Après avoir entendu M. Nicolas COLIN, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie par la ministre des affaires sociales et de la santé d'une demande d'avis concernant un projet de décret en conseil d'Etat relatif à la facturation individuelle des établissements de santé publics et privés visés aux a, b et c de l'article L. 162-22-6 du code de la sécurité sociale (FIDES).
Ce projet de décret vise à définir les modalités de mise en oeuvre de la facturation individuelle réalisée par les établissements de santé susmentionnés et crée à cet effet un traitement automatisé de données à caractère personnel, suite au bilan positif d'une expérimentation de la facturation individuelle et directe des consultations et des séjours aux caisses d'assurance maladie. Cette expérimentation a été menée dans un premier temps dans 34 établissements de santé, afin de pouvoir apprécier les bénéfices et les risques du passage à ce mode de facturation.
Il est pris pour l'application de l'article L. 174-2-1 du code de la sécurité sociale et de l'article 33 de la loi de financement de la sécurité sociale pour 2004 modifié.
Le dispositif FIDES opère une dématérialisation du circuit des échanges d'informations entre l'assurance maladie obligatoire et les trésoreries hospitalières dans le cadre de la facturation individuelle. Les factures sont télétransmises selon une norme technique utilisée par l'ensemble des acteurs de la chaîne de facturation.
Le projet de décret définit les modalités d'échange dématérialisé de factures, de liquidation et de paiement des créances, ainsi que les modalités de régularisation des factures erronées.
Le dispositif FIDES implique un traitement de données de santé à caractère personnel et de données administratives relatives aux bénéficiaires de soins facturés, parmi lesquelles figurent le numéro d'identification au répertoire national d'identification des personnes physiques.
Conformément à l'article 27-1 (1°) de la loi du 6 janvier 1978 modifiée, « sont autorisés par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés », les traitements de données à caractère personnel mis en oeuvre pour le compte d'une personne morale de droit public « qui portent sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques ».
Sur la finalité du traitement :
Le projet d'article R. 174-2-8 du code de la sécurité sociale (CSS) prévoit la création d'un traitement de données à caractère personnel dénommé « facturation individuelle des établissements de santé » mis en œuvre par les établissements visés aux a, b et c de l'article L. 162-22-6 du même code, par leur comptable public s'agissant des établissements publics de santé visés au a de cet article et par les organismes gestionnaires de l'assurance maladie obligatoire.
Ce traitement doit permettre :
- de mettre en œuvre les procédures définies par le présent code pour la facturation individuelle des établissements visés aux a, b et c de l'article L. 162-22-6 aux organismes gestionnaire de l'assurance maladie obligatoire et le paiement par ces organismes à ces établissements de manière dématérialisée ;
- d'effectuer avant leur paiement les contrôles par l'assurance maladie obligatoire des sommes dues aux établissements visés au a, b et c de l'article L. 162-22-6 ;
- de produire des statistiques au profit des services de l'Etat placés sous l'autorité des ministres chargés de la santé, de la sécurité sociale et du budget.
La commission considère que les finalités poursuivies par ce traitement sont déterminées, explicites et légitimes.
Elle relève en outre que les données de liquidation des factures seront intégrées au Système national d'information interrégimes de l'assurance maladie (SNIIRAM). Elle prend acte de ce que cette intégration ne générera pas de doublon avec les données issues du Programme de médicalisation des systèmes d'information (PMSI).
Elle rappelle que le SNIIRAM n'a pas pour finalité de réaliser un contrôle de cohérence entre les données issues du dispositif FIDES et celles du PMSI.
