Délibération n° 2016-258 du 21 juillet 2016 portant avis sur un projet de décret en Conseil d'Etat autorisant la création d'un traitement de données à caractère personnel dénommé « dossier médical partagé » (demande d'avis n° 16017107)

Chemin :




Article
ELI: Non disponible


La Commission nationale de l'informatique et des libertés,
Saisie par les ministères en charge des finances et des comptes publics, des affaires sociales et de la santé, des familles, de l'enfance et des droits des femmes d'une demande d'avis concernant un projet de décret en Conseil d'Etat autorisant la création d'un traitement de données à caractère personnel dénommé « dossier médical partagé » ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de la santé publique, notamment ses articles L. 1111-8-1, L. 1111-14 et suivants ;
Vu le code de la sécurité sociale, notamment ses articles L. 161-28-1 et L. 162-4-3 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment en son article 27 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret en Conseil d'Etat n° 2016-914 du 4 juillet 2016 relatif au dossier médical partagé ;
Après avoir entendu Mme Valérie PEUGEOT, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie, le 6 juillet 2016, par les ministères en charge des finances et des comptes publics, des affaires sociales et de la santé, des familles, de l'enfance et des droits des femmes, d'une demande d'avis sur un projet de décret en Conseil d'Etat autorisant la création d'un traitement de données·à caractère personnel dénommé « dossier médical partagé » (ci-après le « projet »).
Ce projet vise à autoriser le traitement de données à caractère personnel·relatif au dossier médical partagé (ci-après le « DMP ») mis en œuvre par la Caisse nationale d'assurance maladie des travailleurs salariés (ci-après la « CNAMTS »).
Il est pris en application des articles L. 1111-14 et suivants du code de la santé publique (ci-après « CSP ») tels que modifiés par l'article 96 de la loi n° 2016-41 de modernisation de notre système de santé du 26 janvier 2016.
Le cadre réglementaire du DMP est fixé par le décret en Conseil d'Etat n° 2016-914 du 4 juillet 2016 relatif au dossier médical partagé, pris après avis de la CNIL (ci-après « le décret »). Il définit les conditions et les modalités de création et de mise en œuvre du DMP. Ce décret désigne expressément la CNAMTS comme responsable de traitement du DMP au sens de l'article 3 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (ci-après « la loi Informatique et Libertés »).
Le projet soumis à la commission est pris en application de l'article 27-I (1°) de la loi du 6 janvier 1978 modifiée qui prévoit que « sont autorisés par décret en Conseil d'Ettat, pris après motivé et publié de la Commission nationale de l'informatique et des libertés : les traitements de données à caractère personnel mis en œuvre pour le compte (…) d'une personne morale de droit public (…) qui portent sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques ».
Le présent projet de décret consacre l'évolution du dossier médical personnel en dossier médical partagé. La commission se félicite de cette concrétisation qui permettra de relancer la mise en œuvre d'un dossier médical ayant pour objectif de favoriser la coordination des soins et d'améliorer la prise en charge des patients.
La réussite du DMP tiendra également à la confiance de ses utilisateurs dans les modalités de gestion des données personnelles particulièrement sensibles qui sont concernées. Les garanties prises à cet égard pour assurer le respect de la vie privée des personnes doivent être à la hauteur des enjeux.
Sur la dénomination et les finalités du traitement :
Le projet d'article 1er rappelle que le DMP a pour finalités de favoriser la prévention, la coordination, la qualité et la continuité des soins.
Plus précisément, il a vocation à permettre :
1° Le partage entre professionnels de santé de l'information sur un patient qu'ils prennent en charge ;
2° L'alimentation du DMP par les professionnels de santé avec les éléments diagnostiques et thérapeutiques nécessaires à la coordination des soins de la personne prise en charge, y compris les résumés des principaux éléments des séjours hospitaliers qu'elle effectue, prévus au premier alinéa de l'article L. 1111-15 du CSP ;
3° L'alimentation du DMP par les organismes d'assurance maladie avec les données issues des procédures de remboursement ou de prise en charge prévues au deuxième alinéa de l'article L. 1111-15 du CSP ;
4° Aux patients de créer eux-mêmes leur propre DMP.
La commission considère que les finalités poursuivies sont déterminées, explicites et légitimes.
La commission prend acte de l'engagement du ministère de préciser cet article sur l'existence d'un système d'information de pilotage visant à évaluer l'usage et le service rendus ainsi qu'à piloter le fonctionnement et la performance des systèmes mis en place.
Aucune information transmise au système de pilotage ne permettra l'identification directe d'un patient. En revanche, il est prévu que les données concernant les professionnels de santé transmises au système de pilotage seront directement nominatives afin de permettre d'effectuer des enquêtes qualitatives ciblées auprès d'eux et de réaliser « un accompagnement au plus près des professionnels de santé et adapté aux problématiques des territoires ».
En tout état de cause, la commission considère que cette finalité ne saurait servir au contrôle des professionnels de santé et suggère, à cet égard, que la démarche d'accompagnement des professionnels de santé demeure à l'initiative de ceux-ci.
Sur la nature des données traitées :
Le projet d'article 2 énumère les catégories de données à caractère personnel qui feront l'objet du traitement de la façon suivante :


