Après avoir entendu M. Alexandre LINDEN, commissaire, en son rapport et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La ministre des affaires sociales, de la santé et des droits des femmes a saisi la commission, le 18 décembre 2014, d'une demande d'avis portant sur un projet de décret en Conseil d'Etat relatif aux modalités de mise en œuvre des études nationales de coûts en établissements d'hébergement pour personnes âgées dépendantes prévues au 11° de l'article L. 14-10-1 et au deuxième alinéa de l'article L. 312-9 du code de l'action sociale et des familles (CASF).
Ce projet de décret (ci-après « le projet ») vise à définir les modalités de mise en œuvre d'études nationales de coûts (ENC) en établissements d'hébergement pour personnes âgées dépendantes (EHPAD) mentionnés au 6° du I de l'article L. 312-1 du CASF.
Il vise également à autoriser la mise en œuvre par l'Agence technique de l'information sur l'hospitalisation (ATIH) d'un traitement de données pour la réalisation des ENC.
Ce traitement portant sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques ou « NIR », mis en œuvre pour le compte de l'ATIH, relève à ce titre d'un décret en Conseil d'Etat, pris après avis motivé et publié de la CNIL, en application des dispositions de l'article 27-1 (1°) de la loi du 6 janvier 1978 modifiée, dite « loi informatique et libertés ».
Présentation des études nationales des coûts (ENC) en EHPAD :
Les ENC s'inscrivent dans le cadre de la simplification et la modernisation de la tarification des EHPAD.
Elles tendent à permettre une connaissance approfondie de la formation des coûts dans les EHPAD, d'une part, et à produire un référentiel de coûts par typologie de résidents, d'autre part.
L'article ler du projet de décret entend insérer après l'article R. 314-186 du CASF en vigueur un point 5 bis intitulé « Modalités de mise en œuvre des études de coûts en établissements d'hébergement pour personnes âgées dépendantes » et comportant deux projets d'articles R. 314-186-1 et R. 314-186-2.
Le projet d'article R. 314-186-1 précité prévoit notamment que les ENC en EHPAD sont réalisées par l'ATIH auprès d'un échantillon d'établissements volontaires.
Il précise en outre les différentes sources de données nécessaires à la réalisation des ENC en EHPAD :
« Pour mener ces études, l'Agence technique de l'information sur l'hospitalisation recueille :
- auprès des établissements participant aux études, les données telles que précisées au III de l'article R. 314-186-2, ainsi que les données comptables ;
- auprès de la Caisse nationale d'assurance maladie des travailleurs salariés, les données relatives à l'activité des professionnels de santé libéraux, à la consommation en dispositifs médicaux et en médicaments par résident ainsi que les dates d'entrées et de sorties des résidents ;
- auprès de la Caisse nationale de solidarité pour l'autonomie, les données relatives au statut juridique des établissements, à leur capacité et au montant des financements qui leur sont accordés par les agences régionales de santé. »
La commission prend acte de ce qu'une convention établie entre, d'une part, chaque EHPAD participant à une ENC et, d'autre part, l'agence régionale de santé (ARS) concernée et l'ATIH fixera les conditions de la participation des établissements à une ENC, notamment les conditions de fourniture à l'ATIH des données caractérisant les résidents pris en charge et les données comptables relatives à l'année d'activité visée par l'étude. Pour ce faire, les établissements participants devront respecter les règles décrites dans un document intitulé Guide méthodologique ENC EHPAD,annexé à la convention précitée.
Elle relève enfin qu'une première ENC sera réalisée sur des données relatives à l'année 2015. Elle sera ensuite reconduite sur plusieurs années afin d'établir et de consolider un référentiel de coûts. A cet égard, la commission souhaite qu'une analyse des risques présentés par le traitement prévu dans les cadre des études ultérieures soit réalisée (cette analyse devra notamment couvrir les risques que peut présenter le traitement sur les libertés et la vie privée des personnes). Elle demande en outre que les résultats de cette analyse des risques lui soient transmis, préalablement à la reconduction de l'étude sur les données relatives à l'année 2015.