Sur la nature des données traitées :
Le projet d'article R. 174-2-9 du CSS prévoit le traitement des données ou catégories de données à caractère personnel suivantes :
- les données d'identification des bénéficiaires des soins facturés (nom, prénom, sexe, date de naissance, mention du décès le cas échéant) ;
- leur numéro d'identification au répertoire national d'identification des personnes physiques (NIR) ou, pour les personnes en instance d'attribution d'un NIR, un numéro d'identifiant d'attente (NIA) mentionné à l'article R. 114-26 ;
- les données d'affiliation et de rattachement aux régimes d'assurance maladie ;
- les dates de soins ;
- les montants facturés ;
- les données relatives aux prestations de santé remboursées (consultations et actes externes, prestations d'hospitalisation, médicaments, produits de santé et prestations pris en charge ou remboursés par l'assurance maladie, prestations aux bénéficiaires de l'aide médicale d'Etat).
Ces données apparaissent adéquates, pertinentes et non excessives au regard de la finalité poursuivie, conformément aux dispositions de l'article 6-3°) de la loi du 6 janvier 1978 modifiée. Le dispositif FIDES repose sur le traitement de données sensibles au regard de la loi du 6 janvier 1978 modifiée, mais évidemment nécessaires au regard de la finalité poursuivie par le dispositif de facturation individuelle des soins.
Sur la durée de conservation des données :
Le projet d'article R. 174-2-11 du CSS prévoit que les données transmises dans le cadre du traitement FIDES seront conservées pendant trois ans dans la base active puis archivées pour une durée supplémentaire de sept ans par les organismes gestionnaires de l'assurance maladie obligatoire et les établissements visés aux a, b et c de l'article L. 162-22-6.
La conservation des données dans les conditions précitées n'appelle pas d'observations de la commission.
Sur les destinataires des données :
Le projet d'article R. 172-2-10 du CSS prévoit les destinataires des données suivants :
- les agents habilités des organismes gestionnaires de l'assurance maladie obligatoire et des établissements visés aux a, b et c de l'article L. 162-22-6 ;
- les agents des services comptables publics des établissements publics de santé visés au a de l'article L. 161-22-6 nécessaires à l'imputation budgétaire et au recouvrement des factures correspondant aux prestations mentionnées au 6° de l'article R. 174-2-9.
Cette liste de destinataires n'appelle pas d'observation, compte tenu du caractère nécessaire de l'accès de ces personnes aux données susmentionnées, afin de permettre la facturation individuelle des actes et des séjours hospitaliers.
Les accès aux données se font après authentification des personnes. Ils sont systématiquement tracés et les transferts de données sécurisés.
Les accès dans les conditions précitées n'appellent pas d'observations.
Sur l'information et les droits d'accès et de rectification des personnes concernées :
La commission relève que le projet de décret ne comporte aucune disposition particulière concernant l'information des personnes.
Outre l'information par voie de publication du décret au Journal officiel de la République française, elle recommande les modalités d'information suivantes, conformément à l'article 32 de la loi du 6 janvier 1978 modifiée :
- une information par voie d'affichage dans les établissements participant au dispositif FIDES et sur leur site internet ;
- une mention dans les livrets d'accueil des établissements de santé.
Le projet d'article R. 174-2-12 du CSS prévoit que les bénéficiaires des soins peuvent exercer leurs droits d'accès et de rectification des données les concernant auprès de l'organisme d'assurance maladie obligatoire dont ils relèvent.
Il prévoit en outre que le droit d'opposition prévu à l'article 38 de la loi du 6 janvier 1978 modifiée ne s'applique pas au présent traitement autorisé par l'article R. 174-2-8 du code de la sécurité sociale, celui-ci répondant à une obligation légale.
La commission estime que ces modalités d'information et d'exercice des droits des personnes sont satisfaisantes.
Sur la sécurité des données et la traçabilité des actions :
L'article 3 du projet de décret rappelle que le responsable de traitement doit prendre « toutes les mesures nécessaires à la préservation de la sécurité des données énumérées à l'article R. 174-2-9 », et ce conformément à l'article 34 de la loi « Informatique et Libertés ».
