La Commission nationale de l'informatique et des libertés,
Saisie par la ministre des affaires sociales, de la santé et des droits des femmes d'une demande d'avis concernant un projet d'arrêté modifiant l'arrêté du 6 février 2009 modifié portant création d'un traitement de données à caractère personnel dénommé « Répertoire partagé des professionnels de santé » (RPPS),
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de la santé publique, notamment ses articles L. 1453-1, L. 5311-1 et D. 4113-118 ;
Vu le code de la sécurité sociale, notamment ses articles R. 161-53 et R. 161-54 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-II (1°) ;
Vu la loi n° 78-753 du 17 juillet 1978 relative à la liberté d'accès aux documents administratifs et à la réutilisation des informations publiques, notamment le chapitre II relatif à la réutilisation des informations publiques ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu l'arrêté du 6 février 2009 modifié portant création d'un traitement de données à caractère personnel dénommé « Répertoire partagé des professionnels de santé » ;
Vu le dossier et ses compléments ;
Sur la proposition de M. Loïc HERVE, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,
Emet l'avis suivant :
La commission a été saisie, le 3 septembre 2015, par la ministre des affaires sociales, de la santé et des droits des femmes d'une demande d'avis concernant un projet d'arrêté modifiant l'arrêté du 6 février 2009 modifié portant création d'un traitement de données à caractère personnel dénommé « Répertoire partagé des professionnels de santé » (RPPS).
Ce projet d'arrêté (ci-après « le projet ») est pris en application de l'article D. 4113-118 du code de la santé publique.
Le RPPS est un outil d'identification unique et pérenne des professionnels de santé quel que soit leur mode d'exercice. Sa mise en œuvre est confiée à l'Agence nationale des systèmes d'information partagés de santé (ASIP Santé), en application des dispositions de l'article D. 4113-118 précité.
A ce jour, ce répertoire comporte les données d'identification des médecins, chirurgiens-dentistes, sages-femmes et pharmaciens, fournies et certifiées par leurs ordres professionnels respectifs et par le service de santé aux armées. Il a vocation à recueillir, à terme, les informations concernant l'ensemble des professionnels intervenant dans le système de santé, soumis à une obligation légale d'enregistrement du titre ou diplôme sanctionnant leur formation.
Le projet soumis à la commission a pour objet de rendre librement accessibles l'ensemble des données communicables au public, non seulement en consultation, mais également en extraction.
Afin de fiabiliser les informations figurant dans le RPPS, une consultation du répertoire national d'identification des personnes physiques (RNIPP) est nécessaire. Dans la mesure où cette consultation du RNIPP n'inclut pas le numéro d'inscription à ce répertoire, le RPPS relève des dispositions de l'article 27-II (1°) de la loi du 6 janvier 1978 modifiée (ci-après « Loi informatique et libertés »). En outre, l'article D. 4113-118 précité renvoie à un arrêté pris après avis de la CNIL la définition des caractéristiques du RPPS.
Sur les finalités du traitement :
La commission prend acte de ce que le projet ne modifie pas les finalités poursuivies par le RPPS.
Sur les catégories de données à caractère personnel enregistrées :
La commission prend acte de ce que le projet ne modifie pas les catégories de données à caractère personnel déjà enregistrées dans le RPPS.
Sur la durée de conservation des données :
La commission prend acte de ce que le projet ne modifie pas les durées de conservation des données du RPPS.
Sur la liste des données communicables au public :
L'article 5 (4°) de l'arrêté RPPS en vigueur prévoit que les données actives suivantes sont « communicables au public » :
- le numéro RPPS ;
- les noms et prénoms d'exercice ;
- la profession exercée ;
- les qualifications et titres professionnels correspondant à l'activité exercée ;
- les coordonnées des structures d'exercice ainsi que leurs identifiants FINESS et SIREN.
Cette liste de données communicables n'est pas modifiée par le projet et n'appelle pas d'observation de la part de la commission.
Sur les données librement accessibles au public :
L'article 6 de l'arrêté RPPS en vigueur prévoit que « les données communicables au public, au sens du 4° de l'article 5, sont librement accessibles en consultation et en extraction sous forme électronique par le public au moyen d'un service de communication mis en œuvre par l'organisme gestionnaire du répertoire, à l'exception des coordonnées professionnelles et des coordonnées des structures d'exercice qui ne sont accessibles qu'en consultation ».
L'article 6 du projet soumis à la commission supprime l'exception précitée et prévoit désormais que « les données communicables au public, au sens du 3° de l'article 5, sont librement accessibles en consultation et en extraction sous forme électronique par le public au moyen d'un service de communication mis en œuvre par l'organisme gestionnaire du répertoire ».
Le ministère indique qu'il souhaite rendre librement accessibles les coordonnées professionnelles et les coordonnées des structures d'exercice, non seulement en consultation, mais également en extraction.
Il précise que les acteurs, initialement réticents à l'ouverture de l'accès en extraction aux coordonnées professionnelles et à celles des structures d'exercice, n'étaient désormais plus opposés à un élargissement de l'accès à ces données.