Sur la responsabilité du traitement :
Le projet de décret prévoit d'ajouter aux dispositions du CASF un article R. 314-186-2, dont le I est ainsi rédigé :
« Pour réaliser les études prévues à l'article R. 314-186-1, l'Agence technique de l'information sur l'hospitalisation est autorisée à mettre en œuvre un traitement automatisé de données ».
La commission relève qu'en application du 11° du I de l'article L. 14-10-1 du CASF précité la Caisse nationale de solidarité pour l'autonomie (CNSA) a pour mission notamment « de réaliser, dans des conditions fixées par voie réglementaire, une étude relative à l'analyse des différents coûts de revient et tarifs des établissements et services mentionnés à l'article L. 312-1 et relevant de sa compétence, sur la base des données qu'ils lui transmettent ainsi que le prévoit l'article L. 312-9. »
Sans se prononcer sur la légalité de la délégation à l'ATIH de la réalisation des ENC précitées, la commission demande, en application de l'article 3 de la loi informatique et libertés, que l'ATIH soit expressément désignée en qualité de responsable du traitement visé par le présent projet de décret.
Sur la dénomination et la finalité du traitement :
Le I du projet d'article R. 314-186-2 précité prévoit que le traitement doit permettre « l'analyse des coûts supportés par les établissements d'hébergement pour personnes âgées dépendantes mentionnées au 6° du I de l'article L. 312-1 par typologie de résidents à partir des données listées au III du présent article ».
Le ministère a précisé que la conduite d'études sur les coûts doit permettre de mieux objectiver le financement des EHPAD par la publication de référentiels de coûts et à terme de simplifier les modalités de financement de ces établissements aujourd'hui particulièrement complexes puisque reposant sur trois financeurs : la personne âgée ou sa famille, les départements et les agences régionales de santé (ARS). Ces études permettraient également d'alimenter les réflexions sur la réduction du reste à charge pour les personnes hébergées en identifiant les leviers d'efficience.
La commission considère que la finalité poursuivie par ce traitement est déterminée, explicite et légitime.
Elle demande, en application de l'article 29 (1°) de la loi informatique et libertés, que la dénomination du traitement soit précisée.
Sur la nature des données traitées :
Les données traitées dans le cadre des ENC concernent les résidents accueillis en EHPAD en hébergement permanent ou temporaire dans les établissements concernés.
Le III du projet d'article R. 314-186-2 précité prévoit le traitement des données ou catégories de données à caractère personnel suivantes :
« 1° Les données de la grille nationale mentionnée à l'article R. 232-3 et figurant à l'annexe 2-1 ;
2° Les données du référentiel mentionné au III de l'article 46 de la loi n° 2005-1579 du 19 décembre 2005 de financement de la sécurité sociale pour 2006, avec la mention, pour les résidents associés au profil de soins : “équilibration et surveillance rapprochée”, s'il s'agit d'une affection au long cours ;
3° Le numéro anonyme du résident, généré à partir de son numéro d'inscription au répertoire national d'identification des personnes physiques (NIR), sa date de naissance et son sexe ;
4° L'unité de prise en charge du résident au sein de l'établissement : pôle d'activité et de soins adaptés, unité d'hébergement renforcé, unité de vie protégée ou autre ;
5° Pour chaque résident, les hospitalisations supérieures à 48 heures en médecine-chirurgie, en psychiatrie ou en soins de suite et de réadaptation, en précisant le caractère programmé ou non programmé de cette hospitalisation ;
6° Pour chaque résident, le recours à un service d'hospitalisation à domicile et les motifs de recours, le cas échéant ;
7° Pour chaque résident, le recours à des séances ou prestations de masseur-kinésithérapeute, de psychomotricien et d'ergothérapeute ;
8° Le décès éventuel du résident depuis la dernière évaluation de la perte d'autonomie des personnes hébergées dans l'établissement et l'évaluation de leurs besoins en soins ;
9° Le recueil du temps de travail des infirmiers, aides-soignants et agents de service auprès de chaque résident sur une semaine type ;
10° Le sexe et l'âge du résident ;
11° Le type d'alimentation du résident. »
La commission relève que le dispositif mis en place dans les EHPAD participant à une ENC repose sur un recueil d'informations fournies par les référentiels existants, mentionnés respectivement au 2° du III du projet d'article R. 314-186-2 précité, qui sont les plus susceptibles d'influer sur le coût de prise en charge en EHPAD :
- les données issues de la grille « autonomie gérontologie groupe iso-ressources » (grille AGGIR) permettant d'évaluer le degré d'autonomie d'une personne (cohérence, orientation, toilette, habillage, alimentation, élimination déplacements, communication à distance qui indiquent le degré de perte d'autonomie d'une personne à travers six nomenclatures), dont les caractéristiques sont définies par les articles L. 232-2 et R. 232-3 du CASF ;
- les données issues du référentiel PATHOS permettant d'identifier une pathologie (qui propose une nomenclature des différentes natures de pathologies observées), dont les caractéristiques sont définies par les articles L. 314-9 et R. 314-170-4 du CASF.
