La Commission nationale de l'informatique et des libertés,
Saisie par la ministre des affaires sociales et de la santé d'une demande d'avis concernant un projet de décret en Conseil d'Etat portant création d'un traitement de données à caractère personnel ayant pour finalité la réalisation d'une étude médico-économique sur le protocole de coopération « ASALEE », mis en œuvre par l'IRDES, la CNAMTS et l'association ASALEE ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de la santé publique, notamment ses articles L. 4011-1 et suivants ;
Vu le code de la sécurité sociale, notamment son article L. 161-28-1 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-1 (1°) ;
Vu l'article 44 de la loi n° 2007-1786 du 19 décembre 2007 de financement de la sécurité sociale pour 2008 modifié ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu l'arrêté du 6 février 2009 portant création d'un traitement de données à caractère personnel dénommé « Répertoire partagé des professionnels de santé » (RPPS) ;
Vu l'arrêté du 12 juillet 2012 relatif à la mise en place d'un traitement de données à caractère personnel dénommé ADELI de gestion de l'enregistrement et des listes départementales de certaines professions et usages de titres professionnels ;
Vu l'arrêté du 19 juillet 2013 relatif à la mise en œuvre du Système national d'information interrégimes de l'assurance maladie ;
Après avoir entendu M. Nicolas COLIN, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
Le protocole de coopération entre médecins généralistes et infirmiers appelé « ASALEE » (action de santé libérale en équipe) est mis en œuvre en application de l'article 44 de la loi n° 2007-1786 du 19 décembre 2007 de financement de la sécurité sociale (LFSS) pour 2008 modifié. Le modèle économique associé à ce protocole s'appuie sur deux hypothèses :
- une délégation de tâches, relevant initialement des médecins, à des infirmiers, ce qui permettrait aux médecins de se consacrer à d'autres soins et activités médicales ;
- la qualité du dépistage et/ou le suivi des patients seraient améliorés, ce qui se traduirait à moyen terme par un meilleur état de santé et une moindre consommation de soins.
La commission a été saisie par la ministre des affaires sociales et de la santé d'une demande d'avis concernant un projet de décret en Conseil d'Etat relatif à l'évaluation de ce protocole.
Le présent projet de décret prévoit que cette évaluation médico-économique est confiée à l'IRDES (Institut de recherche et documentation en économie de la santé). L'objectif est de permettre aux pouvoirs publics d'apprécier l'efficience du dispositif et de se prononcer sur les conditions d'une éventuelle généralisation.
A cette fin, il est prévu que deux sources de données soient appariées :
- le système d'information mis en œuvre par l'association ASALEE (ci-après « SI ASALEE »), qui contient les données de santé relatives aux patients suivis dans le cadre de l'expérimentation ;
- le SNIIRAM (Système national d'information interrégimes de l'assurance maladie), afin d'extraire les données de consommation de soins des patients suivis dans le cadre de ce dispositif.
Afin de permettre l'appariement de ces deux sources de données, le projet de décret soumis à l'examen de la commission prévoit le recours au numéro d'inscription au répertoire national d'identification des personnes physiques (ou « NIR ») des patients concernés par l'expérimentation.
Conformément à l'article 27-1 (1°) de la loi du 6 janvier 1978 modifiée, « sont autorisés par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés », les traitements de données à caractère personnel mis en œuvre pour le compte de l'Etat « qui portent sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques ».
Sur la finalité du traitement :
L'article 1er du projet de décret prévoit la finalité suivante :
« réaliser une étude sur les effets du protocole de coopération ASALEE sur :
- la libération du temps médical disponible par substitution effective du suivi des patients entre médecin et infirmier ;
- l'amélioration de la qualité du suivi des patients ;
- l'état de santé et la consommation de soins des patients. »
La commission estime que ce traitement de données à caractère personnel, mis en œuvre aux fins de réalisation de l'évaluation, permettrait de répondre à une finalité de santé publique.
La commission considère que cette finalité est déterminée, explicite et légitime au sens de l'article 6-2° de la loi du 6 janvier 1978 modifiée.
