échanges avec les services de la Commission, le ministère a précisé que cette disposition avait vocation à couvrir l'ensemble des traitements accessoires à la gestion administrative, telle que la prise des rendez-vous.
La Commission souligne que le recours à l'identifiant de santé dans ces conditions ne doit pas avoir pour conséquence de remettre en cause la politique d'habilitation des accès aux données administratives, d'une part, et aux données de santé, d'autre part, au sein des organismes concernés.
Elle souligne que cette disposition, combinée aux autres critères de définition de la prise en charge sanitaire et médico-sociale (en fonction des personnes dont les données peuvent être référencées grâce au NIR - article R. 1111-8-2 - et en fonction des professionnels habilités à traiter le NIR comme identifiant - article R. 1111-8-3), a pour conséquence d'empêcher tout autre organisme de traiter l'identifiant de santé, en particulier les organismes d'assurance maladie complémentaire.
La Commission prend acte de l'engagement du ministère de compléter le projet avec une disposition relative à l'interdiction de traiter l'identifiant de santé par des personnes physiques ou morales n'intervenant pas dans la prise en charge sanitaire ou le suivi social et médico-social, afin de lever toute ambiguïté sur ce point.
Sur le projet d'article R. 1111-8-5 :
Le projet d'article R. 1111-8-5 prévoit que le droit d'opposition ne s'applique pas au traitement de données permettant le référencement à l'aide du NIR.
La Commission estime que l'utilisation du terme permettant est ambiguë et qu'en l'espèce il semble que le ministère ait entendu exclure le droit d'opposition concernant le traitement du NIR en tant qu'il permet le référencement.
La Commission rappelle que cette exclusion ne concerne que l'opération de référencement et non pas l'ensemble du traitement des données à des fins de prise en charge. En effet, le patient reste libre d'exercer le droit d'opposition au traitement de ses données, pour motifs légitimes, qui lui est ouvert par l'article 38 de la loi Informatique et Libertés et peut toujours bénéficier de l'anonymat de sa prise en charge quand il le demande. De même, l'information des patients relative au traitement de leurs données à caractère personnel doit être assurée dans les conditions prévues par l'article 32 de la loi Informatique et Libertés, ainsi que l'exercice des droits d'accès et de rectification prévus par les articles 39 et 40 de la même loi.
L'exclusion du droit d'opposition prévue par le projet n'a pour conséquence que de référencer obligatoirement les données avec le NIR, quand le traitement de ces dernières est légitime.
Dans la continuité de ses observations relatives aux formalités préalables, la Commission estime que le projet pourrait être utilement complété en distinguant les droits attachés à 1'opération de référencement de ceux relatifs au traitement de prise en charge sanitaire et médico-sociale.
Elle prend acte de l'engagement du ministère de compléter le projet sur ce point.
Sur le projet d'article R. 1111-8-6 :
La Commission relève que le projet d'article R. 1111-8-6 prévoit la mise à disposition des établissements et professionnels participant à la prise en charge de patients, d'un téléservice de recherche du NIR, opéré par la Caisse nationale de l'assurance maladie des travailleurs salariés.
Elle observe que ce projet d'article est susceptible de permettre l'accès à des données à caractère personnel concernant l'ensemble de la population française et des personnes résidant sur le territoire. Elle relève que les risques d'interconnexions et de détournements de finalités pourraient en conséquence se voir multipliés du fait d'un tel service.
Elle relève en outre que le nombre d'usagers du téléservice est particulièrement élevé. Dès lors, la Commission s'interroge sur la nécessité de ce service, au regard du risque qu'il fait peser sur les personnes.
La Commission considère en outre qu'un tel téléservice devrait être accompagné de mesures de sécurité suffisamment fortes pour éviter que le NIR ne soit diffusé plus que nécessaire. Dans ce sens, elle prend acte de l'engagement du ministère de limiter le téléservice à l'accès au NIR d'un individu donné sans permettre d'accéder de façon massive au RNIPP ou au SNGI et de répliquer ces bases. Seules des requêtes individu par individu seront possibles.
Néanmoins, la Commission considère que le projet d'article devrait prévoir des mesures techniques et juridiques pour que l'accès à ce téléservice demeure exceptionnel. Elle considère à cet effet que l'accès au téléservice devrait se limiter à un nombre restreint de professionnels.
En tout état de cause, la Commission estime que le recours au téléservice ne devrait être autorisé que pour des finalités bien déterminées, répondant à des impératifs justifiés, par exemple nécessité d'obtenir le NIR d'un ayant droit tant que cette information est absente de la carte vitale, personne ne disposant pas de carte vitale et identito-vigilance.
Enfin, elle prend acte de l'engagement du ministère d'encadrer ce téléservice par un texte réglementaire qui sera soumis à la Commission.
A cet effet, la Commission demande qu'une étude des risques du traitement et notamment son impact sur la vie privée soit réalisée à l'appui de cet encadrement réglementaire, ainsi qu'un descriptif de l'architecture technique retenue et des mesures de sécurité mises en œuvre ou prévues, notamment au regard des réserves formulées. Elle rappelle que la conformité du téléservice au Référentiel général de sécurité (RGS) sera nécessaire.
Sur le projet d'article R. 1111-8-7 :
La Commission prend acte qu'un référentiel adopté sur le fondement de l'article L. 1110-4-1du CSP visera à accompagner les acteurs de terrain pour fiabiliser les usages du NIR en tant qu'identifiant de santé. Elle observe cependant que le projet d'article ne prévoit pas que ce référentiel intègre des règles spécifiques concernant la sécurité des dispositifs techniques amenés à traiter le NIR et demande que le projet d'article soit modifié en ce sens.
La Commission rappelle que l'ouverture de l'accès au NIR à la sphère sanitaire et médico-sociale ne doit pas affaiblir le haut niveau de sécurité qui doit entourer ce traitement particulièrement sensible.
A cet égard, elle considère que le référentiel technique encadrant les modalités d'utilisation de l'INS devra prévoir des mesures de sécurité et être publié avant la mise en œuvre effective de l'utilisation du NIR comme INS par les organismes de santé. Il appartient en effet aux organismes de santé d'assurer la sécurité de ces données, par nature sensibles, afin de se prémunir de toute atteinte à leur intégrité et à leur confidentialité.


La présidente,

I. Falque-Pierrotin