- l'identifiant du DMP ;
- pour tous les bénéficiaires de l'assurance maladie :
1° Les données de rattachement de l'assuré à un organisme d'assurance maladie obligatoire ;
2° Les données de contact de l'assuré ;
- pour tous les titulaires d'un DMP :
1° Les données énumérées à l'article R. 1111-30 du CSP comprenant notamment les données relatives à l'identité et à l'identification du titulaire ;
2° Les données de gestion relatives au DMP ;
3° Les modalités d'authentification des personnes autorisées à accéder aux données du DMP ;
4° Les données de gestion du compte internet d'accès au DMP du titulaire ;
- les données nécessaires au pilotage du déploiement des DMP et au suivi de la mise en œuvre du DMP ;
- les données relatives aux traces des accès, contacts et notifications, notamment les traces des accès par les professionnels de santé autorisés.


S'agissant de l'identifiant du DMP visé dans le projet d'article 2, l'article L. 1111-14 du CSP prévoit qu'afin de permettre aux bénéficiaires de l'assurance maladie de disposer d'un DMP, il est créé un identifiant du DMP pour l'ensemble des bénéficiaires de l'assurance maladie.
L'article R. 1111-33 du CSP issu du décret précise que cet identifiant est l'identifiant national de santé tel que mentionné à l'article L. 1111-8-1 du CSP dont la mise en œuvre est subordonnée à un décret en Conseil d'Etat pris après avis de la CNIL, dont la commission n'est pas saisie à ce jour.
Le décret précise que, dans l'attente de la mise en œuvre de l'identifiant national de santé, le patient sera identifié par I'INS-C, actuel identifiant technique du dossier médical personnel, généré à partir du NIR et d'autres éléments d'identification qui sont les nom, prénoms et date de naissance du titulaire. A des fins de gestion de cet identifiant, la CNAMTS établit une table de correspondance entre le NIR et I'INS-C. Cette table de correspondance permettra en outre de relier le DMP aux données traitées par l'assurance maladie pour mettre en œuvre de nouveaux modes de création et d'alimentation du DMP.
La commission rappelle, comme elle l'a indiqué dans sa délibération n° 010-449 du 2 décembre 2010 portant autorisation de la première phase de déploiement généralisé du dossier médical personnel, que I'INS-C ne permet pas d'apporter une garantie absolue de non-collision et d'absence de doublon et considère que l'acceptation de cette solution provisoire ne doit pas se prolonger au-delà de ce qui est nécessaire et suffisant pour mettre en place l'INS.
La commission observe que si le projet précise les catégories de données à caractère personnel relatives aux titulaires des DMP, il est silencieux sur les données à caractère personnel relatives aux professionnels de santé et aux personnels exerçant sous leur responsabilité, alors que celles-ci sont également appelées à faire l'objet d'un traitement. Toutefois, la commission prend acte de l'engagement du ministère à compléter le projet en ce sens.
Le projet d'article 3 précise que les données issues des procédures de remboursement ou de prise en charge détenues par l'organisme d'assurance maladie auquel est rattaché le titulaire du DMP seront extraites par la CNAMTS à partir du système national d'informations interrégimes de l'assurance maladie (SNIIRAM) ou, à défaut, à partir du système prévu par le décret n° 2006-143 du 9 février 2006 relatif aux modalités d'accès des médecins aux données relatives aux prestations servies aux bénéficiaires de l'assurance maladie (appelé « historique des remboursements »).
A cet égard, la commission s'interroge sur les dispositions du projet tendant au versement automatique dans le DMP des données issues de l'historique des remboursements, alors que la loi précitée subordonne l'accès de ces informations au consentement des personnes qui se matérialise, comme l'a prévu le législateur, par la remise de la carte Vitale de l'assuré, pour chaque accès.
Sur les destinataires :
La commission prend acte de ce que les destinataires des données mentionnées au projet d'article 2 sont :


