Délibération n° 2017-280 du 26 octobre 2017 portant avis sur un projet de décret autorisant la création d'un traitement de données à caractère personnel relatif à l'activité et à la consommation de soins dans les établissements ou services médico-sociaux (demande d'avis n° 17016226)

JORF n°0059 du 11 mars 2018
texte n° 57



Délibération n° 2017-280 du 26 octobre 2017 portant avis sur un projet de décret autorisant la création d'un traitement de données à caractère personnel relatif à l'activité et à la consommation de soins dans les établissements ou services médico-sociaux (demande d'avis n° 17016226)

NOR: CNIX1806285X
ELI: Non disponible


La Commission nationale de l'informatique et des libertés,
Saisie, au titre de l'article 27-I 1° de la loi du 6 janvier 1978, par la ministre des solidarités et de la santé et le ministre de l'action et des comptes publics d'une demande d'avis concernant un projet de décret autorisant la création par la Caisse nationale d'assurance maladie des travailleurs salariés (CNAMTS) d'un traitement de données à caractère personnel relatif à l'activité et à la consommation de soins en établissements ou services médico-sociaux ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de l'action sociale et des familles, notamment ses articles L 312-1 et L 314-2 ;
Vu le code de la santé publique, notamment ses articles L 1110-12 et R 1461-12 ;
Vu le code de la sécurité sociale, notamment ses articles L 114-17-1, L 133-4-4 et L 161-32 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment le I de son article 27 ;
Vu le décret n° 2015-390 du 3 avril 2015 autorisant les traitements de données à caractère personnel par les organismes gestionnaires des régimes obligatoires de base de l'assurance maladie pour l'accomplissement de leurs missions d'affiliation, d'immatriculation, d'instruction des droits aux prestations et de prise en charge des soins, produits et services ;
Vu le décret n° 2015-391 du 3 avril 2015 autorisant les traitements automatisés de données à caractère personnel et les échanges d'informations mis en œuvre par les organismes gestionnaires des régimes obligatoires de base de l'assurance maladie pour l'accomplissement des missions de leurs services médicaux ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Sur la proposition de M. Alexandre LINDEN, commissaire, et après avoir entendu Mme Nacima BELKACEM, commissaire du Gouvernement.
Emet l'avis suivant :
La Commission a été saisie par la ministre des solidarités et de la santé et le ministre de l'action et des comptes publics d'un projet de décret en Conseil d'Etat visant à autoriser la création par la Caisse nationale d'assurance maladie des travailleurs salariés (CNAMTS) d'un traitement de données à caractère personnel, dénommé « Résid'ESMS », destiné à permettre le suivi de l'activité et de la consommation de soins des établissements et services médico-sociaux (ESMS) pour personnes âgées et personnes handicapées.
Sur les finalités du traitement :
L'article 1er du projet de décret précise le périmètre et les finalités du traitement mis en œuvre dans le cadre du projet « Resid-ESMS ».
Ce traitement a vocation à permettre :


- le suivi de la globalité de la consommation de soins et de l'activité des professionnels de santé libéraux ou appartenant à l'équipe de soins, mentionnée à l'article L 1110-12 du code de la santé publique (CSP), dans l'établissement ou service et hors de l'établissement ou du service, relative à la prise en charge des personnes âgées et des personnes handicapées mentionnées dans le projet d'article R 314-105-1 du code de l'action sociale et des familles (CASF) ;
- le suivi de la globalité de la dépense d'assurance maladie rattachable aux personnes accueillies ou accompagnées dans les établissements ou services mentionnés dans le projet d'article R. 314-105-1 du CASF par le rapprochement des données relatives aux budgets desdits établissements et services avec celles relatives aux remboursements au titre de soins de ville et hospitaliers qui leur sont dispensés ;
- le suivi des parcours de soins des personnes mentionnées dans le projet d'article R. 314-105-1 du CASF ;
- les contrôles afférents aux facturations présentées au remboursement des organismes d'assurance maladie par le rapprochement des données relatives aux bénéficiaires avec celles relatives aux remboursements au titre des soins de ville et hospitaliers dispensés à ces mêmes personnes ;
- la répartition entre les régimes de l'activité globale de soins.


La Commission estime que ces finalités sont déterminées, explicites et légitimes, conformément aux dispositions de l'article 6-3° de la loi du 6 janvier 1978 eu égard aux missions des régimes de base de l'assurance maladie.
Sur la nature des données traitées :
Les nouvelles catégories de données traitées dans le cadre du projet « Resid-ESMS » concernent :
S'agissant de l'identification des personnes accueillies ou accompagnées dans l'établissement ou le service médico-social :


- leur numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) ou le numéro identifiant d'attente (NIA) ; leur organisme d'assurance maladie de rattachement ;
- leur date de naissance ;
- le département de leur domicile ou, le cas échéant, de leur domicile de secours ;
- le cas échéant, la mesure de la dépendance de la personne âgée évaluée par référence à la grille nationale mentionnée à l'article L. 232-2 du CASF ou des données relatives au handicap ;
- le cas échéant, l'existence d'une décision d'orientation de la commission des droits et de l'autonomie des personnes handicapées mentionnée à l'article L. 241-5 du CASF et sa date ;
- la modalité de leur accueil ou accompagnement par l'établissement ou le service ;
- leur date d'entrée administrative dans l'établissement ou le service ;
- le lieu de provenance et la modalité de prise en charge antérieurs à la
- prise en charge par l'établissement ou le service ;
- le cas échéant, la prise en charge cumulée ou alternée par un autre
- établissement sanitaire ou un autre établissement ou service ;
- le cas échéant, la date de sortie administrative et son motif ;
- les dates de début et de fin de prise en charge et leur motif ;
- les jours de présence ou de prise en charge pour le mois considéré ;
- l'identification de l'établissement ou service d'accueil ou d'accompagnement et son régime tarifaire ;
- la nature des prestations servies à la personne par les professionnels médicaux et les auxiliaires médicaux ou appartenant à l'équipe de soins et, le cas échéant, la date d'intervention.


S'agissant de l'activité des professionnels de santé libéraux ou appartenant à l'équipe de soins :


- le montant des rémunérations versées aux professionnels de santé libéraux et intégrées dans le budget afférent aux soins de l'établissement ou du service, par catégorie professionnelle, en distinguant, pour les médecins, les généralistes des autres spécialités ;
- les nom, prénom et numéro d'identification au répertoire des professionnels de santé, le cas échéant des professionnels du secteur médico-social, libéraux prescripteurs ou intervenants au titre de l'établissement ou service médico-social, ainsi que la convention entre ces professionnels et l'établissement ou service.


S'agissant du budget des établissements :


- le montant des dépenses de médicaments, de dispositifs médicaux et, le cas échéant, de transports, intégrés dans le budget des établissements et services selon leur modalité tarifaire ;


Les données concernées sont transmises chaque mois par le directeur de l'établissement ou du service, ou son délégataire, aux organismes gérant un régime de base de l'assurance maladie.
Le ministère des solidarités et de la santé indique que les données précitées sont nécessaires aux organismes gérant un service de base de l'assurance maladie afin d'assurer le suivi du parcours de soin de la personne et une meilleure connaissance des déterminants des parcours.
La Commission rappelle que ces transmissions de données ne pourront être effectuées que dans le cadre des finalités limitativement énumérées à l'article 1er du projet.
Sur la durée de conservation des données :
Les données sont conservées pendant 33 mois.
La Commission estime ce délai adéquat eu égard aux finalités pour lesquelles les données sont collectées et traitées. Elle rappelle que, passée la durée de conservation prévue, les données devront être archivées sous une forme anonyme ou supprimées.
Sur les destinataires des données :
Les destinataires des données sont, selon leurs attributions, les agents individuellement désignés et dûment habilités des organismes gérant un régime de base de l'assurance maladie.
La Commission recommande que l'article 1er du projet de décret soit complété afin d'être plus explicite sur les catégories de destinataires et de partenaires ayant accès à l'outil « Resid-ESMS »et sur la liste des données à caractères personnel auxquelles ces derniers auront accès.
Elle rappelle que l'accès aux données à caractère personnel requiert la mise en œuvre de règles d'habilitation strictes et une traçabilité des accès associée à une analyse de ces traces, de sorte que les accès non autorisés puissent être identifiés.
Sur l'information des personnes :
Le ministère indique que les personnes concernées seront informées par les référents des établissements et des services médico-sociaux (gestionnaires, infirmières, médecins coordonnateurs), lors de leur admission ou de leur prise en charge/accompagnement par la structure.
Il est prévu que cette information puisse être faite, le cas échéant, auprès de la personne de confiance, le tuteur ou le représentant légal de la personne.
La Commission rappelle que les modalités d'information doivent être adaptées aux capacités de discernement des personnes.
Sur les droits d'accès, de rectification et d'opposition des personnes :
Les droits d'accès et de rectification des personnes concernées s'exercent auprès du directeur de leur organisme d'assurance maladie de rattachement.
Le droit d'opposition ne s'applique pas au présent traitement.
Sur la sécurité des données et la traçabilité des actions :
L'authentification des utilisateurs est réalisée au moyen de mots de passe de huit caractères comportant au moins une lettre majuscule, une minuscule et un chiffre. La Commission prend acte de ce que le responsable de traitement portera la longueur minimal des mots de passe à douze caractères lors du renouvellement des mots de passe.
La Commission rappelle au responsable de traitement que conformément à sa délibération n° 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe, lorsque les mots de passe sont utilisés sans mécanisme de verrouillage du compte utilisateurs, ceux-ci doivent contenir également des caractères spéciaux. A défaut, le responsable de traitement peut mettre en place un mécanisme de verrouillage de l'accès au compte tel que décrit dans la délibération précitée. Par ailleurs, elle rappelle que la fonction de hachage MD5 est obsolète et qu'elle ne doit pas être utilisée ; elle recommande au responsable de traitement de respecter les préconisations de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) en termes de fonctions cryptographiques.
La Commission prend également acte de ce que les utilisateurs des autres régimes seront authentifiés via le mécanisme Interops, et que les utilisateurs du responsable de traitement seront authentifiés via des cartes à puce.
Un mécanisme de gestion des habilitations permet de garantir que les utilisateurs n'ont accès qu'aux données dont ils ont besoin pour la réalisation de leurs missions.
Les échanges de données réalisés par le site web seront chiffrés via le protocole HTIPS. La Commission rappelle à cet égard que conformément aux recommandations de l'ANSSI, seules les versions les plus récentes de TLS doivent être utilisées.
La commission note que toutes les opérations feront l'objet d'une journalisation. Les journaux seront conservés pendant un an et ne seront accessibles qu'aux administrateurs. La Commission prend acte de cette durée, qui parait pertinente compte tenu de la nature des données concernées par le traitement.
La Commission prend acte de ce que le responsable de traitement a mis en place une procédure d'analyse du traitement au regard des obligations légales en matière de protection de la vie privée. Elle recommande toutefois que cette procédure intègre une analyse des risques présentés par le traitement pour les personnes concernées.
Les autres mesures de sécurité n'appellent pas de remarque particulière de la Commission.
Les évolutions ultérieures du projet devront faire l'objet de formalités auprès de la CNIL.


Pour la présidente :

Le vice-président délégué,

M.-F. Mazars