Le ministère précise que les ENS nécessitent le recueil de données complémentaires de caractérisation des résidents (notamment leur mode d'hébergement, âge, mode de prise en charge spécifique, modalités particulières d'hospitalisation, alimentation) et de données de quantification du temps de travail des personnels de l'EHPAD (type de personnel, type d'activité effectuée, nombre de résidents concernés par cette activité, temps consacré à l'activité) auprès de chaque résident sur une semaine type conformément au guide méthodologique précité.
Il précise également que les données individuelles des résidents en EHPAD transmises par les établissements participants nécessitent d'être appariées à leurs données de consommation de soins issues du Système national d'information interrégimes de l'assurance maladie (SNIIRAM) ainsi qu'à leurs mouvements au cours de l'année étudiée.
A cette fin, l'utilisation du NIR, associé à la date de naissance et au sexe du résident concerné, est nécessaire pour construire, par le procédé sécurisé dénommé FOIN (« fonction d'occultation des informations nominatives »), le numéro pseudonyme de chaînage avec les données du SNIIRAM.
La commission estime que ces données sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie, conformément aux dispositions de l'article 6 (3°) de la loi informatique et libertés.
Sur les modalités de collecte des données :
La commission relève que le IV du projet d'article R. 314-186-2 précité prévoit que « les informations mentionnées au III sont recueillies par les personnes habilitées au sein des établissements. Seuls sont habilités à enregistrer, conserver, modifier ou traiter les données de santé nominatives incluses dans le traitement automatisé, dans les limites de leurs missions et de leurs compétences, le médecin coordonnateur de l'EHPAD et le médecin chargé de la validation des évaluations de la perte d'autonomie et des besoins en soins des personnes hébergées dans chaque établissement mentionnés au quatrième alinéa de l'article L. 314-9. »
Elle demande, dès lors que le présent traitement ne nécessite pas le traitement de données nominatives concernant les résidents en EHPAD, que le IV du projet d'article R. 314-186-2 précité soit modifié afin de préciser que « seuls sont habilités à accéder ou extraire les données de santé à caractère personnel enregistrées dans le présent traitement dans les limites de leurs missions et de leurs compétences le médecin coordonnateur de l'EHPAD et le médecin chargé de la validation des évaluation de la perte d'autonomie et des besoins en soins des personnes hébergées dans chaque établissement mentionnés au quatrième alinéa de l'article L. 314-9. »
La commission relève en outre qu'en application du VI du projet d'article R. 314-186-2 précité les données des EHPAD seront transmises trimestriellement, après leur pseudonymisation, sur une plate-forme spécifique, dénommée « eENC-EHPAD » et mise à la disposition des EHPAD par l'ATIH pour satisfaire aux finalités des études.
Une fois les données télétransmises, l'utilisateur habilité au sein de l'EHPAD génère la production d'un certain nombre de tableaux permettant le contrôle qualité des données puis, si les informations transmises sont de bonne qualité, valide sa transmission sur la plate-forme ATIH.
L'ATIH fournit aux établissements participants un logiciel dénommé « MAGIC-EHPAD » qui permet d'appliquer la première étape de la fonction de hachage FOIN (FOIN1) sur un fichier de variables identifiantes fournies par les EHPAD et nécessaires à la production du numéro de chaînage avec les données du SNIIRAM (NIR, date de naissance et sexe).