La commission rappelle qu'il appartient au ministère des affaires sociales et de la santé d'attester de la conformité du traitement susmentionné au décret n° 2010-112 pris pour l'application des articles 9, 10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives. La commission demande à ce qu'une analyse de risques menée en application du référentiel général de sécurité, mentionné par le décret n° 2010-112 précité, lui soit transmise six mois avant que le dispositif ne soit imposé à tous les établissements de santé.
S'agissant de l'authentification des personnes, la commission recommande l'utilisation de mots de passe d'une longueur minimale de dix caractères pour les utilisateurs disposant de privilèges élevés tels que les administrateurs du système et de huit caractères pour les autres personnels. Les mots de passe doivent contenir trois types de caractères (minuscules, majuscules, chiffres et/ou caractères spéciaux) et doivent être modifiés par l'utilisateur dès sa première connexion, puis régulièrement. En outre, les mots de passe ne doivent pas être conservés en clair dans un fichier ou une base de données.
La commission prend acte que, quel que soit l'établissement émetteur des factures, les données sont chiffrées préalablement à leur transmission à la caisse de paiement unique en recourant à l'algorithme 3-DES, La commission prend acte de l'engagement du ministère de recourir à un algorithme de chiffrement reconnu fort, tel que l'algorithme AES-256 bits, préalablement à la généralisation du dispositif.
Après avoir effectué les vérifications liées au format des données reçues ainsi qu'a l'émetteur des flux, la caisse de paiement unique transmet les factures individuelles aux caisses gestionnaires dont dépendent les patients. Ces transferts sont réalisés sur le réseau SESAM-Vitale ou sur le réseau du régime général de l'assurance maladie. La commission a déjà eu à se prononcer sur la sécurité de ces réseaux. Elle souhaite toutefois que l'intégralité du dispositif soit expertisée par l'Agence nationale de sécurité des systèmes d'information (ANSSI) et que les résultats de l'analyse opérée lui soit communiqués dès que possible.
A réception des données, la caisse gestionnaire, responsable des contrôles de la liquidation des factures, effectue un contrôle des factures (conformité aux conditions de prise en charge par l'assurance maladie obligatoire et aux modalités de facturation prévues par le CSS), puis les transmet à la CPU.
Les transmissions de données de la caisse gestionnaire à la CPU sont réalisées sur le réseau SESAM-Vitale ou sur le réseau du régime général de l'assurance maladie.
La CPU transmet ensuite les accords de paiement et les rejets de facture émis par les caisses gestionnaires, sous forme dématérialisée aux établissements : soit directement à l'établissement de santé s'agissant des établissements de santé privés d'intérêt collectif, soit au site national NOEMIE (SNN) s'agissant des établissements publics de santé. La CPU procédera à la transmission quotidienne d'un fichier unique par établissement comprenant l'intégralité des accords de paiement ou rejets de facture. Lorsque les données transitent par le SNN, ce dernier les transmet ensuite à l'établissement public de santé concerné et, en parallèle vers le comptable public pour qu'il intègre les accords de paiement ou rejets des factures des établissements de santé qu'il prend en charge dans son logiciel métier, dénommé « HELIOS ».
Bien que le projet de décret précise que les transmissions de données sont sécurisées, la sécurité des flux en direction des établissements de santé ou du comptable public n'a fait l'objet d'aucune précision dans le descriptif technique du dispositif. Dès lors, la commission rappelle que des mesures de sécurité doivent être prises, afin notamment de s'assurer de la confidentialité et de l'intégrité des données transmises.
Enfin, les établissements de santé s'équipent de logiciels conçus par des éditeurs hospitaliers qui doivent obtenir une certification préalable au Centre national de dépôt et d'agrément (CNDA) destinée à garantir la qualité de fonctionnement de leur logiciel.
Les autres mesures de sécurité n'appellent pas d'observations au regard de l'article 34 de la loi du 6 janvier 1978 modifiée.
La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.
Les autres points du projet de décret n'appellent pas, en l'état et au regard de la loi du 6 janvier 1978 modifiée, d'autres observations.