Délibération n° 2014-413 du 9 octobre 2014 portant avis sur un projet de décret en Conseil d'Etat autorisant un traitement de données à caractère personnel concernant un dispositif de dépistage de la rétinopathie diabétique

Chemin :




Article
ELI: Non disponible


Après avoir entendu M. Alexandre LINDEN, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La ministre des affaires sociales, de la santé et des droits des femmes a saisi la Commission nationale de l'informatique et des libertés d'un projet de décret en Conseil d'Etat (ci-après le projet) autorisant la mise en œuvre d'un traitement automatisé de données à caractère personnel relatif à un dispositif de dépistage de la rétinopathie diabétique.
Le dispositif envisagé a pour objectifs, d'une part, de permettre la mise en place d'une nouvelle organisation de ce dépistage en utilisant les nouvelles technologies de l'information autour de la réalisation d'actes de télémédecine et, d'autre part, d'encadrer les modalités de transmission des données nécessaires à la facturation des actes de soins réalisés.
Le dispositif de dépistage projeté nécessite l'utilisation du numéro d'inscription au répertoire national d'identification des personnes physiques (autrement dénommé NIR) des personnes dépistées, afin de permettre à un médecin compétent (dit « médecin lecteur »), qui n'est pas en contact avec le patient et ne dispose donc pas de sa carte Vitale, de facturer par télétransmission l'acte de télémédecine réalisé.
Le texte soumis à la Commission pour avis est pris en application de l'article 27-1 (1°) de la loi du 6 janvier 1978 modifiée qui soumet à un décret en Conseil d'Etat, pris après avis motivé et publié de la CNIL, les traitements de données à caractère personnel mis en œuvre pour le compte de l'Etat qui portent sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques (NIR).
Sur les finalités du traitement :
L'article 1er du projet autorise la création d'un traitement de données à caractère personnel ayant pour finalités de permettre, d'une part, la prise en charge coordonnée d'un patient diabétique par un orthoptiste et un médecin et, d'autre part, la transmission à l'organisme d'assurance maladie compétent des données nécessaires à l'élaboration d'une feuille de soins électronique.
En effet, le dispositif projeté consiste en la réalisation de rétinographies par un orthoptiste en contact avec le patient, puis en une lecture différée des clichés numériques, grâce à un rétinographe, par un médecin sans présence du patient.
Ce dispositif est présenté comme permettant d'améliorer le taux de dépistage de la rétinopathie diabétique permettant ainsi, le cas échéant, une prise en charge précoce des patients.
La Commission considère que les finalités poursuivies par le traitement sont déterminées, explicites et légitimes.
Sur la collecte de données et la détermination du responsable du traitement :
L'article 1er du projet précise que le traitement de données sera « mis en œuvre par les orthoptistes et les médecins participant à ce dépistage ».
Le rétinographe est un dispositif médical utilisé pour surveiller d'éventuelles modifications du fond d'œil, pour transmettre des images à un médecin distant ou réaliser des assemblages couvrant une grande surface de la rétine, permettant, notamment, d'évaluer et de surveiller les symptômes de décollement de la rétine, de rétinopathie diabétique, d'affections vasculaires ou inflammatoires et diverses maladies oculaires telles que le glaucome.
Le traitement envisagé consiste en la réalisation d'un acte de télémédecine relevant des dispositions de l'article R. 6316-1 du code de la santé publique (CSP).
L'activité de télémédecine et son organisation sont soumises à un encadrement réglementaire spécifique, notamment l'article R. 6316-6 du CSP aux termes duquel les programmes de télémédecine font l'objet :


- « soit d'un programme national défini par arrêté des ministres chargés de la santé, des personnes âgées, des personnes handicapées et de l'assurance maladie ;


- soit d'une inscription dans l'un des contrats pluriannuels d'objectifs et de moyens ou l'un des contrats ayant pour objet d'améliorer la qualité et la coordination des soins, tels qu'ils sont respectivement mentionnés aux articles L. 313-11 et L. 313-12 du code de l'action sociale et des familles ;


- soit d'un contrat particulier signé par le directeur général de l'agence régionale de santé et le professionnel de santé libéral ou, le cas échéant, tout organisme concourant à cette activité ».


Dans la mesure où l'activité de télémédecine prévue par le projet ne s'inscrit pas dans le cadre prévu par l'article R. 6316-6 CSP, la Commission prend acte de ce qu'à sa demande le projet de décret a été modifié afin qu'il soit expressément dérogé aux modalités organisationnelles prévues par les dispositions précitées.
Le projet précise que les professionnels médicaux participant au dispositif de dépistage assumeront la responsabilité du traitement de données à caractère personnel. Conformément aux dispositions de l'article 3-1 de la loi du 6 janvier 1978 modifiée, la Commission prend acte de la désignation expresse des orthoptistes et médecins lecteurs comme responsables de traitement.
Sur la nature des données traitées :
L'article 2 du projet énumère les données collectées et traitées dans le cadre de la mise en place du dispositif de dépistage de la rétinopathie diabétique.
Ces données sont :


