Articles

Article AUTONOME (Délibération n° 2017-040 du 23 février 2017 portant avis sur un projet d'arrêté modifiant l'arrêté du 6 février 2009 modifié portant création d'un traitement de données à caractère personnel dénommé « Répertoire partagé des professionnels intervenant dans le système de santé » (demande d'avis n° 16019251))

Données brutes

Article AUTONOME (Délibération n° 2017-040 du 23 février 2017 portant avis sur un projet d'arrêté modifiant l'arrêté du 6 février 2009 modifié portant création d'un traitement de données à caractère personnel dénommé « Répertoire partagé des professionnels intervenant dans le système de santé » (demande d'avis n° 16019251))

Après avoir entendu M. Alexandre LINDEN, commissaire, en son rapport et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie, le 5 août 2016, par la ministre des affaires sociales et de la santé d'une demande d'avis concernant un projet d'arrêté modifiant l'arrêté du 6 février 2009 modifié portant création d'un traitement de données à caractère personnel dénommé " Répertoire partagé des professionnels de santé " (RPPS).
Ce projet d'arrêté (ci-après" le projet ") est pris en application de l'article D. 4113-118 du code de la santé publique qui prévoit que l'arrêté est pris après avis de la commission.
Le RPPS, en tant que référentiel, est un outil d'identification unique et pérenne des professionnels de santé, quel que soit leur mode d'exercice. Sa mise en œuvre est confiée à l'Agence nationale des systèmes d'information partagés de santé (ASIP Santé), en application des dispositions de l'article D. 4113-118 précité.
A ce jour, ce répertoire comporte les données d'identification des médecins, chirurgiens-dentistes, sages-femmes et pharmaciens, fournies et certifiées par leurs ordres professionnels respectifs et par le service de santé aux armées. Il a vocation à recueillir, à terme, les informations concernant l'ensemble des professionnels intervenant dans le système de santé, soumis à une obligation légale d'enregistrement du titre ou diplôme sanctionnant leur formation.
Le projet soumis à la commission a pour objet l'intégration au RPPS d'autres professions réglementées intervenant dans le système de santé ainsi que des autorités d'enregistrement propres à ces professions (ordres professionnels respectifs et agences régionales de santé).
Il vise également à élargir les possibilités d'utilisation des données du RPPS.
Afin de fiabiliser les informations figurant dans le RPPS, une consultation du répertoire national d'identification des personnes physiques (RNIPP) est nécessaire.
Dans la mesure où cette consultation du RNIPP n'inclut pas le numéro d'inscription à ce répertoire (NIR), le RPPS relève des dispositions de l'article 27 (II, 1°) de la loi du 6 janvier 1978 modifiée (ci-après " loi informatique et libertés ").
En outre, l'article D. 4113-118 précité renvoie à un arrêté pris après avis de la CNIL la définition des caractéristiques du RPPS.
Sur la dénomination et les finalités du traitement :
L'article 1er du projet modifie le nom du répertoire, qui devient " Répertoire partagé des professionnels intervenant dans le système de santé ", sans modification de l'acronyme RPPS. Cette modification vise à mettre en cohérence le nom du répertoire avec l'intégration au RPPS de nouvelles catégories de professionnels.
La commission en prend acte.
L'article 1er de l'arrêté du 6 février 2009 en ·vigueur (ci-après " l'arrêté RPPS en vigueur ") prévoit que le RPPS a pour finalités actuelles de :
" 1° Identifier les professionnels de santé en exercice ayant exercé ou susceptibles d'exercer.
2° Suivre l'exercice de ces professionnels. 3° Contribuer aux procédures de délivrance et de mise à jour des cartes de professionnel de santé. 4° Permettre la réalisation d'études et de recherches ainsi que la production de statistiques relatives aux professionnels répertoriés, à partir d'une base de référence anonymisée. Mettre les données librement communicables du RPPS à disposition du public au moyen d'un service de communication sous forme électronique. "
L'article 2 du projet complète ces finalités par les suivantes :

- l'identification des assistants de service social et les titulaires des titres de psychothérapeutes, psychologues, chiropracteurs ou ostéopathes, en exercice, ayant exercé ou susceptibles d'exercer ainsi que l'identification des internes en médecine, en odontologie et en pharmacie, les étudiants des professions de santé dûment autorisés à exercer à titre temporaire, ou susceptibles d'être requis ou appelés au titre de la réserve sanitaire vient compléter l'article 1er (1°) de l'arrêté RPPS en vigueur ;
- la connaissance du niveau d'études des internes et étudiants vient compléter l'article 1er (2°) de l'arrêté RPPS en vigueur ;
- la contribution aux procédures de délivrance et de mise à jour des produits de certification délivrés par l'ASIP Santé ainsi qu'aux procédures d'identification des professionnels des secteurs sanitaire, social et médico-social vient compléter l'article 1er (3°) de l'arrêté RPPS en vigueur.