Toutefois, elle relève que le projet de décret qui lui est soumis est intitulé : « Décret […] autorisant la création d'un traitement automatisé relatif aux expérimentations de nouveaux modes de rémunération prévues par l'article 44 de la LFSS pour 2008 (ENMR) ».
La commission s'interroge sur la pertinence de ce titre eu égard à la finalité décrite à l'article 1er du projet de décret précitée. En effet, le traitement de données à caractère personnel ne concerne pas l'ensemble des expérimentations prévues par l'article 44 de la LFSS 2008 mais est relatif à l'évaluation du seul module n° 3 des ENMR, relatif à la coopération entre professionnels de santé (en l'occurrence entre médecins et infirmiers).
Dès lors, la commission recommande que l'intitulé du décret soit défini de manière plus précise.
Sur la nature des données traitées :
L'article 2-1 du projet de décret énumère les différentes catégories de données à caractère personnel nécessaires à l'évaluation
1. S'agissant des données relatives aux professionnels de santé.
Le projet de décret fait référence aux données mentionnées aux articles 2 des arrêtés « RPPS » (arrêté du 6 février 2009 portant création d'un traitement de données à caractère personnel dénommé « Répertoire partagé des professionnels de santé ») et « ADELI » (arrêté du 12 juillet 2012 relatif à la mise en place d'un traitement de données à caractère personnel dénommé ADELI de gestion de l'enregistrement et des listes départementales de certaines professions et usages de titres professionnels), à savoir des données d'identification de la personne (numéro RPPS ou ADELI, nom, prénom, date et lieu de naissance,…), et des données relatives à l'exercice de la profession (diplômes, profession, inscription à l'ordre, coordonnées, activités et structure d'exercice,…).
La commission relève que le dossier technique joint à la demande d'avis prévoit le traitement d'une liste plus restrictive de données relatives aux professionnels de santé que celle énoncée dans le projet de décret.
Elle relève également que la pertinence du traitement de certaines données (telles que l'identité des professionnels de santé, leur nationalité, les langues parlées, leur adresse personnelle…) bien que figurant dans les arrêtés précités n'est pas justifiée, en l'espèce, pour atteindre la finalité poursuivie par le projet de décret alors qu'en application des dispositions de l'article 6 de la loi du 6 janvier 1978 modifiée, les données doivent être adéquates, pertinentes et non excessives au regard de la finalité du traitement.
Par conséquent, la commission demande que les données relatives aux professionnels de santé soient plus précisément définies par le décret de sorte que seules les données pertinentes pour l'évaluation soient traitées.
2. S'agissant des données relatives aux personnes concernées par l'évaluation du protocole
S'agissant des personnes suivies dans le cadre du protocole ASALEE, le projet de décret prévoit la collecte de leur NIR et, le cas échéant, celui de leur ouvrant droit, leur date de naissance, leur sexe, leur numéro de dossier ASALEE, les données relatives à leur suivi médical et aux facteurs de risque associés, et de leurs données de consommation de soins issues du SNIIRAM.
S'agissant des autres personnes qui ne font pas partie du protocole ASALEE tout en étant prises en charge par les professionnels de santé participants au protocole de coopération, le projet de décret prévoit qu'elles seront incluses, à titre comparatif, dans l'évaluation du dispositif. A cette fin, il est prévu qu'aucune donnée directement identifiante ne sera traitée et que seules les données de consommation de soins issues du SNIIRAM seraient collectées.
La commission estime que ces données sont pertinentes au regard de la finalité poursuivie.
Sur la durée de conservation des données :
L'article 2-II du projet de décret prévoit que les données seront utilisées pendant la durée nécessaire à l'évaluation du protocole ASALEE et au maximum pour une durée de cinq ans, ce qui correspond à la durée attendue de l'évaluation.
La commission considère qu'une telle période d'utilisation n'excède pas la durée nécessaire à l'accomplissement des finalités poursuivies par le traitement.
Sur les destinataires des données :
L'article 3 du projet de décret décrit le circuit de circulation des données.
La commission relève que cet article ne précise pas l'utilisation qui sera faite par la CNAMTS des données relatives aux professionnels de santé qui lui sont transmises par l'association ASALEE.
Elle rappelle qu'en application de l'article 6 de la loi du 6 janvier 1978 modifiée, les données ne doivent pas être traitées ultérieurement de manière incompatible avec les finalités pour lesquelles elles ont initialement été collectées et demande que le décret en Conseil d'Etat précise quelles données relatives à ces professionnels de santé la CNAMTS communiquera ensuite à l'IRDES.
Sur les droits des personnes :
Les modalités d'information et d'exercice des droits des personnes reconnus par la loi du 6 janvier 1978 sont décrites à l'article 4 du projet de décret.
En premier lieu, l'information des professionnels de santé sera assurée par l'association ASALEE et l'information des patients par le médecin qui les prend en charge.
La commission rappelle que l'information préalable des patients inclus dans le dispositif ASALEE doit préciser le caractère volontaire et facultatif de leur participation à l'évaluation et l'absence de conséquence sur la prise en charge ou le remboursement de ceux qui refuseraient d'y participer. Les patients doivent, en outre, être informés de la possibilité de mettre fin à leur participation à tout moment ainsi que des modalités pratiques d'exercice de leurs droits tels que prévus par la loi du 6 janvier 1978 modifiée et, notamment, les droits d'accès et de rectification relatifs aux données qui les concernent.
S'agissant des patients non inclus dans le dispositif ASALEE, le projet de décret prévoit qu'ils seront informés mais ne détaille pas les modalités de cette information. Le dossier technique joint à la demande d'avis prévoit une information par voie d'affichage dans les salles d'attente des médecins. Si cette modalité est effectivement privilégiée, la commission demande que l'article 4 du projet de décret le précise ou qu'il renvoie au dossier technique précité.
La commission prend acte de ce que le consentement des professionnels de santé sera recueilli pour l'utilisation de leur numéro identifiant RPPS ou ADELI. Le consentement des patients inclus dans le dispositif ASALEE sera également recueilli s'ils souhaitent participer à l'évaluation du protocole ASALEE.
Sous réserve des précédentes observations, la commission considère que les modalités d'information des personnes sont satisfaisantes.
En deuxième lieu, le projet de décret prévoit que les droits d'accès et de rectification, prévus par les articles 39 et 40 de la loi du 6 janvier 1978 modifiée, s'exercent auprès du président de l'association ASALEE, du directeur général de la CNAMTS et du directeur de FIRDES.
Enfin, le projet de décret écarte expressément l'application du droit d'opposition pour les personnes qui, bien qu'elles ne fassent pas partie du protocole ASALEE, sont prises en charge par les professionnels de santé participants. Le ministère des affaires sociales et de la santé indique, en effet, que l'ensemble des données de consommation relatives à ces patients sont extraites du SNIIRAM par la CNAMTS grâce au numéro identifiant des professionnels (RPPS ou ADELI). Le NIR de ces patients n'étant pas traité et leur identité n'étant pas recherchée, ils restent inconnus de la CNAMTS et de l'IRDES, si bien que ces organismes sont dans l'impossibilité de faire droit à une opposition au traitement.
La commission estime que cet argument est recevable et que le ministère est fondé à faire application du dernier alinéa de l'article 38 de la loi du 6 janvier 1978 modifiée, qui prévoit que le droit d'opposition peut être écarté par une disposition expresse de l'acte autorisant le traitement. Elle demande, dès lors, que le décret soit complété en ce sens.
Les autres modalités d'exercice des droits des personnes n'appellent pas, en l'état, d'observations de la part de la commission.
Sur la sécurité des données et la traçabilité des actions :
La commission souhaite, compte tenu de la sensibilité des données traitées, qu'une attention particulière soit portée aux mesures de sécurité afin de garantir la sécurité et notamment la confidentialité des données.
L'article 2-Ill du projet de décret prévoit que la conservation et la transmission des données doivent être effectuées dans des conditions permettant d'en assurer la sécurité.
La commission souligne que l'obligation de sécurité prévue à l'article 34 de la loi du 6 janvier 1978 modifiée s'applique au traitement de données à caractère personnel dans sa globalité et ne concerne pas seulement la conservation et la transmission des données. Ainsi, la commission propose que l'article 2-Ill soit modifié comme suit
« Conformément à l'article 34 de la loi n° 78-17 du 6 janvier 1978 modifiée, la CNAMTS, l'IRDES et l'association ASALEE, chacun pour ce qui le concerne, traitent les données dans des conditions permettant d'en assurer la sécurité. »
Le projet d'article 3 décrit, quant à lui, les modalités de circulation des données. En particulier, il prévoit que le NIR doit être renseigné dans le SI ASALEE « de façon sécurisée » et n'être accessible que par le médecin traitant ou les infirmiers engagés dans une coopération ASALEE.
Ainsi, le NIR sera chiffré dès sa saisie par les infirmiers dans le SI ASALEE. Le système de chiffrement n'étant pas mis en œuvre à ce jour, le ministère a proposé deux scénarios :
- une solution comprenant la clé de chiffrement des NIR est fournie par le service MOISE (Maîtrise d'ouvrage informatique de la stratégie et des études) de la CNAMTS. L'algorithme de chiffrement utilisé serait un algorithme asymétrique, à clé publique et clé privée ;
- l'association ASALEE implémente une solution pour chiffrer les NIR, la clé de chiffrement étant gérée par l'administrateur du SI ASALEE.
Dans le premier cas, le service MOISE n'étant pas habilité à accéder à la base de données, il ne pourra pas déchiffrer les données.
La commission demande alors à ce que le SI ASALEE ne dispose que de la clé publique, la clé privée étant uniquement détenue par les agents de la CNAMTS habilités à traiter le NIR afin de générer les identifiants permettant de requéter les données dans le SNIIRAM.
Dans le second cas, l'administrateur du SI ASALEE pourrait accéder aux données et les déchiffrer.
Afin de respecter l'obligation de sécurité prévue par l'article 34 de la loi n° 78-17 du 6 janvier 1978 modifiée, la commission estime que des mesures devraient être mises en œuvre afin d'empêcher l'accès aux NIR en clair aux administrateurs du SI ASALEE. Elle préconise ainsi la solution consistant en la mise à disposition par la CNAMTS de la clé de chiffrement telle que décrite ci-dessus. Elle demande également que le projet d'article 3-II soit modifié afin de préciser que l'accès aux NIR chiffrés est réservé aux hypothèses où il est nécessaire aux missions du personnel habilité.
De plus, elle demande à ce que soit formalisée et mise en œuvre une politique de gestion des clés prévoyant notamment les modalités de création, de conservation, de protection, d'accès et de renouvellement des clés de chiffrement.
Sur la gestion des habilitations :
Le II du projet d'article 3 prévoit que « Seuls les personnels de l'association ASALEE nommément désignés et habilités à cet effet par son président, sont autorisés à accéder aux données mentionnées aux b, c et d du 2° du I de l'article 2 du présent décret dans la mesure où elles sont strictement nécessaires à l'exercice des missions qui leur sont confiées. ».
Le IV de l'article 3 permet aux agents habilités de la CNAMTS d'extraire les données du SNIIRAM relatives à l'ensemble des patients ayant consulté un médecin participant aux expérimentations des nouveaux modes de rémunérations, que ceux-ci fassent parti du protocole ASALEE ou non.
Le projet de décret ne fait pas mention des habilitations du personnel de l'IRDES. La commission demande à ce que soit précisé dans le projet de décret que seuls les personnels participant aux évaluations du protocole ASALEE puissent accéder aux données.
Sur le contrôle des accès :
Les accès au SI ASALEE sont réalisés par l'utilisation d'un certificat électronique et d'un mot de passe ou par l'utilisation d'un identifiant et mot de passe couplé à un mot de passe à usage unique reçu par SMS. La complexité des mots de passe est conforme aux recommandations de la commission.
S'agissant des accès aux données par les agents habilités de la CNAMTS, les documents transmis précisent qu'il s'agit des accès classiques du SNIIRAM.
La commission rappelle qu'elle recommande que les mots de passe soient composés de trois types de caractères distincts, qu'ils soient impérativement modifiés tous les six mois (un simple rappel n'apparaissant pas suffisant) et qu'un algorithme de hachage robuste et contenant un secret pour la conservation des mots de passe (HMAC - SHA-256) soit utilisé. En outre, elle rappelle qu'elle a demandé en juillet 2013 à ce qu'une analyse de risque soit réalisée afin de s'assurer que les mesures de sécurité du SNIIRAM sont adéquates. Elle n'a pas, à ce jour, reçu les résultats de l'analyse des risques.
S'agissant enfin du personnel de I'IRDES, le contrôle d'accès est opéré par un identifiant et un mot de passe constitué d'un minimum de huit caractères, composé de trois types de caractères différents : deux majuscules, six minuscules, associant voyelles et consonnes et deux valeurs numériques.
Sur la traçabilité :
Les accès et actions réalisés sur les données par le personnel de la CNAMTS ainsi que par le personnel de l'association ASALEE sont tracés.
Au sein de l'IRDES, la commission demande à ce qu'une traçabilité automatique soit mise en œuvre. Cette mise en œuvre devra prévoir les mesures permettant d'assurer la sécurité de ces traces, notamment leur pérennité et leur intégrité, ainsi que les droits d'accès à ces données et leur durée de conservation.
La commission rappelle que les personnes concernées doivent être informées de cette traçabilité.
Sur les transferts de données :
Le V du projet d'article 3 prévoit les transmissions de données par l'association ASALEE vers la CNAMTS ou I'IRDES. Ces transmissions sont réalisées « dans des conditions permettant d'en assurer la sécurité ». Ainsi, les données seront chiffrées et mises à disposition de la CNAMTS ou de l'IRDES sur un serveur de l'hébergeur agréé pour l'hébergement de données de santé. Afin de récupérer les informations, la CNAMTS et l'IRDES devront préalablement récupérer un certificat électronique auprès de l'hébergeur agréé. Les clés de chiffrement seront transportées dans les certificats.
De plus, la confidentialité des transferts de données sera assurée par le recours à des protocoles sécurisés.
Le VIII du projet d'article 3 prévoit les transferts de données entre la CNAMTS et l'IRDES. Ainsi, les données extraites dans le SNIIRAM par la CNAMTS sont transmises à I'IRDES « dans des conditions permettant d'en assurer la sécurité ». Ces transferts seront réalisés par CD-ROM ou clé USB transmis par porteur, les données étant préalablement chiffrées.
Sur la conservation des données :
Le projet d'article 3-V prévoit que dès que l'association ASALEE a transmis les données à la CNAMTS et à FIRDES, elle « supprime le fichier transmis et n'en garde aucune trace ».
Le projet d'article 3-VIII prévoit la suppression des données reçues et collectées dans le SNIIRAM par la CNAMTS après un délai de deux mois afin de vérifier que celles-ci ont été effectivement reçues par l'IRDES.
La commission rappelle que des mesures devront être mises en œuvre afin d'assurer la suppression définitive des fichiers des supports de stockage dans des conditions conformes à l'état de l'art.
Au sein de l'IRDES, les données sont conservées sur un serveur présent dans les locaux, interne et sans accès internet. La commission prend acte de ce que les données seront conservées chiffrées.
Les données nominatives des personnes incluses dans l'enquête sont uniquement conservées au sein du SI ASALEE. Le personnel de l'IRDES ne peut accéder à ces informations.
Sous réserve des précédentes observations, les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée.
La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.
Les autres points du projet de décret n'appellent pas, en l'état et au regard de fa loi du 6 janvier 1978 modifiée, d'autres observations de la commission.