La commission en prend acte mais relève que le nouvel article 6 vise les données communicables au public « au sens du 3° de l'article 5 ». Or, cet article 5 (3°) de l'arrêté en vigueur définit la notion d'historique des données mais ne précise pas la liste des données communicables au public. Cette liste est prévue à l'article 5 (4°) de l'arrêté en vigueur auquel il paraît plus opportun de renvoyer.
La commission prend également acte de ce que la mise à disposition en extraction des données communicables au public tend à permettre aux acteurs qui en ont besoin de vérifier plus aisément les informations utiles des professionnels, sans recourir à des fichiers de nature commerciale.
Elle estime que la modification introduite par l'article 6 du projet apparaît conforme à l'objectif poursuivi par le RPPS consistant à fournir des données d'identification fiables et à permettre la mise à disposition du public des données communicables au sens de l'article 5 (4°) de l'arrêté en vigueur.
Par ailleurs, les coordonnées de professionnels constituent des données à caractère personnel au sens de l'article 2 de la Loi informatique et libertés, y compris, comme en l'espèce, lorsqu'elles sont publiquement disponibles. La commission rappelle que les personnes concernées doivent pouvoir valablement exercer les droits qui leur sont reconnus par la loi précitée, notamment ceux prévus aux articles 38 et 39 de cette même loi.
Elle rappelle, en outre, que la réutilisation des données enregistrées dans le RPPS doit s'effectuer dans des conditions conformes au chapitre II de la loi n° 78-753 du 17 juillet 1978 portant diverses mesures d'amélioration des relations entre l'administration et le public et diverses dispositions d'ordre administratif, social et fiscal, dite loi « CADA », relatif à la réutilisation des informations publiques.
Etant donnée la modification envisagée, et par souci de clarté pour les utilisateurs, la commission suggère que le nouvel article 8 de l'arrêté RPPS précise que la rediffusion des données devra être effectuée dans des conditions conformes à la loi CADA visée par le projet.
Sur les destinataires ou catégories de destinataires habilités à recevoir communication des données :
La commission prend acte de ce que le projet ne modifie pas la nature des destinataires ou catégories de destinataires habilités à recevoir communication des données enregistrées dans le RPPS.
Sur la rediffusion des données du RPPS :
L'article 8 de l'arrêté RPPS en vigueur prévoit que « seuls les utilisateurs mentionnés du 1° au 7° de l'article 7 peuvent rediffuser :
- les données communicables au public, en consultation ;
- les autres données, à l'exclusion de celles relatives à la nationalité et aux périodes pendant lesquelles le professionnel fait l'objet d'une mesure de suspension ou d'interdiction d'exercice, en consultation et en extraction, en fonction de leurs missions.
Les utilisateurs mentionnés au 17° de l'article 7 peuvent également rediffuser les données communicables au public, en consultation, dans le cadre de l'application de l'article L. 1453-1 du code de la santé publique. »
La commission relève que l'article 8 du projet soumis à son examen complète les dispositions précitées en précisant que les utilisateurs mentionnés du 1° au 7° de l'article 7 peuvent rediffuser les données communicables au public, non seulement en consultation, mais également en extraction.
Elle prend acte de ce que cette modification résulte des modifications susmentionnées apportées à l'article 6 de l'arrêté RPPS en vigueur tendant à rendre l'ensemble des données communicables au public librement accessibles en consultation et en extraction.
En application des dispositions de l'alinéa 1er de l'article 13 de la loi CADA précitée, « les informations publiques comportant des données à caractère personnel peuvent faire l'objet d'une réutilisation dès lors que la personne intéressée y a consenti, ou si l'autorité détentrice est en mesure de les rendre anonymes ou, à défaut d'anonymisation, si une disposition législative ou réglementaire le permet ».
La commission prend acte de ce que l'arrêté RPPS en vigueur prévoit expressément la rediffusion des données enregistrées dans le RPPS.
Elle rappelle en outre, conformément aux dispositions de l'article 13, alinéa 2, de la loi CADA précitée, que la réutilisation d'informations publiques comportant des données à caractère personnel est subordonnée au respect des dispositions de la Loi informatique et libertés.
Sur l'information des personnes concernées :
La commission relève que ni l'arrêté en vigueur ni le projet ne comportent de dispositions particulières concernant l'information des personnes dont les données à caractère personnel sont traitées.
Outre l'information par voie de publication de l'arrêté au Journal officiel de la République française, le ministère a indiqué que les personnes concernées seraient informées par voie d'affichage sur les sites internet, les revues internes et les formulaires des autorités d'enregistrement des professionnels.
La commission en prend acte.
Sur les droits d'accès et de rectification des personnes concernées :
La commission prend acte de ce que le projet ne modifie pas les dispositions de l'arrêté RPPS en vigueur relatives aux droits d'accès, de rectification et d'opposition.
Sur la sécurité des données et la traçabilité des actions :
La commission prend acte de ce que le projet n'emporte aucune modification de l'architecture technique du RPPS.