Délibération n° 2015-108 du 2 avril 2015 portant avis sur un projet de décret en Conseil d'Etat autorisant la création de traitements de données à caractère personnel pour la mise en œuvre des actes de télémédecine issus des expérimentations fondées sur l'article 36 de la loi de financement de la sécurité sociale pour 2014 (demande d'avis n° 15007507)

Chemin :




Article
ELI: Non disponible


La Commission nationale de l'informatique et des libertés,
Saisie par la ministre des affaires sociales, de la santé et des droits des femmes d'une demande d'avis sur un projet de décret en Conseil d'Etat autorisant la création de traitements de données à caractère personnel pour la mise en œuvre des actes de télémédecine issus des expérimentations fondées sur l'article 36 de la loi de financement de la sécurité sociale pour 2014 ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de la santé publique, notamment ses articles L. 6316-1 et R. 6316-1 à R. 6316-11 ;
Vu le code de la sécurité sociale, notamment ses articles L. 162-1-7 et R. 161-43-1 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-1-1° ;
Vu la loi n° 2013-1203 du 23 décembre 2013 de financement de la sécurité sociale pour 2014, notamment son article 36 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2014-1523 du 16 décembre 2014 autorisant la création d'un traitement de données à caractère personnel pour le dépistage de la rétinopathie diabétique ;
Vu la délibération n° 2010-218 de la Commission nationale de l'informatique et des libertés en date du 3 juin 2010 portant avis sur un projet de décret relatif à la télémédecine ;
Vu la délibération n° 2014-239 de la Commission nationale de l'informatique et des libertés en date du 12 juin 2014 portant autorisation unique de mise en œuvre, par les professionnels et établissements de santé ainsi que par les professionnels du secteur médico-social habilités par une loi, de traitements de données à caractère personnel ayant pour finalité l'échange par voie électronique de données de santé à travers un système de messagerie sécurisée ; la délibération n° 2014-413 de la Commission nationale de l'informatique et des libertés en date du 9 octobre 2014 portant avis sur un projet de décret en Conseil d'Etat autorisant un traitement de données à caractère personnel concernant un dispositif de dépistage de la rétinopathie diabétique,
Après avoir entendu M. Alexandre LINDEN, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La ministre des affaires sociales, de la santé et des droits des femmes a saisi, selon la procédure d'urgence, la Commission nationale de l'informatique et des libertés, le 12 mars 2015 puis par saisine rectificative partielle le 31 mars 2015, d'un projet de décret en Conseil d'Etat (ci-après le « projet ») autorisant la création de traitements de données à caractère personnel pour la mise en œuvre des actes de télémédecine, issus des expérimentations fondées sur l'article 36 de la loi de financement de la sécurité sociale (LFSS) pour 2014, et portant dispositions relatives à la facturation sans signature de l'assuré.
La mise en œuvre de ces expérimentations en télémédecine implique des traitements de données à caractère personnel parmi lesquelles figure le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) des patients, afin de permettre au professionnel de santé qui se trouve à distance de facturer son acte à l'assurance maladie alors qu'il ne dispose pas de la carte Vitale du patient.
Le projet soumis à la commission pour avis est pris en application de l'article 27-1-1° de la loi du 6 janvier 1978 modifiée qui prévoit qu'un décret en Conseil d'Etat autorise les traitements de données à caractère personnel mis en œuvre pour le compte de l'Etat qui portent sur des données parmi lesquelles figure le NIR.
Par ailleurs, le projet de décret constituera un acte réglementaire unique destiné à faciliter les formalités des responsables de traitement. En effet, l'article 27-III (qui renvoie à l'article 26-IV de la loi précitée) précise que les traitements qui répondent à une même finalité portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par un acte réglementaire unique. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui-ci à la description figurant dans l'autorisation.
Sur les finalités du traitement :
Aux termes de l'article 2 du projet, celui-ci a vocation à autoriser la création de traitements de données à caractère personnel ayant pour finalités :
« 1° De permettre la prise en charge conjointe [et] coordonnée d'un patient par des professionnels de santé, parmi lesquels figure nécessairement un professionnel médical, dont au moins un se situe à distance, et qui utilisent des technologies d'information et de communication ;
2° De permettre la transmission au professionnel de santé distant ou à la structure au sein de laquelle il exerce, des données nécessaires à la facturation de l'acte de télémédecine qu'il réalise et à la transmission de ces données à l'organisme d'assurance maladie obligatoire et à l'organisme d'assurance maladie complémentaire compétents. »
L'article 2 du projet précise qu'il s'agit de mettre en œuvre les actes de télémédecine mentionnés à l'article 1er du projet, à savoir les actes qui font l'objet d'expérimentations sur le fondement de l'article 36 de la LFSS 2014 et concernent notamment les spécialités et affections suivantes :