- les professionnels de santé, en application des dispositions des articles R. 1111-26, R. 1111-32 et R. 1111-40 et suivants du CSP, concernant les données contenues dans le DMP ;
- les personnes habilitées à ouvrir, gérer ou piloter les DMP, concemant les données strictement nécessaires à l'accomplissement de leur mission de création, de gestion et de pilotage des DMP.


Sur la durée de conservation :
Le projet d'article 5 précise que les données du DMP et les données de gestion associées sont conservées jusqu'à la clôture du dossier puis archivées dans les conditions prévues à l'article R. 1111-34 du CSP, sans préjudice des règles applicables pour chaque professionnel de santé concernant la conservation des dossiers médicaux qu'il détient individuellement sur ses patients.
Le décès du titulaire d'un DMP entraîne sa clôture. A cet égard, le dossier produit à l'appui du projet précise que les décès seront principalement gérés par les professionnels de santé qui procéderont à la clôture dès lors qu'ils auront accès au dossier. Par ailleurs, un proche du titulaire justifiant de son identité et de son lien avec la personne décédée pourra également renseigner un formulaire pour en demander la clôture.
Afin de limiter les risques de clôtures injustifiées de DMP de personnes qui ne seraient pas décédées et compte tenu des difficultés pratiques que les professionnels de santé pourraient rencontrer dans la vérification de l'identité de ce proche et de son lien avec le titulaire du DMP, la commission propose, par souci de cohérence, que la faculté de demander la clôture d'un DMP d'une personne décédée suive les règles prévues à l'article L. 1111-7 du CSP relatives à l'accès au dossier médical d'une personne décédée. Il s'agirait donc des ayants droit, du concubin ou du partenaire lié par un pacte civil de solidarité.
Par ailleurs, il est prévu qu'une fois clôturé, le DMP est conservé sous une forme archivée pendant dix ans à compter de sa clôture puis détruit, sauf dans l'hypothèse d'un accès postérieur motivé par un recours gracieux ou contentieux. Ces modalités sont prises en application de l'article R. 1111-34 issu du décret et la commission en prend acte.
En cas de clôture d'un DMP, la commission suggère que son titulaire soit informé que les données qu'il contient ne seront plus accessibles. Une telle information apparaît d'autant plus pertinente quand le DMP contient des données particulières telles que les directives anticipées du titulaire. Dans cette hypothèse, le titulaire pourrait, par exemple, être invité à recourir à l'un des autres modes de dépôt prévus pour les directives anticipées.
Sur l'information des personnes :
Le projet d'article 6 prévoit que les personnes concernées par les données visées au projet d'article 2 sont informées des modalités d'exercice de leurs droits d'accès et de rectification par la diffusion d'informations sur le site internet mondmp.gouv.fr.
La commission prend acte de ce que plusieurs sites internet relatifs au DMP pourraient diffuser ces informations et que le projet de décret sera donc modifié pour éviter la référence à un site internet spécifique.
Le dossier produit à l'appui du projet indique par ailleurs que l'information sera délivrée via des brochures dont le contenu sera mis à jour, via des campagnes d'information réalisées notamment par courrier et via les conditions générales d'utilisation du DMP.
Concernant l'information délivrée aux titulaires d'un dossier médical personnel, ouvert sous l'empire des dispositions antérieures, qui devient un dossier médical partagé régi par les nouvelles dispositions à compter du 5 juillet 2016, le dossier produit à l'appui du projet prévoit une information individuelle de ces personnes par un courriel ou par un courrier spécifique. Celles-ci seront également mises en mesure d'accepter les nouvelles conditions générales d'utilisation du DMP lors de leur première connexion à leur compte en ligne. La commission en prend acte et rappelle que les mentions d'information prévues par l'article R. 1111-32 CSP doivent être portées à la connaissance des titulaires sur les supports d'information précités.
Elle prend également acte de l'engagement du ministère de prévoir dans les conditions générales d'utilisation du DMP une invitation des titulaires à informer leurs proches et personnes de confiance qu'ils auraient désignées de leur inscription dans le DMP.
Sur les droits d'accès, de rectification et d'opposition :
Le projet d'article 4 prévoit que le titulaire du DMP, ou son réprésentant légal pour les mineurs ou les majeurs faisant l'objet d'une mesure de protection juridique, a accès aux données de son dossier selon les modalités prévues aux articles R. 1111-26, R. 1111-35 et R. 1111-42 du CSP issus·du décret.
