Après avoir entendu M. Alexandre LINDEN, commissaire, en son rapport et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie, le 28 juillet 2014 et par saisine rectificative le 10 octobre 2014, par la ministre des affaires sociales, de la santé et des droits des femmes d'une demande d'avis concernant un projet de décret en Conseil d'Etat (ci-après « le projet ») autorisant les traitements de données à caractère personnel par les organismes gestionnaires des régimes obligatoires de base de l'assurance maladie pour l'accomplissement de leurs missions d'affiliation, d'immatriculation, d'instruction des droits aux prestations et de prise en charge des soins, produits et services prévues par le code de la sécurité sociale (CSS) et le code rural et de la pêche maritime.
Ce projet vise à créer une catégorie de traitements de données à caractère personnel relevant du processus métier « production et bénéficiaires » de l'assurance maladie obligatoire (AMO) portant notamment sur le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) des assurés sociaux.
Ces traitements seront mis en œuvre par la Caisse nationale d'assurance maladie des travailleurs salariés (CNAMTS), la Mutualité sociale agricole (MSA) et le régime social des indépendants (RSI).
Le projet soumis à la commission est pris en application de l'article 27-I (1°) de la loi du 6 janvier 1978 modifiée qui prévoit que « sont autorisés par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés : les traitements de données à caractère personnel mis en œuvre pour le compte (…) d'une personne morale de droit public (…) qui portent sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques ».
L'article R. 115-1 du CSS prévoit que « Les organismes et administrations chargés de la gestion d'un régime obligatoire de base de sécurité sociale et, le cas échéant, les organismes habilités par la loi ou par une convention à participer à la gestion de ces régimes » sont autorisés à utiliser le NIR. Ces dispositions sont complétées par celles de l'article R. 115-2 qui précise que « l'autorisation donnée à l'article R. 115-1 vaut exclusivement pour les traitements mis en œuvre dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 » pour des finalités au nombre desquelles ne figurent pas l'ouverture et le suivi des droits des bénéficiaires, le versement des prestations et l'offre de téléservices.
Dès lors que ces traitements sont substantiellement différents de ceux qu'autorisent les dispositions réglementaires en vigueur, ils doivent être autorisés par décret en Conseil d'Etat pris après avis de la CNIL, en application de l'article 27-I (1°) précité.
Sur la dénomination et les finalités des traitements :
Le projet est relatif à la mise en œuvre de traitements de données à caractère personnel destinés à l'exercice des missions confiées par la loi aux organismes gestionnaires des régimes obligatoires de base de l'assurance maladie concernant la prise en charge des prestations maladie, maternité et paternité, invalidité et décès, accidents du travail et maladies professionnelles, de prévention et de prestations supplémentaires, notamment d'aides accordées dans le cadre de l'action sanitaire et sociale.
L'article ler du projet explicite le périmètre et les finalités des traitements mis en œuvre dans le cadre des activités précitées de l'assurance maladie.