- la psychiatrie ;
- la gériatrie ;
- les plaies chroniques et complexes ;
- l'insuffisance cardiaque ;
- l'insuffisance rénale.


La commission considère que les finalités poursuivies par le traitement sont déterminées, explicites et légitimes.
L'activité de télémédecine est définie par l'article L. 6316-1 du code de la santé publique (CSP). L'article R. 6316-6 du CSP prévoit que l'activité de télémédecine et son organisation font l'objet :


« - soit d'un programme national défini par arrêté des ministres chargés de la santé, des personnes âgées, des personnes handicapées et de l'assurance maladie ;


- soit d'une inscription dans l'un des contrats pluriannuels d'objectifs et de moyens ou l'un des contrats ayant pour objet d'améliorer la qualité et la coordination des soins, tels qu'ils sont respectivement mentionnés aux articles L. 6114-1, L. 1435-3 et L. 1435-4 du code de la santé publique et aux articles L. 313-11 et L. 313-12 du code de l'action sociale et des familles ;
- soit d'un contrat particulier signé par le directeur général de l'agence régionale de santé et le professionnel de santé libéral ou, le cas échéant, tout organisme concourant à cette activité ».


Les activités de télémédecine prévues par le projet ne s'inscrivent cependant pas dans ce cadre et font l'objet d'expérimentations sur le fondement de l'article 36 de la LFSS 2014 qui prévoit que « des expérimentations portant sur le déploiement de la télémédecine, définie à l'article L. 6316-1 du CSP, peuvent être menées à compter du 1er janvier 2014 pour une durée de quatre ans, dans des régions pilotes dont la liste est arrêtée par les ministres chargés de la santé et de la sécurité sociale. Ces expérimentations portent sur la réalisation d'actes de télémédecine pour des patients pris en charge, d'une part, en médecine de ville et, d'autre part, en structures médico-sociales. Les conditions de mise en œuvre de ces expérimentations sont définies dans un cahier des charges arrêté par les ministres chargés de la santé et de la sécurité sociale ».
La commission prend acte de ce que l'article 1er du projet rappelle ce cadre expérimental et précise que les conditions de mise en œuvre de ces activités de télémédecine seront décrites dans des cahiers des charges arrêtés par les ministres chargés de la santé et de la sécurité dans le respect des conditions de mise en œuvre des activités de télémédecine prévues aux articles R. 6316-1 à R. 6316-5 et R. 6316-8 à R. 6316-11 du code de la santé publique.
Sur la responsabilité du traitement et les formalités à accomplir :
L'article 3-I de la loi informatique et libertés prévoit que « le responsable d'un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l'autorité publique, le service ou l'organisme qui détermine ses finalités ou ses moyens ».
Il est prévu que les actes de télémédecine visés dans le projet sont mis en œuvre aussi bien en médecine de ville qu'en établissements de santé et médico-sociaux.
L'article 9 du projet précise qu'« ont la qualité de responsables de traitement les professionnels de santé qui le mettent en œuvre ou, le cas échéant, leur employeur ».
La commission en prend acte ainsi que de l'engagement du ministère de préciser que le responsable de traitement est l'employeur des professionnels de santé réalisant l'acte de télémédecine, dès lors que ceux-ci n'exercent pas leur activité à titre libéral.
Par ailleurs, l'article 36 de la LFSS 2014 prévoit que : « IV. - Au terme de ces expérimentations, une évaluation est réalisée par la Haute Autorité de santé en vue d'une généralisation, en liaison avec les agences régionales de santé, les organismes locaux d'assurance maladie, les professionnels de santé, les centres de santé, les établissements de santé et les établissements médico-sociaux participant à l'expérimentation. Elle fait l'objet d'un rapport transmis au Parlement par le ministre chargé de la santé avant le 30 septembre 2016 ».
La commission relève que l'article 9 du projet prévoit que les traitements de données à caractère personnel seront autorisés pour la durée des expérimentations et ultérieurement, en cas de généralisation, étant précisé qu'une telle généralisation serait soumise préalablement à l'avis favorable de la Haute Autorité de santé (HAS) et à une « inscription sur la liste des actes et prestations ».
Sans préjuger de la légalité de la disposition prévoyant la généralisation du dispositif au regard de l'article 36 de la LFSS 2014 précité, la commission, tout en prenant acte de l'engagement du ministère selon lequel la commission sera destinataire des avis rendus par la HAS, observe que le titre même du projet circonscrit les traitements mis en œuvre à ceux issus des expérimentations fondées sur l'article 36 précité. Elle estime donc qu'un projet de décret modifié devrait lui être soumis préalablement, à la lumière des résultats de l'évaluation précitée dont la loi prévoit qu'elle sera transmise au Parlement.
Sur la nature des données traitées :
L'article 3 du projet énumère les données collectées et traitées dans le cadre de la mise en œuvre des actes de télémédecine. Ces données sont :