La commission rappelle qu'elle·avait demandé, dans sa délibération n° 2016-147 du 12 mai 2016 portant avis sut le projet de décret en Conseil d'Etat relatif au DMP, des précisions sur les modalités de mise en œuvre des dispositions relatives aux informations dont les mineurs peuvent, sous certaines conditions, demander qu'elles ne soient pas portées à la connaissance de leurs représentants légaux. Le décret du 4 juillet 2016 précise que les droits des mineurs et majeurs faisant l'objet d'une mesure de protection juridique sont exercés conformément aux articles 371-1 et suivants et 425 et suivants du code civil ainsi qu'aux articles L. 1110-4, L. 1111-2, L. 1111-5-1 et L. 1111-7 du CSP.
La commission prend acte de ce que, par défaut, un certain nombre d'informations supposées sensibles ne seront pas versées dans le DMP (ex. : IVG, contraception, VIH) et que, pour le reste, la CNAMTS a engagé des travaux à ce sujet. La commission demande à être tenue informée de la conclusion de ces travaux.
Par ailleurs, le projet d'article 6 prévoit que les droits d'accès et de rectification des données, prévus par les articles 39 et 40 de la loi Informatique et Libertés, s'exercent auprès du directeur de l'organisme d'assurance maladie auquel est rattaché le titulaire du DMP dans les conditions précisées aux articles R. 1111-35 et suivants du CSP. Le titulaire du DMP peut demander la suppression de certaines données qui y figurent auprès du professionnel de santé ou de l'établissement de santé qui les y a insérées.
La commission en prend acte.
S'agissant du droit d'opposition, le projet d'article 6 limite son exercice aux informations versées par le professionnel de santé prenant en charge le titulaire du DMP, ce qui serait de nature à exclure les données issues des procédures de remboursement ou de prise en charge détenues par l'organisme.
La commission relève que l'article L. 1111-15 du CSP prévoie l'alimentation du DMP par les données de remboursement. Dès lors, elle s'interroge sur l'articulation de cette disposition avec l'article L. 162-4-3 du code de la sécurité sociale qui subordonne chaque accès des professionnels de santé aux données issues de cet historique des remboursements au consentement des assurés. Le respect de cette dernière disposition par les professionnels de santé semble en effet illusoire si les données de remboursement figurent dans le DMP.
La commission se félicite de la possibilité qu'aura le titulaire du DMP de consigner des informations dans le dossier, ce qui participe d'une bonne appropriation du DMP et en fait un outil au service des patients, facteur de son succès, passant par le contrôle et la maîtrise des informations y figurant par les intéressés eux-mêmes.
Par ailleurs, elle relève que la stratégie nationale e-santé 2020, présentée par la ministre des affaires sociales et de la santé, le 4 juillet 2016, pose l'objectif d'offrir au patient la possibilité de télécharger le contenu de son DMP La commission estime que ce serait également un bon vecteur d'appropriation du DMP par le patient et sera attentive a son application.
Sur les mesures de sécurité :
L'article R. 1111-27 du CSP issu du décret n° 2016-914 du 4 juillet 2016 relatif au DMP indique que le responsable du traitement doit s'assurer du respect de la conformité du traitement aux conditions de sécurité définies à l'article L. 1111-8 pour les hébergeurs de données de santé et de la conformité aux référentiels d'interopérabilité et de sécurité mentionnés à l'article L. 1110-4-1 du CSP.
La commission, tout en relevant que les référentiels mentionnés à l'article L. 1110-4-1 du CSP doivent être approuvés par arrêté du ministre.en charge de la santé pris après avis de la commission, et qu'elle n'en a pas été saisie à ce jour, prend acte de l'engagement du ministère de compléter l'article 1er du projet de décret en mentionnant ces obligations.
Lors de l'instruction du projet, la CNAMTS a indiqué qu'elle reprendra, dans l'immédiat, le système d'information du DMP actuellement fonctionner qui sera conservé auprès d'un hébergeur agréé de données de santé au sens de l'article L. 1111-8 du CSP.
A cet égard, la commission rappelle que la transmission à la GNAMTS de l'ensemble des secrets concernant le système DMP détenus par l'ASIP Santé doit s'opérer de manière sécurisée. Il s'agit notamment des clés de chiffrement de la base DMP et des modalités d'authentification des administrateurs. La CNAMTS, ·en sa qualité de responsable de traitement, devra les renouveler dans la mesure du possible et s'assurer de.leur mise en œuvre sécurisée auprès de l'hébergeur agréé.