- les données d'identification des patients [à savoir, leurs nom de naissance, nom d'usage, prénoms, sexe, numéro de téléphone, adresse postale, date et lieu de naissance, NIR et, le cas échéant, pour les personnes en instance d'attribution d'un NIR, leur numéro identifiant d'attente (NIA) attribué par la Caisse nationaled'assurance vieillesse des travailleurs salariés] ;


- les données d'identification des professionnels médicaux (à savoir nom, prénom, numéro de téléphone, adresse postale, adresse électronique) ;


- les données nécessaires à la facturation de l'acte médical réalisé (à savoir les données d'identification du patient précitées, les coordonnées de l'organisme d'affiliation du bénéficiaire des soins, le cas échéant, les motifs pour lesquels la participation financière de l'assuré est limitée ou supprimée) ;


- les données de santé nécessaires à la réalisation de l'acte de télémédecine projeté (à savoir les clichés numériques de chaque œil, les données cliniques permettant l'interprétation des clichés, telles que le taux d'hémoglobine glyquée, l'existence d'une hypertension, l'ancienneté du diabète).


Le projet précise les différentes finalités poursuivies afin de justifier la pertinence de la collecte et du traitement des données à caractère personnel précitées. En effet, les données d'identification des patients et des professionnels de santé participant au dépistage permettent la transmission des comptes rendus d'examens aux patients et à leur médecin prescripteur.
Les clichés de chaque œil seront réalisés par l'orthoptiste et transmis au médecin lecteur, accompagnés des données cliniques précitées, afin qu'il soit mis en mesure de réaliser l'acte de télémédecine en cause.
La collecte et le traitement des coordonnées de l'organisme d'affiliation du bénéficiaire des soins ainsi que ses données d'identification ont pour objet de permettre au médecin lecteur, qui n'est pas en contact direct avec le patient, et ne dispose donc pas de sa carte Vitale, de téléfacturer l'acte de télémédecine à l'assurance maladie obligatoire.
S'agissant du traitement du NIR, la Commission prend acte de ce qu'à sa demande le 1° de l'article 2 du projet a été modifié afin de préciser que le NIR sera utilisé à des fins de facturation.
En application des dispositions prévues à l'article 6 (3°) de la loi du 6 janvier 1978 modifiée, la Commission estime que ces données sont pertinentes, adéquates et non excessives au regard des finalités pour lesquelles elles sont traitées.
Sur la durée de conservation des données :
L'article 5 du projet prévoit deux durées de conservation distinctes, en fonction des données et des finalités poursuivies.
Concernant les données d'identification des personnes dépistées (à savoir leurs nom de naissance, nom d'usage, prénoms, sexe, numéro de téléphone, adresse postale, date et lieu de naissance, NIR, et le cas échéant leur NIA), les données nécessaires à la facturation de l'acte médical réalisé et les données d'identification des professionnels médicaux (à savoir nom, prénom, numéro de téléphone, adresse postale), une durée de conservation, par les médecins lecteurs, de quatre-vingt-dix (90) jours est prévue.
La Commission prend acte de ce que cette durée de conservation a vocation à permettre :


- la réalisation de l'acte de télémédecine ;
- la transmission des comptes rendus de l'acte ainsi réalisé ;


- l'établissement de la feuille de soins électronique permettant au médecin lecteur de téléfacturer l'acte médical réalisé à l'assurance maladie obligatoire.


Elle relève que les données relatives à la facturation de l'acte transmises par messagerie sécurisée sont conservées par l'orthoptiste pendant une durée maximale de 30 jours après la transmission.
Eu égard aux finalités poursuivies, ces durées de conservation n'appellent pas d'observation de la part de la Commission.
Concernant les données de santé nécessaires à la réalisation de l'acte de télémédecine projeté et les résultats (à savoir les clichés numériques de chaque œil, les données cliniques permettant l'interprétation des clichés, telles que le taux d'hémoglobine glyquée, l'existence d'une hypertension, l'ancienneté du diabète), la Commission prend acte de ce que le projet a été modifié afin de préciser que ces données ne peuvent être conservées que dans le dossier médical du patient.
En effet, les données seront transmises via un système de messagerie sécurisée de santé qui, conformément à la délibération de la Commission n° 2014-239 du 12 juin 2014, n'est pas un espace de stockage de données mais bien exclusivement une modalité de transmission des informations.
Par ailleurs, le dossier technique versé à l'appui du projet de décret en Conseil d'Etat précise que les données nécessaires à la facturation seront conservées par le médecin lecteur au sein de son propre système d'information et les données de santé dans le système d'information de chacun des acteurs du dispositif de dépistage.
Sur les destinataires des données :
Le projet précise, en son article 4, que la transmission des données s'effectue par messagerie sécurisée et, en son article 2, les finalités poursuivies par la collecte et le traitement de certaines données.
Le dossier technique versé à l'appui de la demande d'avis présentée à la Commission précise que :


