Le ministre de la santé et des solidarités a saisi pour avis la Commission nationale de l'informatique et des libertés de deux projets d'arrêtés relatifs, d'une part, aux spécifications physiques et logiques de la carte d'assurance maladie et aux données contenues dans cette carte et, d'autre part, aux conditions d'émission et de gestion des cartes d'assurance maladie. Ces projets d'arrêtés sont accompagnés d'un dossier technique précisant les adaptations du système SESAM Vitale à ce nouveau cadre réglementaire.
L'adaptation du système SESAM Vitale permettra la diffusion d'une nouvelle carte Vitale d'une part contenant des données nouvelles, dont la photographie du porteur de la carte, ainsi que des données liées à l'utilisation facultative par ce dernier d'une zone de données personnelles, d'autre part comportant une obligation de mise à jour régulière des données inscrites.
L'objectif est de remplacer les actuelles cartes Vitale par la nouvelle génération de carte en quatre ans.
Sur le projet d'arrêté relatif aux spécifications physiques et logiques de la carte d'assurance maladie
et aux données contenues dans cette carte
Ce projet d'arrêté détaille le contenu de la carte Vitale. Il prévoit notamment l'insertion de l'adresse, de la photographie tant sur le visuel de la carte que dans le composant électronique de la carte, des données relatives au choix du médecin traitant ainsi que, le cas échéant, si le porteur le décide, les coordonnées d'une personne à prévenir et la mention qu'il a pris connaissance des dispositions légales sur le don d'organe.
Conformément à l'article R. 161-33-1 du code de la sécurité sociale issu du décret du 14 février 2007 relatif à la carte d'assurance maladie, qui dispose qu'un arrêté du ministre détermine les spécifications physiques et logiques de la carte, il conviendrait de compléter comme suit l'article 1er :
« La carte d'assurance maladie mentionnée à l'article R. 161-33-1 du code de la sécurité sociale est une carte à microprocesseur, conforme à la norme ISO 7816, de technologie réinscriptible et équipé d'un coprocesseur cryptographique. »
L'écriture sur la carte des données relatives à « la personne à prévenir en cas de nécessité » et la mention selon laquelle « le titulaire a eu connaissance des dispositions de la réglementation sur le don d'organe » nécessitent l'authentification du titulaire de la carte ou du médecin.
Dans la mesure où la carte ne comporte aucun dispositif permettant à son titulaire de s'authentifier, la commission constate que l'écriture de ces données dans le composant électronique de la carte ne pourra être réalisée par l'intéressé qu'en présence de son médecin faisant usage de sa carte de professionnel de santé.
La rédaction retenue au 8° de l'article 8 du projet d'arrêté, aux termes de laquelle la carte comporte « éventuellement, la mention indiquant que le titulaire a eu connaissance des dispositions de la réglementation sur le don d'organe », est conforme à la rédaction proposée par la commission.
La commission prend acte que le projet d'article 3 (2°, e) prévoit que la photographie devra comporter des caractéristiques techniques empêchant une utilisation à des fins de contrôle biométrique et qu'un dispositif de protection empêchera toute copie.
Sur le projet d'arrêté relatif aux conditions d'émission et de gestion des cartes d'assurance maladie
Le projet d'arrêté détaille les modalités de délivrance des cartes, et en particulier les moyens mis en oeuvre pour recueillir la photographie.
Le titulaire bénéficiera par ailleurs d'un droit d'accès aux données figurant dans la carte à partir des bornes de lecture des cartes ou auprès des caisses d'assurance maladie. L'assuré pourra demander une copie papier des données contenues dans la carte ; une fiche « reflet » lui sera alors remise. Cette fiche « reflet », distincte de l'attestation de droits, a uniquement pour finalité de permettre au bénéficiaire de connaître l'ensemble du contenu de sa carte. Son usage sera strictement personnel. La commission estime en conséquence que cette distinction devrait figurer à la suite du dernier alinéa de l'article 7 du projet d'arrêté selon la rédaction suivante :
« Cette fiche reflet, dont l'usage est strictement personnel, est distincte de l'attestation de droits utilisée dans les rapports avec les tiers et dont le contenu peut être expurgé, à la demande du titulaire, des informations relatives à la suppression ou la limitation de la participation de l'assuré. »
Le titulaire de la carte sera tenu de mettre à jour la carte Vitale après tout changement des données figurant sur ou dans la carte d'assurance maladie. Il disposera d'un délai d'un mois pour effectuer cette mise à jour lorsqu'il aura été informé par l'organisme lui servant les prestations de la prise en compte de son changement de situation. A défaut de mise à jour des données relatives aux droits aux prestations et aux accidents du travail ou aux maladies professionnelles, la carte sera temporairement inutilisable.
Même en l'absence de changement de situation, le titulaire de la carte devra mettre à jour sa carte selon une fréquence annuelle à compter de la date d'émission de celle-ci. A défaut, il ne pourra pas bénéficier de la dispense d'avance de frais.
Afin de faire apparaître de façon précise les diligences qui incombent au titulaire de la carte une nouvelle rédaction de l'article 8 est proposée en concertation avec les services du ministère :
« Le titulaire de la carte d'assurance maladie est tenu d'effectuer ou de faire effectuer sa mise à jour en cas de changement des données mentionnées à l'article R. 161-33-1. A cette fin, il utilise les dispositifs techniques mis à sa disposition ou se rend au guichet de sa caisse. Lorsqu'il a été informé par l'organisme lui servant les prestations de la prise en compte de son changement de situation, il dispose d'un délai d'un mois pour effectuer cette mise à jour. A défaut de mise à jour des informations mentionnées aux b et e du 2° de l'article R. 161-33-1, la carte ne peut plus être, temporairement, utilisée.
Tout titulaire d'une carte d'assurance maladie est tenu de mettre à jour sa carte selon une fréquence annuelle à compter de la date d'émission de celle-ci. A défaut, il ne peut plus, temporairement, bénéficier de la dispense d'avance des frais pour les prestations en nature de l'assurance maladie. Toutefois, le titulaire qui, durant l'une des périodes de référence prévue pour cette mise à jour, a déjà effectué une mise à jour en application du précédent alinéa est dispensé d'effectuer la mise à jour annuelle au titre de la période considérée. »
Sur les sécurités du dispositif SESAM Vitale :
Lors de la télétransmission des feuilles de soins électroniques, certaines des données transmises bénéficient en principe d'un chiffrement fort. Ainsi le code des médicaments (code CIP), les actes de biologie, le code LLP (liste des produits et prestations), la classification commune des actes médicaux (CCAM), le code justificatif d'exonération du ticket modérateur ainsi que le numéro du prescripteur sont normalement chiffrés par un algorithme TDES. Par ailleurs, le cahier des charges SESAM Vitale recommande un chiffrement du transport des données (chiffrement SMTP S/MIME).
Toutefois, le fonctionnement de l'algorithme TDES et du chiffrement du transport suppose l'installation sur le poste de travail du professionnel de santé d'un logiciel SESAM Vitale 1.40 et la migration du lecteur de carte en version 1.40.
Dans le cas contraire, les données sensibles sont simplement brouillées et le chiffrement du transport n'est pas assuré.
La commission rappelle, de nouveau, que le simple brouillage des données ne peut être admis et elle considère que l'intégration de la CCAM dans les feuilles de soins électroniques renforce encore la nécessité d'un chiffrement fort des données de santé.
Par ailleurs, si le chiffrement de transport n'est pas assuré, la commission estime que la nouvelle version de SESAM Vitale doit prévoir un chiffrement du numéro de sécurité sociale.
La fonctionnalité d'exportation mise en oeuvre dans le « logiciel VisuVitale et les API de lecture » permet de copier les données figurant dans le composant électronique de la carte Vitale 2 comme le NIR, le nom, la date de naissance, l'adresse... « pour être intégrées dans un système de gestion informatisée d'accueil des assurés ». La commission estime indispensable qu'il ne soit pas techniquement possible de capter les données contenues dans la carte en dehors d'un logiciel de prise en charge des soins.