Ces traitements ont vocation à permettre :
« - l'immatriculation et l'affiliation des bénéficiaires de prestations et aides ;
« - l'instruction, la gestion et le contrôle des droits des bénéficiaires de l'assurance maladie, maternité, paternité, invalidité et décès, y compris pour ce qui concerne la gestion de la protection complémentaire en matière de santé et de l'aide au paiement d'assurance complémentaire de santé, les prestations relevant de l'action sanitaire et sociale, de la prévention, de la législation en matière d'accidents du travail et de maladies professionnelles et de l'aide prévue à l'article L. 251-1 du code de l'action sociale et des familles, au travers d'opérations relatives à la délivrance d'attestations de droits et à la délivrance et la gestion de cartes, notamment la carte d'assurance maladie mentionnée à l'article L. 161-31 du CSS, la carte européenne d'assurance maladie et la carte de bénéficiaire de l'aide prévue à l'article L. 251-1 du code de l'action sociale et des familles ;
« - l'acquisition, le contrôle, le traitement et l'enregistrement des informations utiles au versement des prestations et aides et des rémunérations, à la délivrance de soins, produits ou prestations ou aides pris en charge ou faisant l'objet de remboursement ainsi qu'à la communication d'informations relatives à ces opérations aux bénéficiaires des remboursements, rémunérations ou prises en charge, aux organismes complémentaires et aux professionnels de santé, aux établissements de santé, aux centres de santé et aux structures médico-sociales ainsi qu'aux fournisseurs de services. »
L'article 1er du projet précise qu'afin d'atteindre les finalités précitées les organismes gestionnaires des régimes obligatoires de base de l'assurance maladie peuvent procéder :
- à l'identification des employeurs, des producteurs de soins et services et des organismes complémentaires d'assurance maladie ;
- à la mise à disposition des bénéficiaires, des professionnels de santé, des établissements de santé, des centres de santé, des structures médico-sociales, des fournisseurs de services, des organismes complémentaires et institutions de prévoyance, des tiers déclarants et des employeurs, de téléservices et téléprocédures utiles à l'exercice des missions de sécurité sociale ; au suivi et au traitement des procédures amiables ou gracieuses, des actions contentieuses et des actions de prévention et de lutte contre les fautes, abus et fraudes;
- aux échanges d'informations nécessaires à l'accomplissement des missions qui leur sont confiées avec des organismes tiers compétents ;
- à la production de statistiques, au pilotage et à la mise en œuvre des politiques, notamment en matière de gestion du risque, de prévention et de de santé publique, de prévention des recours contentieux, et le cas échéant, de lutte contre les fautes, abus et fraudes.
S'agissant de la production de statistiques, la commission prend acte de ce que les analyses statistiques porteront sur des données préalablement anonymisées, d'une part, et uniquement sur des données strictement nécessaires et proportionnées à la finalité poursuivie par le traitement considéré, d'autre part. Elle demande que le projet soit complété en ce sens.
La commission observe que le projet poursuit également une finalité de lutte contre la fraude et rappelle à cet égard que, conformément à l'article 10 de la loi du 6 janvier 1978 modifiée, aucune décision produisant des effets juridiques à l'égard des personnes concernées par des données traitées dans le cadre de la lutte contre la fraude ne peut être prise sur le seul fondement de traitements automatisés de données destinés à définir le profil de l'intéressé ou à évaluer certains aspects de sa personnalité.
Dès lors, les requêtes ou alertes détectées automatiquement doivent donner lieu à une analyse non automatisée par le personnel habilité de l'organisme auquel il appartient, le cas échéant des investigations complémentaires pourront être diligentées. Enfin, la personne concernée doit être mise en mesure de présenter ses observations si une décision produisant des effets juridiques est prise à son égard dans le cadre de la conclusion ou de l'exécution d'un contrat.
La commission considère, sous réserve des observations précédentes, que la création des traitements précités et les finalités ainsi poursuivies sont déterminées, explicites et légitimes.
Sur les catégories de données à caractère personnel enregistrées :
L'article 2 du projet énumère les catégories de données à caractère personnel qui feront l'objet d'un traitement.
Ces catégories de données à caractère personnel concernent les assurés sociaux et leurs ayants droit, les demandeurs et bénéficiaires de l'aide médicale d'Etat prévue à l'article L. 251-1 du code de l'action sociale et des familles, les professionnels de santé, les auxiliaires médicaux et autres prestataires de services, et les employeurs.