- le médecin prescripteur identifie les patients éligibles au dépistage, les informe, recueille leur consentement et prescrit l'acte de télémédecine de dépistage de la rétinopathie diabétique ;
- l'orthoptiste s'assure du consentement du patient, et sur présentation de l'ordonnance précitée, recueille les données nécessaires à la téléfacturation et à la réalisation de l'acte et réalise les clichés numériques de chaque œil ;
- le médecin lecteur est, quant à lui, rendu destinataire par l'orthoptiste des données nécessaires à la téléfacturation et des données de santé lui permettant d'établir son diagnostic et son compte rendu ;


- le médecin prescripteur et le patient sont rendus destinataires du compte rendu ainsi établi ;
- l'organisme d'affiliation du patient est rendu destinataire de la feuille de soins électronique établie par le médecin lecteur.


Dès lors que chaque destinataire est légalement habilité à recevoir communication des données traitées précitées, chacun pour l'exercice de sa mission, conformément aux dispositions de l'article 3-II de la loi du 6 janvier 1978 modifiée, le schéma « organisationnel » ainsi prévu n'appelle pas d'observation de la part de la Commission.
En application de l'article 29 de la loi du 6 janvier 1978 modifiée, les actes autorisant la création d'un traitement relevant de l'article 27 de la même loi doivent préciser les destinataires ou catégories de destinataires habilités à recevoir communication de ces données. La Commission prend acte de ce qu'à sa demande, le projet a été modifié afin de préciser que les médecins lecteurs sont destinataires de l'ensemble des données prévues à l'article 2 du projet.
Sur l'information des personnes :
L'article 3 du projet de décret en Conseil d'Etat précise que « le médecin prescripteur et l'orthoptiste informent le patient, chacun lors de leur consultation respective, dans les conditions prévues à l'article 32 de la loi du 6 janvier 1978 modifiée, des modalités de réalisation du dépistage et de la transmission des données mentionnées à l'article 2 du décret au médecin qui réalise la lecture différée des clichés ».
La Commission en prend acte.
Sur le recueil du consentement des personnes, leurs droits d'accès, de rectification :
La Commission prend acte de ce qu'à sa demande, le projet a été modifié afin de préciser que le consentement libre et éclairé de chaque patient est recueilli avant son inclusion dans le dispositif.
Ce consentement est recueilli après que le patient a été dûment informé et couvre la réalisation de l'acte de télémédecine et la transmission des données mentionnées à l'article 2.
En effet, conformément aux dispositions de l'article R. 6316-2 du CSP, « les actes de télémédecine sont réalisés avec le consentement libre et éclairé, en application notamment des dispositions des articles L. 1111-2 et L. 1111-4 ».
Sur ce point, la Commission relève que les modalités pratiques de recueil du consentement du patient ne sont pas explicitées, et précise qu'elle préconise en la matière de remettre en main propre un document au patient, lui permettant notamment de pouvoir pleinement, le cas échéant, exercer ses droits, tels que reconnus par la loi du 6 janvier 1978 modifiée. Il peut s'agir de la note d'information, ou du formulaire de recueil de consentement signé par le patient et par le professionnel le prenant en charge.
L'alinéa 1er de l'article 6 du projet précise la nature des droits dont disposent les personnes, tels qu'issus des articles 39 et 40 de la loi du 6 janvier 1978 modifiée ainsi que leurs modalités d'exercice.
La Commission prend acte de ce que les droits des personnes s'exerceront auprès de l'orthoptiste et du médecin ayant réalisé l'interprétation des clichés de la rétine, à savoir le médecin lecteur.
Sur la sécurité des données et la traçabilité des actions :
L'article 4 du projet prévoit que les transferts de données seront réalisés « par messagerie sécurisée de santé autorisée par la délibération n° 2014-239 du 12 juin 2014 ». La Commission rappelle que la délibération précitée est une autorisation unique à laquelle doivent se conformer les responsables de traitement de données à caractère personnel en procédant à une déclaration simplifiée valant engagement de conformité à l'autorisation unique n° 37.
Le projet prévoit la transmission des comptes rendus aux patients dépistés. La Commission rappelle qu'en application de l'article 34 de la loi du 6 janvier 1978 modifiée, il convient que des mesures conformes à l'état de l'art soient prises afin de garantir la sécurité et la confidentialité de ces données lors de cette transmission afin d'empêcher que des tiers non autorisés y aient accès, en particulier lors de transmission électronique.
L'article 5 du projet précise que les données doivent être conservées « dans des conditions de sécurité conformes aux dispositions de l'article 34 » de la loi du 6 janvier 1978 modifiée et qu'en cas d'externalisation de la prestation d'hébergement, le tiers hébergeur doit disposer de l'agrément d'hébergeur de données de santé, conformément à l'article L. 1111-8 du CSP.
Les autres points du projet n'appellent pas, en l'état et au regard de la loi du 6 janvier 1978 modifiée, d'autres observations de la Commission.


Liens relatifs à cet article