Les établissements participants transmettent ensuite les données nécessaires à la réalisation de l'étude sur la plate-forme eENC-EHPAD précitée. Au moment de la réception des données sur cette plate-forme, une deuxième procédure d'indexation est opérée : le numéro séquentiel du résident, utilisé dans l'établissement qui le prend en charge, est réindexé et le numéro FOIN1 précité subit un second hachage et est transformé en un numéro FOIN2 permettant par la suite le chaînage avec les données du SNIIRAM.
La Commission relève que les extractions du SNIIRAM seront réalisées par la Caisse nationale d'assurance maladie des travailleurs salariés (CNAMTS), sur la base des numéros FOIN2 précités. Elle note ainsi que le NIR des résidents en EHPAD ne sera pas transmis à la CNAMTS.
La commission relève, par ailleurs, que les ENC nécessitent la constitution, à partir des données du SNIIRAM, d'un échantillon ad hoc, différent de l'échantillon généraliste des bénéficiaires (EGB).
Elle prend acte de ce que l'ensemble des données transmises par la CNAMTS dans le cadre d'une ENC est traité exclusivement par l'ATIH.
Sur les droits des personnes :
Sur l'information des personnes :
La commission relève que le V du projet d'article R. 314-186-2 prévoit simplement que les résidents des établissements concernés sont tenus informés du recueil de données les concernant.
Le ministère a toutefois précisé que la convention précitée rappelle aux EHPAD participant à une ENC leur obligation d'informer individuellement et par tout moyen utile leurs résidents du recueil de données les concernant.
La commission en prend acte et rappelle que les personnes doivent être informées dans des conditions conformes à l'article 32 de la loi informatique et libertés.
Sur les droits d'accès, de rectification et d'opposition des personnes :
Le V du projet d'article R. 314-186-2 prévoit que les résidents des établissements participant à l'ENC « exercent leurs droits d'accès et de rectification auprès du directeur de l'établissement », conformément à l'article 39 de la loi informatique et libertés.
Le V du projet d'article R. 314-186-2 précité précise en outre que les résidents des établissements concernés peuvent exercer leur droit d'opposition auprès du directeur d'établissement.
La commission relève que les données relatives aux résidents des établissements participant à I'ENC seront recueillies par l'EHPAD puis pseudonymisées avant leur transmission à l'ATIH. La commission relève que la convention signée entre chaque EHPAD et la CNSA rappelle qu'il est de la responsabilité de chaque EHPAD de garantir l'exercice effectif des droits reconnus par les articles 38 et 39 de la loi informatique et libertés.
Au regard des éléments qui précèdent, la commission considère que les droits des personnes sont effectivement garantis.
Sur les destinataires des données :
Le VI du projet d'article R. 314-186-2 précité prévoit qu'après leur pseudonymisation les informations mentionnées au III sont transmises trimestriellement sur une plate-forme spécifique à l'Agence technique de l'information sur l'hospitalisation (ATIH) par le directeur de l'établissement pour satisfaire aux finalités mentionnées au II du présent article.
Les données transmises chaque trimestre seront accessibles par une équipe de superviseurs missionnée par l'ATIH pour garantir la qualité et l'exhaustivité des données. La plate-forme de l'ATIH ne permet pas aux superviseurs d'accéder aux fichiers transmis par un EHPAD. Ces derniers n'accèdent qu'à des tableaux de contrôle fournissant des indicateurs agrégés.
La commission relève qu'en application de l'article L. 314-9 du CASF « l'évaluation de la perte d'autonomie des résidents de chaque établissement réalisée à l'aide de la grille nationale mentionnée à l'article L. 232-2 est transmise, pour contrôle et validation, à un médecin appartenant à une équipe médico-sociale du département et à un médecin de l'agence régionale de santé territorialement compétente désigné par le directeur général de l'agence régionale de santé ».
Les médecins des agences régionales de santé (ARS), en charge du contrôle de la validité des données, auront accès à partir de la plate-forme eENC-EHPAD aux données issues des référentiels AGGIR et PATHOS transmises par les établissements de leur région. Une fois le contrôle réalisé sur site par les médecins des ARS, les établissements devront modifier leurs données et les retransmettre sur la plate-forme de l'ATIH. Les médecins valideurs de l'ARS procéderont ensuite à la validation des données en collaboration avec l'équipe de superviseurs.