- les données administratives des patients (à savoir leurs nom, prénoms, sexe, numéro de téléphone, adresse postale, date et rang de naissance, organisme d'affiliation, NIR et, le cas échéant, pour les personnes en instance d'attribution d'un NIR, leur numéro identifiant d'attente (NIA) attribué par la Caisse nationale d'assurance vieillesse des travailleurs salariés) ;
- les données d'identification des professionnels de santé (à savoir leurs nom, prénoms, numéro de téléphone, adresse postale, adresse de messagerie sécurisée) ;
- les données de santé relatives au patient qui sont nécessaires à la réalisation de l'acte de télémédecine projeté (à savoir l'ensemble des données cliniques en ce compris les éventuels clichés, images et photos).


Le projet précise les différentes finalités poursuivies afin de justifier la pertinence de la collecte et du traitement des données à caractère personnel précitées.
Ainsi, les données d'identification des patients et des professionnels de santé permettent la transmission du compte rendu de l'acte réalisé au patient et aux professionnels de santé participant à la prise en charge coordonnée.
Les données administratives du patient ont pour objet de permettre au professionnel de santé qui se trouve à distance de facturer son acte à l'assurance maladie alors qu'il ne dispose pas de la carte Vitale du patient.
Eu égard à la saisine rectificative qui introduit les organismes d'assurance maladie complémentaires comme destinataires des données, la commission estime que les catégories de données traitées à des fins de facturation devraient être détaillées selon qu'elles sont nécessaires aux organismes d'assurance maladie obligatoire ou aux organismes d'assurance maladie complémentaire.
En effet, en application de l'article L. 161-29 du code de la sécurité sociale, les professionnels de santé, les organismes et établissements de santé transmettent le numéro de code des actes effectués, prestations réalisées et pathologies diagnostiquées aux organismes d'assurance maladie obligatoire. Les organismes d'assurance maladie complémentaire ne sont pas habilités à recevoir ces données.
La commission estime que l'articulation entre les compétences respectives des organismes d'assurance maladie obligatoire et des organismes d'assurance maladie complémentaire devrait être clarifiée et rappelle que, saisie par le ministère de demandes sur le sujet, elle s'est déjà exprimée en faveur de l'intervention du législateur afin qu'une loi encadre la nature des données de santé accessibles aux complémentaires santé.
Dans l'attente, la commission estime que l'accès des organismes d'assurance maladie complémentaire aux données de santé relatives à l'assuré social concerné doit s'opérer à périmètre constant, de sorte qu'il soit limité aux codes regroupés des actes et prestations ne permettant pas la révélation d'éléments relatifs à la santé des personnes concernées. Elle estime que la transmission d'informations relatives à l'identité ou à la spécialité du professionnel de santé consulté pourrait dans certains cas conduire à cette révélation.
Sous réserve de ces observations, la commission demande que le projet soit modifié afin de préciser les catégories de données qui seront transmises aux complémentaires santé.
Sur la durée de conservation des données :
L'article 6 du projet prévoit trois durées de conservation distinctes, en fonction des acteurs impliqués dans l'acte de télémédecine :


- le professionnel de santé qui prescrit ou sollicite l'acte de télémédecine peut conserver les données pendant 30 jours après leur transmission au professionnel de santé qui réalise l'acte ;
- le professionnel de santé qui réalise l'acte peut conserver les données pendant 90 jours après les avoir reçues ;
- les données de santé sont conservées dans le dossier médical du patient pendant la durée de conservation applicable à ce dossier.