S'agissant des assurés sociaux et de leurs ayants droit, l'article 2-1 du projet prévoit le traitement des données suivantes :
1° Les données d'identification et relatives à la situation de l'assuré ou de l'ayant droit :
- les données d'identification (nom, prénom, sexe, date, lieu et rang de naissance, date de décès, photographie) ;
- le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR), et celui ou ceux qui leur auraient été précédemment attribués, ou, pour les personnes en instance d'attribution d'un numéro d'inscription au répertoire national d'identification des personnes physiques, un numéro identifiant d'attente (NIA) attribué par la Caisse nationale d'assurance vieillesse à partir des données d'état civil, pour l'ensemble des organismes ; la nationalité, si cette information est nécessaire à l'application d'une convention bilatérale, ou le cas échéant la qualité de ressortissant d'un pays membre de l'Union européenne, dont la France, ou celle d'un pays non membre de l'Union européenne ;
- le numéro de pièce d'identité ou de titre de séjour, le numéro AGDREF, les dates limites du titre de séjour et la nature du titre de séjour ;
- les informations relatives aux pièces justificatives d'une résidence stable en France ;
- l'adresse postale, les numéros de téléphone et l'adresse électronique ;
- le régime de rattachement ou le ou les organismes d'affiliation ;
- les informations relatives à l'adhésion à un organisme complémentaire d'assurance maladie ou à un institut de prévoyance ;
- les informations relatives aux droits et aux dispositifs d'accès aux soins, comportant les justificatifs, périodes et natures ;
- les identifiants et le rattachement aux organismes d'allocations familiales ;
- les identifiants bancaires ;
- l'information relative à la désignation d'un médecin traitant et ses nom, prénom, spécialité, numéros d'identification, adresse et numéros de téléphone ;
- le montant des ressources et la composition du foyer ;
2° Les données relatives à la santé :
- l'information relative à la résidence en établissement d'hébergement pour personnes âgées dépendantes, établissement de santé ou centre de santé ; l'information relative à l'exonération ou à la modulation du ticket modérateur, la date, la nature et la durée de l'exonération ;
- la nature et les montants remboursés des actes, prestations, médicaments ou produits de santé et le numéro de code détaillé des actes effectués ou des prestations délivrées, le pays dans lequel ces actes ont été exécutés ou ces prestations délivrées ;
- l'existence d'une grossesse, d'une maternité ou d'une paternité et, en cas de grossesse, sa date présumée, la date d'examen, le nombre d'enfants à naître et le nombre d'enfants à charge ;
- le bénéfice de la couverture maladie universelle, de la couverture maladie universelle complémentaire ou de l'aide à l'acquisition d'une complémentaire santé ;
- les informations relatives à un appareillage, à une cure thermale, à une prestation soumise à accord préalable ;
- l'existence d'un recours contre des tiers ;
- l'existence d'un accident du travail, d'une maladie professionnelle ou d'une invalidité, sa date, le siège de la lésion, les numéros de dossier, la nature de l'avis médical ;
- l'existence d'une hospitalisation, la discipline médico-tarifaire et les modes de traitement, les dates, les groupe homogène de séjour et groupe homogène de tarifs, les prestations dans le cadre de la pharmacie rétrocédée, les spécialités pharmaceutiques et liste des produits et prestations en sus du séjour, le montant du séjour ;
- les informations nécessaires à la prise en charge de prestations et aides dans le cadre de l'action sanitaire et sociale, notamment le montant des ressources du foyer et la composition de la famille ;
- les informations nécessaires à la prise en charge de prestations dans le cadre de la prévention ;
- les informations nécessaires à la délivrance des cartes d'assurance maladie et à la gestion de leur cycle de vie ;
- les données relatives aux arrêts de travail, au versement d'indemnités journalières pour les risques maladie, maternité, paternité, accidents du travail et maladies professionnelles et au versement de pensions d'invalidité, de rentes consécutives aux accidents du travail et maladies professionnelles ou de capitaux décès.
S'agissant des demandeurs et bénéficiaires de l'aide médicale d'Etat prévue à l'article L. 251-1 du code de l'action sociale et des familles, en complément des informations précitées, l'article 2-II du projet prévoit le traitement des données suivantes :
- le bénéfice de l'aide prévue à l'article L. 251-1 du code de l'action sociale et des familles ;
- le numéro de bénéficiaire de l'aide prévue à l'article L. 251-1 du code de l'action sociale et des familles ;
- le cas échéant, la date d'arrivée en France ;
- les caractéristiques de l'adresse, selon qu'il s'agisse d'une adresse personnelle, d'une domiciliation ou d'un hébergement ;
- le code type relatif à la validité du titre de séjour, le numéro de duplicata, le code mention figurant sur le titre de séjour ;
- la photographie ;
- le montant des ressources.