La commission prend acte de ce que l'ensemble des données transmises par les EHPAD participant à l'ENC sont recueillies et conservées par l'ATIH.
Les données issues des référentiels AGGIR et PATHOS produites par les logiciels de soins des EHPAD seront transmises à la CNSA sur une plate-forme sécurisée dénommée « GALAAD » (gérontologie, approche logistique pour une aide à l'analyse et à la décision) conçue pour analyser le système d'offres de services et de soins pour personnes âgées en EHPAD (délibération n° 2013-268 du 19 septembre 2013).
Ces destinataires n'appellent pas d'observations particulières. La commission rappelle que ces derniers doivent être assujettis à des engagements de confidentialité.
Sur la durée de conservation des données :
Le VII du projet d'article R. 314-186-2 précité prévoit que les données traitées dans le cadre des ENC seront conservées pendant deux ans par l'établissement et dix ans par l'ATIH.
La commission prend acte de ce que la conservation des données pendant dix ans par l'ATIH tend à permettre l'analyse des variations de coûts dans le temps.
Elle demande que les dispositions du VII du projet d'article R. 314-186-2 précité soient complétées afin de préciser le point de départ des délais de conservation susmentionnés (début ou fin de la collecte d'informations pour une année étudiée).
Sur la sécurité des données et la traçabilité des actions :
La commission rappelle qu'en application de l'article 34 de la loi informatique et libertés le responsable du traitement doit prendre toutes précautions utiles pour préserver la sécurité des données et, notamment, empêcher qu'elles ne soient déformées ou endommagées ou que des tiers non autorisés y aient accès.
Afin de recueillir les données nécessaires aux ENC, l'ATIH fournit deux logiciels aux EHPAD (MAGIC-EHPAD et RAMSECE). Ces logiciels ont pour fonction de permettre le recueil des données tout en garantissant l'absence de lien direct avec l'identité de la personne concernée par la production d'un numéro pseudonyme de chaînage (procédure FOIN1).
Lors de la réception des données transmises par les EHPAD concernés sur la plate-forme eENC-EHPAD susmentionnée, une procédure FOIN est appliquée une seconde fois sur les numéros FOIN1 afin de produire un numéro de chaînage FOIN2 permettant la liaison des données individuelles par la CNAMTS avec celles issues du SNIIRAM.
Les données des EHPAD reçues par l'ATIH sont étudiées dans leur ensemble sous forme de tableaux par une équipe de superviseurs afin d'en garantir la qualité et l'exhaustivité. Les superviseurs n'ont alors accès à aucune donnée de chaînage ou d'indexation.
La commission relève que les liaisons permettant la transmission trimestrielle des données entre les EHPAD et l'ATIH ainsi que les échanges de données entre l'ATIH et la CNAMTS sont sécurisées par la mise en œuvre des protocoles https et ftps.
Elle relève, toutefois, que les données de santé ne sont pas conservées chiffrées. Elle estime, à cet égard, qu'un chiffrement conforme à l'état de l'art doit être mis en place conformément à ses recommandations, afin que les administrateurs ne soient pas en mesure d'accéder aux données en clair lors de la maintenance des systèmes et afin d'éviter que les données ne soient lues en cas de vol du matériel. Cette recommandation est également valable concernant les sauvegardes effectuées et leur externalisation par les ARS.
Des profils d'habilitation sont définis. S'agissant de l'authentification/identification des personnes habilitées, la commission rappelle qu'elle recommande l'utilisation de mots de passe de huit caractères minimum avec des caractères de types différents (majuscules, minuscules, chiffres, caractères spéciaux) et un renouvellement régulier (par exemple tous les trois mois) pour les usagers ayant accès au traitement. S'agissant de l'authentification/identification des administrateurs, la commission rappelle qu'elle recommande l'utilisation de mots de passe de dix caractères minimum.
Une traçabilité des accès à l'application est mise en œuvre. A ce titre, les informations collectées sont un horodatage de connexion ainsi que l'adresse IP de l'ordinateur accédant à l'application.
Sous réserve des précédentes observations, les mesures de sécurité mises en œuvre par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi informatique et libertés.
La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.