Les modalités du transfert de responsabilité de I'ASIP vers la CNAMTS devant être précisées par une convention prévue par l'article 4 du décret n° 2016-914 du 4 juillet 2016 relatif au DMP, la commission prend acte de ce que cette convention intégrera l'organisation du transfert sécurisé des secrets du système d'information du DMP précitée.
Concernant la conformité au Référentiel général de sécurité (RGS), la commission relève qu'elle devrait être mentionnée dans l'article 1er du projet et rappelle que la CNAMTS devra s'assurer du renouvellement de l'homologation RGS du système d'information du DMP prononcée en décembre 2015 par le précédent responsable de traitement.
Pour la création du DMP par les bénéficiaires :
La CNAMTS a indiqué, lors de l'instruction du dossier, que la possibilité de création d'un DMP par les bénéficiaires eux-mêmes sera mise en œuvre à travers un nouveau site internet mondmp.gouv.fr mis en œuvre sous sa responsabilité.
La commission relève que, si le projet mentionne ce nouveau site dans son article 6 en tant que vecteur d'information des personnes concernées ; son article 3 fixant les modalités techniques est silencieux sur le rôle de ce site en tant que nouveau vecteur de création des DMP. Elle recommande que l'article 3 soit complété en ce sens.
La CNAMTS a également indiqué que la création par le bénéficiaire répondra à une exigence d'authentification renforcée de la personne concernée en s'appuyant sur un code unique de création et sur le numéro de série de sa carte Vitale. Le code unique sera envoyé par courriel (à l'adresse électronique vérifiée de l'annuaire du compte « Ameli ») ou éventuellement par courrier postal, à la demande du patient (qui devra saisir son NIR sur le site mondmp.gouv.fr) ou dans le cadre d'un envoi dit « de masse ».
La commission recommande que· l'article 3 du projet soit complété pour mentionner que la création par le bénéficiaire exigera une authentification renforcée à l'aide d'un code unique de création et d'un secret partagé avec la CNAMTS.
Une fois authentifié, le patient devra saisir ses canaux de contact (adresse électronique et/ou numéro de téléphone mobile) qui seront utilisés pour l'envoi du mot de passe à usage unique (OTP) nécessaire pour l'accès à son DMP.
Il devra également (ou son représentant légal, le cas échéant) donner son consentement à la création de son DMP et de son compte internet d'accès personnel, en cochant une case dédiée. Un accusé de création sera généré et imprimable, qui contiendra également les éléments de connexion au DMP concerné (identifiant et mot de passe temporaire).
Ces étapes seront également à réaliser par le titulaire d'un DMP créé par un tiers si son compte d'accès personnel n'a pas été paramétré au moment de la création.
La commission prend acte de l'engagement du ministère lors du développement du système d'informations du DMP de prendre en compte techniquement l'authentification renforcée et l'envoi d'un accusé de réception lors de la création du DMP.
Elle rappelle à cet égard que le consentement exprès est subordonné à la délivrance, préalablement au recueil de celui-ci, d'une information suffisamment claire et explicite dont la personne doit pouvoir prendre connaissance utilement avant de consentir.
Enfin, la CNAMTS a indiqué que des bornes interactives permettant la création de DMP seront installées pour le public dans les caisses d'assurance maladies et les établissements de santé.
Les éléments transmis à la commission ne contiennent pas d'informations sur ces bornes. Dès lors si la commission considère qu'elles devront a minima respecter les conditions de sécurité précitées relatives à la création du DMP via le site internet, dans des conditions conformes à l'article 34 de la loi Informatique et Libertés.
Elle recommande en outre que ces bornes soient, d'une part, particulièrement protégées contre l'ajout de.matériels ou logiciels malveillants destinés à capter les informations personnelles et les éléments d'authentification saisis, et échangés sur la borne et, d'autre part, disposent d'un espace de confidentialité.
Pour la création du DMP par les agents des organismes dassurance maladie obligatoire intervenant directement auprès des bénéficiaires de l'assurance maladie :
La CNAMTS a indiqué que, en raison de contraintes techniques, ces agents seront identifiés auprès du système DMP comme des membres d'établissements de santé particuliers (à savoir la CNAMTS et les CPAM) afin qu'ils puissent créer des DMP comme le font actuellement les agents d'accueil d'établissements de santé.
La commission prend acte que la CNAMTS a prévu de limiter techniquement les habilitations dans ce cas particulier ; en ne conférant pas à la CNAMTS et aux CPAM les droits d'accès qui sont habituellement activés pour un établissement de santé.