S'agissant des professionnels de santé, les auxiliaires médicaux et autres prestataires de services, l'article 2-III du projet prévoit le traitement des données suivantes :
- les données d'identification (état civil), l'identifiant du professionnel (numéro d'enregistrement au répertoire partagé des professionnels de santé (RPPS), numéro d'assurance maladie) ;
- les coordonnées professionnelles (adresse, numéros de téléphone, adresse électronique) ;
- la profession et, le cas échéant, la spécialité ;
- la situation conventionnelle ;
- les actes, produits et prestations prescrits et exécutés avec leur codage détaillé ;
- le montant des honoraires ou les montants et les types de rémunérations perçus ainsi que les indicateurs et la patientèle ayant servi au calcul de ces rémunérations ;
- les identifiants bancaires ;
- les tarifs appliqués ;
- les indicateurs d'activité.
S'agissant des employeurs, l'article 2-V du projet prévoit le traitement des données suivantes :
- les données d'identification (nom, raison sociale, numéro SIRET) ;
- les coordonnées professionnelles (adresse, numéros de téléphone, adresse électronique) ;
- les identifiants bancaires ;
- l'activité principale de l'employeur ;
- les éléments déclarés pour la gestion des droits aux prestations, les nom, prénom et coordonnées postales téléphoniques et électroniques des interlocuteurs.
Le ministère indique que les données précitées sont nécessaires aux organismes gestionnaires des régimes obligatoires de base de l'assurance maladie aux fins d'accomplissement de leurs missions d'affiliation, d'immatriculation, d'instruction des droits aux prestations et de prise en charge des soins, produits et services (prévues par le CSS et le code rural et de la pêche maritime) liées aux assurances maladie, maternité et paternité, invalidité et décès, accidents du travail et maladies professionnelles dont ils assurent la gestion.
La commission souligne que l'utilisation du NIR doit être cantonnée aux finalités limitativement énumérées à l'article 1er du projet aux fins d'exercice par les organismes gestionnaires de régimes obligatoires de base de l'assurance maladie des missions de sécurité sociale qui leur sont confiées par la loi.
Elle rappelle qu'en application des dispositions de l'article 6 (3°) de la loi du 6 janvier 1978 modifiée les données traitées doivent être adéquates, pertinentes et non excessives au regard de la finalité poursuivie.
Sur les destinataires ou catégories de destinataires habilités à recevoir communication de ces données :
L'article 3 du projet prévoit que « sont destinataires des données mentionnées à l'article 2 les agents intervenant dans la prise en charge des assurés et soumis à une obligation de confidentialité, individuellement habilités par le directeur de chaque organisme d'assurance maladie pour l'exercice de leurs missions et dans la stricte mesure nécessaire à l'exercice de celles-ci, ainsi que les praticiens conseils habilités par le médecin conseil chef du service du contrôle médical et les agents placés sous son autorité. »
L'article L. 161-29 du CSS prévoit notamment que :
« le personnel des organismes d'assurance maladie a connaissance, dans le cadre de ses fonctions et pour la durée nécessaire à leur accomplissement, des numéros de code des pathologies diagnostiquées, des actes effectués et des prestations servies au bénéfice d'une personne déterminée, y compris lorsqu'elles sont établies à partir des données mentionnées aux articles L. 6113-7 et L. 6113-8 du code de la santé publique, tels qu'ils figurent sur le support utilisé pour la transmission prévue au premier alinéa ou dans les données issues du traitement susmentionné ;
Seuls les praticiens-conseils et les personnels placés sous leur autorité ont accès aux données nominatives issues du traitement susvisé, lorsqu'elles sont associées au numéro de code d'une pathologie diagnostiquée.
Le personnel des organismes d'assurance maladie est soumis à l'obligation de secret dans les conditions et sous les peines prévues aux articles 226-13 et 226-14 du code pénal. »
La commission estime que le projet est insuffisamment précis sur les modalités d'accès des agents précités aux différentes catégories de données traitées, notamment aux données de santé à caractère personnel, et demande que l'article 3 du projet soit complété, afin d'être plus explicite sur la nature des données rendues accessibles à chaque catégorie de destinataires des données au regard des dispositions précitées.