La commission prend acte de ce qu'à sa demande l'article 6 du projet précise que les durées de conservation de 30 et 90 jours ont uniquement vocation à permettre :


- la réalisation de l'acte de télémédecine ;
- la transmission du compte rendu de l'acte réalisé ;
- la facturation de l'acte par le professionnel de santé à distance.


En outre, elle prend acte de ce que les données de santé ne peuvent être conservées que dans le dossier médical du patient et que la transmission des données par messagerie sécurisée de santé doit respecter les conditions posées par la commission dans sa délibération n° 2014-239 du 12 juin 2014. En particulier, elle rappelle que le système de messagerie sécurisée de santé est destiné à transmettre des données et non à les conserver.
Sur les destinataires des données :
L'article 5 du projet précise les catégories de destinataires habilités à recevoir communication des données :
« Le professionnel de santé qui réalise à distance l'acte de télémédecine est destinataire de l'ensemble des données mentionnées à l'article 3 du présent décret. L'organisme d'assurance maladie compétent est destinataire des données mentionnées aux 1° et 2° de l'article 3 du présent décret. »
La commission demande que l'article 5 du projet soit complété afin de distinguer les organismes d'assurance maladie obligatoire des organismes d'assurance maladie complémentaire.
En effet, chaque destinataire ne doit être habilité à recevoir communication que des données nécessaires à l'exercice de sa mission et dans le respect du secret médical.
Par ailleurs, le dossier technique versé à l'appui de la demande d'avis présentée à la commission précise que :


- le professionnel de santé prescripteur repère les patients éligibles à une prise en charge par télémédecine, les informe, recueille leur consentement et prescrit l'acte de télémédecine ;
- le professionnel de santé à distance reçoit les informations nécessaires à la prise en charge du patient, à l'établissement du compte rendu et à la facturation de l'acte ;
- le professionnel de santé prescripteur et le patient sont rendus destinataires du compte rendu ainsi établi ;
- l'organisme d'affiliation du patient est rendu destinataire des données utiles à la facturation.