Concernant l'alimentation du DMP par les données de remboursement et de prise en charge :
Dans un premier temps, les données de remboursement seront issues du système prévu par le décret n° 2006-143 du 9 février 2006 relatif aux modalités d'accès des médecins aux données relatives aux prestations servies aux bénéficiaires de l'assurance maladie et modifiant le code de la sécurité sociale (« historique des remboursements »).
La CNAMTS a indiqué à la commission qu'elle s'appuiera pour cela sur la brique « HR - historique des remboursements » de son système d'information et s'interfacera avec le système DMP comme un logiciel d'établissement de santé alimentant un DMP. Les données d'historique seront mises en forme dans un fichier PDF qui sera versé immédiatement dans le DMP correspondant sans conservation intermédiaire.
A cet égard, la commission est consciente des délais nécessaires à l'évolution des logiciels des professionnels de santé pour la prise en compte de nouvelles données structurées, justifiant le choix pour l'instant d'un document PDF non structuré. Elle exprime cependant le souhait de voir rapidement mis en œuvre un versement de ces données dans un format ouvert et interopérable permettant leur réutilisation par le titulaire du DMP.
Dans une deuxième phase, les données prévues au deuxième alinéa de l'article L. 1111-15 du code de la santé publique seront extraites par la CNAMTS pour alimenter le DMP à partir du SNIIRAM créé par l'article L. 161-28-1 du code de la sécurité sociale.
Comme l'indique l'alinéa 1 (d) de l'article R. 1111-30 du décret n° 2016-914 du 4 juillet 2016 relatif au DMP, la CNAMTS mettra en œuvre pour ce faire « un traitement de données à caractère personnel visant à recevoir et organiser les données ».
Ce traitement a été présenté par la CNAMTS comme un « middle office » dédié faisant le lien entre le DMP, le SNIIRAM, les bases de gestion du DMP et les référentiels de la CNAMTS, afin de récupérer, consolider et mettre en forme les données de remboursement et de prise en charge, et de les verser dans les DMP ouverts correspondants. Pour des questions de performance, de mise en forme et d'enrichissement des données, le « middle office DMP » conservera un historique de 24 mois plus l'année en cours, néanmoins limité aux seules données utiles au DMP.
Lors de l'instruction du dossier le positionnement de ce « middle office DMP » dans le système d'information de la CNAMTS a été particulièrement étudié avec les services de la commission, en raison des risques que constitue une telle plate-forme traitant des données du SNIIRAM réidentifiées avec le NIR du bénéficiaire et reliées à son DMP par la table de correspondance NIR-INS-C.
La CNAMTS prévoit de placer ce système dans une « bulle HDS », c'est-à-dire une partie de son système d'information isolée du reste (et notamment du SNIIRAM et du DMP) et disposant de mesures de sécurité renforcées équivalentes à celle mises en place par un hébergeur agréé de données de santé.
La commission en prend acte et sera particulièrement vigilante sur le respect de ces mesures de sécurité.
En outre, la CNAMTS prévoit d'utiliser les procédures déjà mises en œuvre pour l'interrogation et l'appariement des données du SNIIRAM dans le cadre des cohortes utilisées pour la recherche, et de les implémenter à distance du SNIIRAM, dans la « bulle » dite « HDS » hébergeant le « middle office DMP » ;
Sans préjudice de ses observations, notamment sur l'exercice du droit d'opposition, la commission en prend acte.
Concernant le respect des dispositions de l'article 34 de la loi Informatique et Libertés :
La commission relève que le dossier technique fourni à ses services à l'occasion de l'instruction du dossier démontre une prise en compte approfondie par la CNAMTS des­ enjeux et des risques pour la vie privée propres au DMP.
L'architecture technique retenue, l'étude des risques du traitement et ses impacts sur la vie privée, ainsi que les mesures de sécurité mises en œuvre ou prévues sont ainsi conformes aux recommandations habituelles de la commission et ont intégré les préconisations faites par les services lors de l'examen du projet.
La commission rappelle néanmoins que les mesures de sécurité devront être mises en œuvre selon le plan d'action prévu et faire l'objet de contrôles et révisions réguliers au vu des évolutions du traitement, de son usage et de son environnement.
A cet égard, la commission prend acte de l'engagement de la CNAMTS de revenir vers la commission pour modifications du traitement liées au développement des phases ultérieures du projet, notamment s'agissant de :