L'article 1er du projet prévoit que seront également rendus destinataires des données traitées, dans le cadre des échanges d'informations précités, les autres organismes intervenant dans le domaine de la protection sociale et les établissements publics et administrations publiques, notamment les caisses d'allocations familiales, les caisses d'assurance vieillesse, les unions pour le recouvrement des cotisations de sécurité sociale, la Haute Autorité de santé, l'Agence centrale des organismes de sécurité sociale, le Centre des liaisons européennes et internationales de sécurité sociale, l'institution mentionnée à l'article L. 5312-1 du code du travail, les conseils généraux et régionaux, les ministères de tutelle, les services du ministère chargé de l'intérieur, l'administration fiscale et le comptable public chargé du recouvrement des créances hospitalières et avec l'administration fiscale et les fournisseurs d'énergie, pour l'attribution des tarifs prévus aux articles L. 337-3 et L. 445-5 du code de l'énergie, avec les organismes de sécurité sociale étrangers, notamment des pays membres de l'Union européenne, ainsi qu'avec les organismes complémentaires d'assurance maladie et instituts de prévoyance, les tiers déclarants et les employeurs.
La commission, si elle ne peut que souscrire à la légitimité des objectifs poursuivis par le projet, s'interroge sur la légitimité de la transmission de certaines informations à certains organismes précités au regard de leurs missions respectives.
Elle rappelle, d'une part, que ces échanges d'informations ne doivent porter que sur les données strictement nécessaires à la finalité poursuivie dans le cadre des missions des organismes précités et, d'autre part, que ces échanges devront s'effectuer dans des conditions conformes aux lois et règlements en vigueur.
Elle demande donc que le projet soit complété afin qu'il précise, par catégories de destinataires, la liste des données à caractère personnel auxquelles ces derniers auront accès et rappelle que ceux-ci devront être individuellement habilités, au sein de leurs organismes d'appartenance, à recevoir ces données.
Elle rappelle, en outre, que l'accès aux données à caractère personnel requiert la mise en œuvre de règles d'habilitation strictes et une traçabilité des accès associée à une analyse de ces traces, de sorte que les accès non autorisés puissent être identifiés,
Sur la durée de conservation des données :
L'article 4 du projet prévoit des durées de conservation distinctes en fonction des données traitées :
- les données d'identification et celles relatives à la situation de l'assuré et de son ayant droit, ainsi que les données relatives aux demandeurs et bénéficiaires de l'aide médicale d'Etat, sont conservées au plus cinq ans après la fermeture des droits à l'assurance maladie de l'assuré ou de l'ayant droit ou jusqu'à l'expiration des délais de recours en cas de contentieux ou d'affaire litigieuse ;
- les données concernant les professionnels de santé, les auxiliaires médicaux et autres prestataires de service et les données concernant les employeurs sont conservées cinq ans après la cessation de l'activité du professionnel de santé, de l'auxiliaire médical ou du prestataire de service ou jusqu'à l'expiration des délais de recours en cas de contentieux ou d'affaire litigieuse ; les données relatives à la santé des assurés sociaux et de leurs ayants droit sont conservées au maximum trois ans à partir de la date de versement. Au-delà de ce délai, elles peuvent être archivées pendant une durée maximale de dix ans dans un environnement logique séparé afin d'assurer la gestion des actions contentieuses, de la lutte contre la fraude et des recours contre tiers. L'accès à ces données est réservé aux seuls utilisateurs habilités conjointement par le médecin-conseil responsable de l'échelon local du service médical et le directeur de l'organisme ou, pour ce qui concerne le régime agricole, par le médecin-conseil chef de service du contrôle médical des caisses de mutualité sociale agricole, dans le cadre du pilotage, de la gestion du risque, du contrôle interne, du contentieux, du recours contre tiers, de la lutte contre la fraude et des activités du service médical.
La commission prend acte de ce que les durées de conservation prévues à l'article 4 du projet constituent des durées maximales. Elle estime que, pour chacun des traitements autorisés en application du présent décret, les données seront conservées pendant une durée proportionnée à la finalité poursuivie par le traitement, conformément aux dispositions des articles 6 (5°) et 36 de la loi du 16 janvier 1978 modifiée susvisée.
Elle demande que, passées les durées de conservation prévues à l'article 4 du projet, les données soient archivées sous une forme anonyme ou supprimées, et rappelle que ces opérations doivent être réalisées selon des modalités conformes aux dispositions de l'article 34 de la loi du 6 janvier 1978 modifiée.