Sans préjudice des observations formulées précédemment, la commission regrette qu'aucune information sur le circuit de circulation des données vers les organismes d'assurance maladie ne lui ait été transmise et renouvelle sa demande de précision du projet sur ce point.
Sur l'information des personnes :
L'article 4 du projet précise que « les professionnels de santé ou, le cas échéant, leur employeur, s'acquittent de leur devoir d'information dans les conditions prévues à l'article 32 de la loi du 6 janvier 1978 susvisée ».
La commission rappelle que les obligations de l'article 32 de la loi informatique et libertés incombent au responsable de traitement. Eu égard à la désignation expresse des professionnels de santé ou, le cas échéant, de leur employeur comme responsable de traitement, la commission prend acte de ce qu'à sa demande l'article 4 du projet fait reposer l'obligation d'information sur les responsables de traitement, tels qu'ils sont définis à l'article 9 du projet.
Sur le consentement, les droits d'accès et de rectification des personnes :
L'article 4 du projet précise que « préalablement à la réalisation de l'acte de télémédecine, le consentement du patient est recueilli dans le respect des dispositions du code de la santé publique, en particulier ses articles L. 1111-2 et L. 1111-4. »
Ce consentement est recueilli après que le patient a été dûment informé et couvre la réalisation de l'acte de télémédecine et la transmission des données.
La commission en prend acte et rappelle que, conformément aux dispositions de l'article R. 6316-2 du CSP, « les actes de télémédecine sont réalisés avec le consentement libre et éclairé de la personne, en application notamment des dispositions des articles L. 1111-2 et L. 1111-4 ».
Sur ce point, la commission relève que les modalités pratiques de recueil du consentement du patient ne sont pas explicitées, et précise qu'elle préconise en la matière de remettre un document en mains propres au patient, lui permettant notamment de pouvoir exercer les droits qui lui sont reconnus par la loi informatique et libertés. Il peut s'agir de la note d'information ou du formulaire de recueil de consentement signé par le patient et par le professionnel le prenant en charge.
L'article 7 du projet précise la nature des droits dont disposent les personnes, tels qu'issus des articles 39 et 40 de la loi du 6 janvier 1978 modifiée ainsi que leurs modalités d'exercice.
La commission prend acte de ce que les droits des personnes s'exerceront auprès des professionnels de santé impliqués dans la prise en charge ou, le cas échéant, de leur employeur.
Sur la sécurité des données et la traçabilité des actions :
L'article 5 du projet prévoit que les transferts de données seront réalisés « par messagerie sécurisée de santé autorisée par la délibération n° 2014-239 du 12 juin 2014 ». La commission rappelle que la délibération précitée est une autorisation unique à laquelle doivent se conformer les responsables de traitement de données à caractère personnel en procédant à une déclaration simplifiée valant engagement de conformité à l'autorisation unique n° AU-037.
L'article 5 prévoit également une seconde modalité de transmission des données : « lorsqu'elle a pour objectif de permettre la facturation de l'acte, au moyen d'un dispositif contribuant à l'élaboration d'une facture ».
Le dossier technique versé à l'appui de la demande d'avis précise qu'il s'agit d'un dispositif permettant de « virtualiser » la carte Vitale du patient, de télétransmettre l'ensemble des informations qu'elle contient au professionnel de santé distant par connexion entre deux terminaux de lecture de carte Vitale et, enfin, d'éditer une facture.
La commission prend acte de ce que cette seconde modalité est réservée à la transmission des données nécessaires à la facturation de l'acte réalisé et que l'article 5 du projet prévoit qu'un niveau de sécurité au moins équivalent à la messagerie sécurisée de santé doit être assuré.
L'article 5 du projet prévoit que le caractère équivalent sera apprécié notamment en s'assurant du respect du cahier des charges SESAM-Vitale, en vérifiant que le niveau d'intégrité (des données et des traces associées), de confidentialité et de disponibilité des données transmises est assuré, que les actes de télémédecine peuvent être réalisés en mode synchrone ou asynchrone et, enfin, que les données sont hébergées auprès d'un hébergeur agréé conformément à l'article L. 1111-8 du CSP.
La commission estime que ces garanties sont de nature à préserver la sécurité des données conformément à l'article 34 de la loi informatique et libertés.
La commission rappelle que l'obligation de sécurité prévue par l'article 34 de la loi informatique et libertés doit également être respectée lors de la transmission des comptes rendus aux patients. Dès lors, il convient que des mesures conformes à l'état de l'art soient prises afin d'empêcher que des tiers non autorisés aient accès aux données, en particulier lors de transmission électronique.
L'article 6 du projet précise que les données doivent être conservées « dans des conditions de sécurité conformes aux dispositions de l'article 34 » de la loi informatique et libertés et qu'en cas d'externalisation de l'hébergement, le tiers hébergeur doit disposer de l'agrément prévu à l'article L. 1111-8 du CSP.
La commission en prend acte et rappelle que l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.
Sur les dispositions portant modification du décret n° 2014-1523 du 16 décembre 2014 :
L'article 10 du projet de décret prévoit des dispositions portant modification du décret n° 2014-1523 du 16 décembre 2014 relatif au dépistage de la rétinopathie diabétique.
La commission rappelle qu'elle s'était prononcée sur le projet de décret dans sa délibération n° 2014-413 du 9 octobre 2014.
Les modifications apportées visent à harmoniser le texte du décret en rappelant que la qualité de responsable de traitement est attachée, le cas échéant, à l'employeur du professionnel de santé.
La commission relève en effet que le décret du 16 décembre 2014 désigne expressément, en son article 2, les orthoptistes, les médecins et, le cas échéant, leur employeur, comme responsables de traitement mais que les autres dispositions du décret omettent cette possibilité.
La commission prend acte de ce que la qualité de responsable de traitement attachée aux établissements dont dépendent les professionnels de santé sera systématiquement rappelée dans le décret.
Les autres points du projet n'appellent pas, en l'état et au regard de la loi du 6 janvier 1978 modifiée, d'autres observations de la commission.


Liens relatifs à cet article