- l'intégration d'un lien avec le dossier pharmaceutique ;
- la possibilité pour le patient d'accorder à un professionnel de santé non médecin les mêmes droits d'accès à son DMP que ceux du médecin traitant ;
- la prise en compte des DMP des mineurs devenus majeurs, avec la désactivation des codes des titulaires de l'autorité parentale et le recueil du consentement du jeune majeur à la conservation de son DMP ;
- le recours à une authentification forte alternative à la carte de professionnel de santé (CPS) ;
- les applications d'extraction et de dépôt de données par le titulaire du DMP, qui seront agréées par la CNAMTS.


La commission indique qu'elle sera également vigilante sur :


- le délai de mise en œuvre du mécanisme d'information puis de levée automatique de l'inaccessibilité d'un document dans le cadre de la consultation d'annonce ;
- la mise à jour de la matrice des habilitations d'accès des professionnels de santé aux seules informations strictement nécessaires à la prise en charge du titulaire du DMP ;
- la prise en compte différenciée entre les professionnels de lléquipe de soins et ceux autorisés expressément à accéder au DMP ;
- l'intégration des éléments du rendez-vous infirmier ;
- la mise en œuvre de la possibilité de versement de données par le titulaire du DMP, prévue par l'article R. 1111-35 du CSP ;
- les conditions de préservation de la confidentialité des informations que les mineurs souhaiteraient ne pas révéler ;
- le respect des mesures de sécurité relatives au « middle office DMP ».


Les autres points du projet n'appellent pas, en l'état, d'observations de la commission.


Liens relatifs à cet article

Cite: