La Commission nationale de l'informatique et des libertés,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de santé publique, notamment ses articles L. 1411-6, L. 1411-7 et L. 6211-1 ;
Vu le code de la sécurité sociale, notamment ses articles L. 321-1 (6°), L.322-3 (16°), R.115-1 et R. 115-2 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 8-IV, 25-I (1°) et 25-II ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2015-390 du 3 avril 2015 autorisant les traitements de données à caractère personnel par les organismes gestionnaires des régimes obligatoires de base de l'assurance maladie pour l'accomplissement de leurs missions d'affiliation, d'immatriculation, d'instruction des droits aux prestations et de prise en charge des soins, produits et services ;
Vu l'arrêté du 29 septembre 2006 modifié relatif aux programmes de dépistage des cancers ;
Vu l'arrêté du 23 septembre 2014 portant introduction du test immunologique dans le programme de dépistage organisé du cancer colorectal ;
Après avoir entendu M. Alexandre LINDEN, commissaire, en son rapport et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
Les programmes nationaux de dépistage organisé du cancer du sein et du cancer colorectal s'inscrivent dans le cadre du Plan cancer mis en place par le Gouvernement afin de réduire la mortalité et la lourdeur des traitements liés à une prise en charge tardive. En application de l'arrêté du 29 septembre 2006 modifié relatif aux programmes de dépistage des cancers, les programmes de dépistage organisé du cancer du sein et du cancer colorectal sont mis en œuvre par des structures de gestion départementales ou interdépartementales qui ont passé une convention avec les représentants de l'Etat et de l'assurance maladie dans leur région.
S'agissant du dépistage organisé du cancer colorectal, les laboratoires de biologie médicale-centres de lecture des examens définis par l'arrêté précité mettent en œuvre une plate-forme électronique dédiée au partage des résultats entre les différents acteurs du dépistage et comportant des données personnelles relatives à la santé des personnes.
Dès lors, de tels traitements intervenant pour une finalité de santé publique relèvent de l'article 25-I (1°) de la loi du 6 janvier 1978 modifiée et doivent, à ce titre, être autorisés par la CNIL.
En vertu de l'article 25-II de la loi du 6 janvier 1978 modifiée, la commission peut autoriser par une décision unique une catégorie de traitements qui répondent aux mêmes finalités, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires.
Les traitements de données à caractère personnel, automatisés ou non, mis en œuvre par les structures de gestion conventionnées aux fins d'exercice de leurs missions dans le cadre du dépistage organisé du cancer colorectal et du cancer du sein peuvent, sous certaines conditions, relever de cette définition.
Les structures de gestion conventionnées qui adressent à la commission une déclaration comportant un engagement de conformité pour les traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique sont autorisées à les mettre en œuvre.
Tout traitement de données à caractère personnel qui excède le cadre ou méconnaît les exigences définies par la présente autorisation unique doit en revanche faire l'objet d'une demande d'autorisation spécifique.Liens relatifs
Champ d'application.
Seuls peuvent faire l'objet d'un engagement de conformité en référence à la présente décision les traitements, automatisés ou non, mis en œuvre par les structures de gestion investies contractuellement par les représentants de l'Etat dans leur région.
En application de l'arrêté du 29 septembre 2006 modifié, les structures de gestion, placées sous la responsabilité médicale d'un médecin coordinateur du programme, assurent l'organisation locale des dépistages organisés des cancers du sein et colorectal à l'échelle d'un ou plusieurs départements.
Finalités du traitement.
Peuvent faire l'objet d'un engagement de conformité à la présente autorisation unique les traitements automatisés ou non de données à caractère personnel ayant pour finalité la mise en œuvre de programmes de dépistage organisé du cancer du sein et du cancer colorectal.
Au titre de ces traitements, sont visés :
- la constitution, par les structures de gestion, et la gestion par celles-ci des fichiers des personnes concernées, à partir des données transmises par les caisses d'assurance maladies participantes, aux fins d'invitation aux opérations de dépistage selon les critères d'éligibilité des personnes ;
- la réalisation des opérations de suivi de ces personnes dans le cadre des programmes de dépistage organisé, y compris la transmission des résultats des tests de dépistage ;
- la gestion des contacts avec les médecins traitants, les spécialistes et les laboratoires de lecture.
Nature des données traitées.
La commission rappelle que conformément à l'article 6 (3°) de la loi informatique et libertés, les données traitées doivent être pertinentes, adéquates et non excessives au regard des finalités du traitement.
Peuvent être traitées, pour l'accomplissement des finalités décrites à l'article 2, les catégories de données à caractère personnel suivantes :
- données relatives à l'identification des personnes concernées telles que transmises par les caisses d'assurance maladie participantes, à savoir : nom de naissance et nom d'usage, le cas échéant, prénom(s), sexe, date de naissance, adresse, coordonnées téléphoniques ;
- données relatives à l'identification des professionnels de santé intervenant dans le programme, à savoir : nom, prénom(s), numéro RPPS et adresse postale ;
- données relatives à la santé des personnes concernées, à savoir, limitativement :
- le numéro d'identifiant ou d'invitation de la personne généré par la structure de gestion à partir des fichiers transmis par les caisses d'assurance maladie ;
- les examens antérieurs et antécédents médicaux strictement nécessaires à la détermination du niveau de risque et à la définition de l'éligibilité des personnes vis-à-vis des programmes de dépistage des cancers ;
- le cas échéant, si les personnes concernées l'acceptent, leur(s) motif(s) de refus de participer aux opérations de dépistage ;
- les résultats et comptes rendus des examens, et, le cas échéant, les clichés d'imagerie ;
- les dates d'envoi des résultats au médecin et à la personne concernée ;
- les informations sur la prise en charge médicale effective permettant de vérifier l'entrée dans une filière de soins des personnes dont le test se serait révélé positif.
S'agissant de l'utilisation du numéro d'inscription au répertoire national d'identification des personnes physiques (NIR), la présente autorisation ne couvre son utilisation que dans le cadre du remboursement auquel procède l'assurance maladie obligatoire auprès des professionnels de santé en application des articles R. 115-1 et R. 115-2 du code de la sécurité sociale.Liens relatifs
Durée de conservation des données.
Les données relatives à la prise en charge des personnes concernées sont conservées par les structures de gestion jusqu'à la fin du suivi, décidée par la personne elle-même ou son médecin. Ces durées doivent être conformes aux dispositions législatives et réglementaires en vigueur.
A l'expiration de ce délai, les données sont supprimées ou archivées sous une forme anonyme.
La conservation et l'archivage des données doivent être réalisés dans des conditions de sécurité conformes aux dispositions de l'article 34 de la loi du 6 janvier 1978 modifiée.
Destinataires des données.
Dans la limite de leurs attributions respectives et pour l'exercice des finalités précitées, seules peuvent être habilitées à accéder aux données les personnes suivantes :
Pour les seules données relatives aux personnes qu'ils prennent en charge :
- les professionnels de santé ayant prescrit ou réalisé l'acte de dépistage ;
- le médecin coordinateur de la structure de gestion ;
- le médecin traitant ou le médecin désigné par la personne comme destinataire des résultats de l'examen de dépistage.
En outre, peuvent être destinataires des données relatives à ces personnes les personnels habilités :
- du laboratoire de biologie médicale centre de lecture ;
- des organismes d'assurance maladie, pour les seules données nécessaires au remboursement des soins dans des conditions conformes à l'article 3 du décret n° 2015-390 du 3 avril 2015 ; les médecins spécialistes ayant réalisé des examens complémentaires à la suite d'un test positif.Liens relatifs
Information et droit d'accès des personnes concernées.
Le responsable de traitement informe les personnes concernées de la mise en œuvre d'un traitement de données à caractère personnel ayant pour finalité la réalisation des opérations de dépistage organisé du cancer du sein ou du cancer colorectal.
Cette information s'effectue selon les modalités suivantes :
- la structure de gestion invite par courrier la personne éligible au programme de dépistage à consulter son médecin traitant ou un professionnel de santé agréé. Le courrier de réponse joint à ce courrier contient une note d'information établie conformément à l'article 32-I de la loi du 6 janvier 1978 modifiée qui rappelle notamment les droits d'accès et de rectification et d'opposition reconnus par les articles 38 à 40 de la loi précitée. Cette note précise le service auprès duquel ces droits peuvent s'exercer ;
- le médecin traitant ou le professionnel de santé qui réalise l'examen de dépistage informe oralement les personnes concernées conformément à l'article 32-I de la loi du 6 janvier 1978 modifiée. Il précise les modalités d'exercice des droits d'accès, de rectification et d'opposition précitées ;
- cette information est également affichée dans les locaux des professionnels de santé participants.
S'agissant des professionnels de santé intervenant dans le programme de dépistage :
- les structures de gestion les informent du traitement de leurs données à caractère personnel conformément à l'article 32-I de la loi informatique et libertés ;
- si une plate-forme électronique est utilisée pour la communication des résultats, les professionnels de santé sont informés lors de leur connexion à cette plateforme selon les modalités prévues à l'article 32-I de la loi informatique et libertés.
Sécurité des données et traçabilité des actions.
Conformément à l'article 34 de la loi informatique et libertés de 1978 modifiée, le responsable du traitement prend toutes les précautions utiles pour préserver la sécurité et la confidentialité des données traitées, notamment pour empêcher qu'elles soient déformées, endommagées ou que des tiers non autorisés y aient accès.
Le responsable de traitement définit une politique de sécurité adaptée aux risques présentés par les traitements et à la taille de l'organisme concerné. Cette politique doit décrire :
- les objectifs de sécurité ainsi que les mesures de sécurité physique, logique et organisationnelle permettant de les atteindre ;
- les habilitations d'accès aux données, en fonction du besoin des utilisateurs du système d'information, en particulier les mesures de restriction de l'accès à l'identité des professionnels de santé intervenant dans le programme, les modalités d'accès aux traitements, dont les mesures d'identification et d'authentification ; les dispositifs de contrôle des identifications et habilitations et les procédures de traçabilité des accès aux informations médicales, ainsi que l'historique des connexions ;
- les mesures de sécurité devant être mises en œuvre pour les transmissions de données.
Si le format électronique est utilisé par l'intermédiaire d'une plate-forme électronique de recueil, d'échange et de mise à disposition des résultats :
- les personnes doivent créer un compte personnel afin de consulter les résultats. Leur adresse électronique pourra être collectée afin de permettre l'envoi d'un courriel contenant un lien permettant d'activer le compte et de vérifier que l'adresse électronique saisie est valide ;
- le contrôle d'accès au compte des professionnels de santé doit être opéré conformément aux dispositions de l'article L. 1110-4 du code de la santé publique qui impose une authentification forte de ces professionnels par l'utilisation d'une carte de professionnel de santé (CPS) ou d'un dispositif équivalent agréé par l'organisme chargé d'émettre la CPS, pour toute transmission ou tout accès aux données de santé ;
- la transmission des informations relatives à la santé doit s'opérer dans des conditions conformes à la délibération n° 2014-239 du 12 juin 2014 portant autorisation unique de mise en œuvre, par les professionnels et établissements de santé ainsi que par les professionnels du secteur médico-social habilités par une loi, de traitements de données à caractère personnel ayant pour finalité l'échange par voie électronique de données de santé à travers un système de messagerie sécurisée.
Dans l'hypothèse d'une transmission par télécopie, les mesures de sécurité suivantes doivent être mises en place :
- le fax doit être situé dans un local physiquement contrôlé et accessible uniquement au personnel habilité ;
- l'impression des messages doit être subordonnée à l'introduction d'un code d'accès personnel ;
- lors de l'émission des messages, le fax doit afficher l'identité du fax destinataire afin d'être assuré de l'identité du destinataire ;
- le carnet d'adresses des fax doit préenregistrer, dans la mesure du possible, les destinataires potentiels.
En cas de recours à un prestataire de service externe pour la mise en œuvre du traitement, le contrat doit prévoir :
- la limitation de l'utilisation des données à la finalité prévue par la présente autorisation ;
- une clause de confidentialité ;
- l'encadrement des modalités de destruction ou de restitution de tous les supports manuels ou informatisés de données à caractère personnel au terme de la prestation ;
- que l'hébergement des données, les modalités d'accès à celles-ci et leurs modalités de transmission soient conformes à l'article L. 1111-8 du code de la santé publique.
La présente délibération sera publiée au Journal officiel de la République française.Liens relatifs
La présidente,
I. Falque-Pierrotin