Sur la proposition de M. Alexandre LINDEN, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie par le ministère des affaires sociales, de la santé et des droits des femmes d'une demande d'avis portant sur un projet d'arrêté relatif à la mise en œuvre d'un portail de téléservices, désigné sous le nom de « e-services cartes & certificats », relatifs à la gestion et à la délivrance des produits de certification.
Ce projet prévoit que les acteurs des secteurs de la santé et du médico-social auxquels s'adressent les produits de certification délivrés par l'Agence des systèmes d'information partagés de santé (ASIP Santé) seront identifiés pour la connexion au portail et pour l'accomplissement des différentes démarches relatives à la gestion des produits de certification par un identifiant dont la détermination résulte de procédures de certification de l'identité propres à chaque catégorie d'utilisateurs.
Le portail donne ainsi accès à des téléservices de l'administration dans les conditions visées à l'article 27-II (4°) de la loi du 6 janvier 1978 modifiée, qui soumet à autorisation par arrêté ministériel pris après avis motivé et publié de la commission, les traitements mis en œuvre par l'Etat ou des personnes morales de droit public « aux fins de mettre à la disposition des usagers de l'administration un ou plusieurs téléservices de l'administration électronique, si ces traitements portent sur des données parmi lesquelles figurent le numéro d'inscription des personnes au répertoire national d'identification ou tout autre identifiant des personnes physiques ».
Sur la finalité du traitement :
Ce portail de téléservices a pour finalité de simplifier les démarches des acteurs des secteurs de la santé et du médico-social, relatives à la commande des produits de certification, et leur permettre d'accéder, dans la limite de leurs droits, aux différents services proposés par l'ASIP Santé relatifs à la gestion de ces produits.
Ce portail est développé par l'ASIP Santé dans le cadre de ses missions relatives à la certification, la production, la gestion et le déploiement de la carte de professionnel de santé (CPS) et, plus généralement, de tous les dispositifs assurant les fonctions d'identification, d'authentification, de signature et de chiffrement permettant aux professionnels concernés de faire reconnaître, dans les conditions de sécurité et de confidentialité requises, leur identité et leurs qualifications professionnelles par les systèmes d'information et d'échanges électroniques qu'ils utilisent. Ces missions sont mentionnées à l'article 2 de la convention constitutive de l'ASIP Santé, approuvée, en dernier lieu, par arrêté du 18 septembre 2013.
La mise en œuvre de ce portail vise à prendre en compte les nouveaux usages de ces dispositifs dans le but d'une sécurisation accrue des échanges et du partage de données de santé à caractère personnel, conformément aux dispositions des articles L. 1110-4 et R. 1110-1 à R. 1110-3 du code de la santé publique.
Le développement de téléprocédures en la matière permettra également de simplifier les circuits de commande de produits de certification et d'améliorer le service rendu aux utilisateurs.
La mise en œuvre de ce portail de téléservices devrait être effectuée selon une trajectoire développée par étapes. La commission prend acte de ce que la présente demande d'avis porte sur la version initiale du projet, destinée à permettre aux usagers d'accéder par internet aux services suivants :
- le téléservice de commande et de gestion des produits de certification, destiné aux structures de soins et aux structures autorisées par l'ASIP Santé ;
- le téléservice de commande de carte pour les personnels employés par les professionnels de santé libéraux enregistrés dans le Répertoire partagé des professionnels de santé (RPPS) ;
- le téléservice de télémise à jour de cartes destiné aux porteurs de carte CPX ;
- le téléservice de commande et de gestion de certificats logiciels à destination des professionnels de santé, des structures de soins et des structures autorisées par l'ASIP Santé.
La commission estime que les finalités du traitement sont déterminées, explicites et légitimes au sens de l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Elle prend acte de ce que la poursuite du projet sera subordonnée à l'accomplissement de nouvelles formalités auprès de la CNIL.
Sur les modalités de fonctionnement du dispositif :
L'utilisateur du portail sera guidé vers la procédure de commande de produits de certification correspondant à sa qualité et à ses besoins.
En l'attente d'une dématérialisation complète de la procédure de demande de produits de certification, la saisie de formulaires papier, accessibles dans la bibliothèque de formulaires du portail, sera maintenue. Les utilisateurs seront également en mesure de transmettre leur demande de façon dématérialisée.
Les téléservices du portail s'appuieront sur le système d'information de l'ASIP Santé, dit « SI CPS », pour, d'une part, vérifier en amont l'identité des utilisateurs de produits de certification à partir des données provenant du référentiels d'identité des acteurs de santé et, d'autre part, mettre en œuvre les règles de délivrance et de production des produits de certification.
Les données fournies par l'utilisateur et collectées par les téléservices de commande de cartes seront transmises et conservées dans le SI CPS. Le cas échéant, elles sont complétées par les données d'assurance maladie (DAM) nécessaires pour l'élaboration des feuilles de soins électroniques par les professionnels de santé et transmises par le système d'information de la Caisse nationale d'assurance maladie des travailleurs salariés.
Le SI CPS de l'ASIP Santé est interfacé avec le système de l'Imprimerie nationale (IN), désormais chargé de la production des produits de certification et de leur envoi aux porteurs, en application du décret n° 2012-1117 du 2 octobre 2012.
Sur les données traitées :
Les données traitées pour chacun des téléservices sont mentionnées à l'article 2 du projet d'arrêté.
Les données relatives aux utilisateurs du service (usagers ou salariés) concernent l'identité des porteurs de carte (nom, prénom, adresse, date et lieu de naissance) et leur activité professionnelle (profession, situation d'exercice, informations relatives à la structure…).
En outre, les acteurs des secteurs de la santé et du médico-social, à qui s'adressent les produits de certification délivrés par l'ASIP Santé, sont identifiés par :
- leur numéro RPPS ou leur numéro ADELI pour les professionnels de santé ;
- leur numéro de matricule pour les salariés ne figurant pas dans le RPPS (il s'agit de l'identifiant fourni par et sous la responsabilité des employeurs) ;
- leur numéro de matricule pour les représentants légaux de structures du secteur sanitaire et médico-social et les représentants légaux des structures ne relevant pas de ces secteurs mais autorisées par l'ASIP Santé, après instruction, à disposer de produits de certification.
La mise en œuvre des téléservices accessibles via le portail ne nécessite pas le traitement de données sensibles au sens de l'article 8 de la loi du 6 janvier 1978 modifiée.
La commission considère que ces données sont adéquates, pertinentes et non excessives au regard des finalités poursuivies,
Sur les destinataires :
Ont accès à la totalité ou à une partie des données mentionnées à l'article 2 les personnes identifiées dans le cadre du service de publication du référentiel d'identité des acteurs de santé, à raison de leurs missions et dans la mesure strictement nécessaire à l'exercice de celles-ci.
La commission relève que tous ces agents font l'objet d'une habilitation spéciale par leur responsable hiérarchique et que les personnes chargées du recueil et du traitement sont en nombre limité.
Les données relatives aux porteurs de certificats émis par l'ASIP Santé font également l'objet d'une publication à destination du public.
Les données de journalisation (identifiants des terminaux, horodatage) sont accessibles aux administrateurs du traitement et leur accès est limité aux demandes du RSSI.
La commission considère que ces destinataires ont un intérêt légitime à accéder aux données traitées.
Sur la durée de conservation des données :
La durée de conservation des formulaires et dossiers de demande de CPS est fixée à trente ans.
Les demandes écrites de révocation des CPS ainsi que les justificatifs d'identité associés, obtenus par fax ou par courrier, sont conservés pendant cinq ans.
La commission relève que ces durées ont été définies conformément aux règles qui régissent le délai de prescription de l'action en responsabilité relative aux contrats civils.
Les données de journalisation sont conservées pendant six mois, ce qui apparaît conforme aux recommandations de la commission.
Dans ces conditions, la commission considère que les durées de conservation sont proportionnées au regard des finalités du traitement.
Elle relève, en outre, que l'ASIP Santé a initié des travaux de refonte de la politique d'archivage, en collaboration avec le service des Archives de France, et prend acte de ce qu'elle sera informée de l'issue de ces travaux.
Sur les droits des personnes concernées :
L'information des utilisateurs du portail sur le fonctionnement du dispositif et sur les droits qui leur sont ouverts au titre de la loi du 6 janvier 1978 modifiée sera effectuée :
- par une mention d'information, conforme aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée, portée sur le site internet du portail et sur le site internet de l'ASIP Santé qui comportera un espace dédié aux produits de certification et publiera, notamment, les conditions générales d'utilisation du service ;
- par des actions de communication à destination des professionnels concernés.
Ces modalités d'information n'appellent pas d'observation.
Les droits d'accès et de rectification prévus aux articles 39 et 40 de la loi du 6 janvier 1978 modifiée s'exercent :
- auprès des autorités d'enregistrement compétentes, pour les professionnels de santé enregistrés dans le RPPS ;
- auprès de l'agence régionale de santé ou de la direction départementale chargée de la cohésion sociale territorialement compétente, pour les professionnels de santé enregistrés dans le répertoire « ADELI » ;
- auprès de l'ASIR Santé, pour tous les autres titulaires de certificat.
La commission relève que les modalités d'exercice des droits d'accès et de rectification sont précisées dans la charte d'accès au service de publication et les conditions générales d'utilisation des produits de certification.
La commission relève que, s'agissant des professionnels de santé enregistrés dans le RPPS et dans le répertoire « ADELI », le projet d'arrêté prévoit que le droit d'opposition prévu à l'article 38 de la loi du 6 janvier 1978 modifiée ne s'applique pas en l'espèce, dans la mesure où les fichiers précités revêtent un caractère obligatoire pour les professionnels de santé en application des arrêtés qui les régissent.
Tous les autres titulaires de certificat peuvent exercer leur droit d'opposition en demandant leur inscription sur liste rouge.
La commission considère que ces dispositions permettent l'exercice effectif des droits ouverts au titre de la loi du 6 janvier 1978 modifiée.
Sur la sécurité des données et la traçabilité des actions :
Les téléservices du portail sont hébergés par deux prestataires différents : la société BT Services SA et l'Imprimerie nationale.
La commission observe que l'usager se connecte aux téléservices au moyen d'une authentification forte, par l'usage d'une carte à puce (carte CPX) assortie de la saisie d'un code PIN.
La commission relève que la connexion aux applications est effectuée via un protocole sécurisé de type HTTPS permettant de garantir la confidentialité des données échangées, et que seuls les agents spécifiquement habilités ont accès au traitement.
L'accès au service de révocation du certificat logiciel de la personne physique est également possible à l'aide d'un mot de passe (de huit caractères minimum avec des caractères de types différents), associé à la réponse à deux questions secrètes.
La commission relève que le mot de passe est d'une complexité suffisante, mais que le renouvellement régulier du mot de passe n'est pas imposé dans la mesure où ce mot de passe est utilisé de façon exceptionnelle et exclusivement à des fins de révocation d'un certificat et ne donne accès à aucune donnée. Dans ces conditions, la commission estime que les risques de compromission et d'usage illégitime du service de révocation d'un certificat sont limités.
La commission relève que les mesures de sauvegarde des données sont effectuées par les prestataires techniques. La sécurité de ces données est assurée par des contrôles d'accès aux locaux physiques qui font par ailleurs l'objet d'audits de sécurité réguliers.
Par ailleurs, une journalisation est effectuée sur les accès à l'application et aux fichiers de données.
La commission rappelle que la mise en ligne des téléservices doit être conforme au référentiel général de sécurité (RGS), conformément aux dispositions du décret n° 2010-112 du 2 février 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives.
La commission relève que l'ASIP Santé réalise une étude des risques en suivant la méthodologie EBIOS (méthode de gestion des risques de l'Agence nationale de la sécurité des systèmes d'information) sur le périmètre de la première version du portail et que cette étude est mise à jour pendant la durée de vie du projet. Afin de compléter ce dispositif, un audit de sécurité est également effectué avant la mise en production.
La commission demande à être rendue destinataire de la version définitive de l'étude EBIOS, lorsque celle-ci sera achevée.
Sous réserve des observations précitées, la commission considère que les mesures de sécurité décrites par le responsable de traitement sont conformes à l'article 34 de la loi du 6 janvier 1978 modifiée.
La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.