Sur l'information des personnes concernées :
La commission prend acte de ce que l'article 6 du projet prévoit que les personnes auxquelles se rapportent les données mentionnées à l'article 2 sont informées de la mise en œuvre d'un traitement les concernant, autorisé en application de l'article 1er, de ses finalités ainsi que des modalités d'exercice de leurs droits d'accès et de rectification.
Outre l'information par voie de publication du décret au Journal officiel de la République française, elle recommande les modalités d'information suivantes, conformément à l'article 32 de la loi du 6 janvier 1978 modifiée :
- une information par voie d'affichage dans les organismes gestionnaires de régime de base de l'assurance maladie et sur leur site internet ainsi que dans les différents courriers ou courriels adressés aux personnes concernées ;
- une mention dans les livrets d'accueil des établissements susmentionnés.
Sur les droits d'accès, de rectification et d'opposition des personnes concernées :
L'article 5 du projet prévoit que les droits d'accès et de rectification prévus aux articles 39 et 40 de la loi du 6 janvier 1978 modifiée s'exercent auprès du directeur de l'organisme de rattachement des personnes concernées ou, pour le régime agricole, auprès du médecin-conseil chef du service du contrôle médical lorsque le traitement contient des informations permettant l'identification d'une pathologie d'un assuré.
La commission en prend acte.
L'article 6 du projet prévoit que le droit d'opposition prévu à l'article 38 de la loi du 6 janvier 1978 précitée ne s'applique pas aux traitements autorisés par le présent décret.
Sur la sécurité des données et la traçabilité des actions :
La commission prend acte de ce que l'article 7 du projet rappelle, d'une part, que les responsables de traitements doivent prendre « toutes les mesures nécessaires à la préservation de la sécurité des données tant à l'occasion de leur recueil que de leur consultation », conformément à l'article 34 de la loi « Informatique et libertés » et, d'autre part, qu'il appartient aux responsables de traitement d'attester de la conformité des traitements précités au référentiel général de sécurité (RGS) prévu par le décret n° 2010-112 pris pour l'application des articles 9, 10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives.
La commission observe que le dossier technique joint à la demande d'avis porte exclusivement sur la méthodologie d'intégration de la sécurité dans les projets mis en œuvre par la CNAMTS.
La commission prend acte de l'engagement du ministère, d'une part, de produire, préalablement à la mise en œuvre du traitement par les autres régimes d'AMO, la documentation technique relative à ces régimes et d'autre part, de tenir compte des observations qui seraient alors susceptibles d'être formulées par la CNIL.
La commission relève que la méthodologie appliquée par la CNAMTS est strictement cantonnée aux risques de sécurité. La commission demande dès lors que cette analyse porte également sur les risques liés à la vie privée des assurés sociaux.
La commission recommande que chacun des organismes gestionnaires des régimes obligatoires de base de l'assurance maladie développe une méthodologie lui permettant de gérer les risques d'une manière globale, et plus particulièrement les risques sur les libertés et la vie privée de leurs adhérents. Elle demande en outre que cette méthodologie lui soit transmise préalablement à la mise en œuvre des traitements.
Enfin, la commission rappelle que ces méthodologies doivent être régulièrement mises à jour, afin de prendre en compte les évolutions des technologies, et que les études de risques menées pour chacun des projets devront également être revues régulièrement afin, le cas échéant, de mettre à jour les mesures de sécurité initialement prévues.
Sur les formalités à accomplir :
L'article 8 du projet prévoit qu'en application des dispositions du IV de l'article 26 de la loi du 6 janvier 1978 susvisée le responsable de chacun des traitements de données autorisés sur le fondement du présent décret adresse à la Commission nationale de l'informatique et des libertés, préalablement à sa mise en œuvre, un engagement de conformité aux dispositions du présent décret dans les conditions fixées à l'article 8 du décret n° 2005-1309 du 20 octobre 2005.
La commission en prend acte.
Les autres points du projet n'appellent pas, en l'état et au regard de la loi du 6 janvier 1978 modifiée, d'autres observations.