La commission considère que les finalités visées aux 1°, 2°, 3° et 5° demeurent déterminées, explicites et légitimes.
Par ailleurs, s'agissant de la finalité visée au 4°, le projet d'arrêté modifie les dispositions relatives à la réalisation d'études et de recherches ainsi que la production de statistiques à partir d'une base de référence anonymisée. D'une part, la commission relève que la référence à un processus d'anonymisation a été supprimée et remplacée par " une base de référence mise à disposition sous réserve de mesures adéquates permettant d'assurer la confidentialité de l'identité des personnes ". D'autre part, le ministère a indiqué que la finalité de cette base serait de permettre de répondre à certaines demandes provenant d'utilisateurs qui ne bénéficient pas de droits d'accès aux données en accès restreint du RPPS. Il a également précisé que ces utilisations porteraient exclusivement sur des données sous forme statistique ou agrégée. La commission en prend acte.
Le ministère et l'ASIP Santé indiqueront à la commission les modalités de mise en œuvre de cette base et notamment les mesures concrètes à mettre en place pour éviter tout risque de réidentification.
Sur les catégories de données à caractère personnel enregistrées dans le RPPS :
Les données à caractère personnel déjà enregistrées dans le RPPS sont relatives :

- à l'identification et l'identité des professionnels intervenant dans le système de santé ;
- aux diplômes ou " attestations en tenant lieu " (attestations propres à des titres de formation à l'étranger) et autorisations liés à l'exercice professionnel ;
- à l'exercice de la profession (profession, inscription à l'ordre pour les professions concernées, coordonnées de correspondance, dates de début et de fin des périodes pendant lesquelles le professionnel fait l'objet d'une mesure de suspension ou d'interdiction d'exercice, langues étrangères) ;
- aux qualifications titres et exercices professionnels particuliers (intitulé, date de reconnaissance, date d'abandon) ;
- aux activités et structures d'exercice - notamment les coordonnées professionnelles ou les coordonnées des structures d'exercice ;
- à la carte de professionnel de santé (type de carte, numéro, période de validité, date d'opposition).

L'article 3 du projet élargit le périmètre des professionnels concernés par la collecte et le traitement des données aux professions suivantes :

- les professionnels paramédicaux (masseurs-kinésithérapeutes, pédicures­ podologues, infirmiers, ergothérapeutes, psychomotriciens, orthophonistes, orthoptistes, manipulateurs d'électroradiologie médicale, techniciens de laboratoire médical, audioprothésistes, opticiens-lunetiers, prothésistes et orthésistes pour l'appareillage des personnes handicapées, diététiciens) ;
- les professions et activités telles qu'identifiées à l'article 2 du projet d'arrêté.

S'agissant des étudiants et internes et par analogie avec les professionnels en exercice, l'article 3 (2°) du projet ajoute le niveau d'études à la liste des données enregistrées dans le répertoire. Le ministère précise que l'enregistrement du niveau d'étude est justifié dans certaines situations par l'octroi d'autorisations de remplacement des étudiants fondées sur un niveau d'études fixé par la réglementation en vigueur.
La commission prend acte de ce que le projet d'arrêté définit " les données de correspondance " comme étant les coordonnées personnelles ou professionnelles du professionnel et que ce dernier disposera du choix de communiquer l'une ou l'autre de ces données, lesquelles ne relèvent pas des données en libre accès visées à l'article 5 du projet.
La commission considère que les données enregistrées dans le RPPS telles que prévues par le présent arrêté sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie, conformément aux dispositions de l'article 6 (3°) de la loi " informatique et libertés ".
Sur la liste des données en libre accès :
Le projet (art. 5 [3°]) substitue la référence aux " données communicables au public " par celle de " données en libre accès " et complète la liste actuelle de ces données par les suivantes :

- la catégorie de professionnel ;
- le mode d'exercice ;
- les diplômes.

Elles viennent ainsi se rajouter à celles prévues par l'arrêté RPPS en vigueur :

- le numéro RPPS ;
- les noms et prénoms d'exercice ;
- la profession exercée ;
- les qualifications et titres professionnels correspondant à l'activité exercée ;
- les coordonnées des structures d'exercice ainsi que leurs identifiants FINNESS et SIREN.

La commission en prend acte et relève que l'ajout des diplômes à la liste des données en libre accès résulte d'une concertation avec des représentants des acteurs concernés.
Sur les destinataires ou catégories de destinataires habilités à recevoir communication des données :
L'article 7 de l'arrêté RPPS en vigueur recense dix-sept catégories d'utilisateurs, pour lesquels l'annexe 2 de l'arrêté précité précise les habilitations d'accès aux données au travers de dix-huit profils. Le ministère indique que ces profils sont construits sur des différences d'habilitations fondées sur deux distinctions principales entre catégories de données actives et historisées, d'une part, et données accessibles en consultation et en extraction, d'autre part. Une différence d'habilitations existe en outre à l'égard des données relatives à la nationalité et aux sanctions temporaires ou définitives prononcées à l'encontre des professionnels.
La commission prend acte de ce que l'article 7 du projet tend à faciliter la lisibilité de l'article. Cet article énumère seize catégories de destinataires des données habilités en fonction de profils déterminés de la manière suivante :
" Profil 1 : données actives et données historisées en consultation et en extraction ;
Profil 2 : données actives et données historisées en consultation et en extraction à l'exception des données relatives aux sanctions et à la nationalité ;
Profil 3 : données actives en consultation et en extraction ;
Profil 4 : données actives en consultation et en extraction à l'exception des données relatives aux sanctions et à la nationalité. "
Elle relève que l'ASIP Santé, en sa qualité de responsable de traitement, s'assure par une procédure de gestion des demandes d'accès que seules les personnes habilitées accèdent aux données contenues dans le RPPS dans le respect des règles de fonctionnement de ce répertoire.
La commission relève que le projet d'arrêté complète la liste des destinataires par les suivants :

- conseils des ordres professionnels des masseurs-kinésithérapeutes, pédicures­ podologues et infirmiers ;
- établissements publics à caractère administratif de ressort national, amenés à devoir connaître dans l'exercice de leurs missions, des conditions d'exercice des professionnels.

S'agissant des conseils des ordres professionnels, la commission prend acte de ce que cet ajout résulte de l'intégration au RPPS d'autres professions réglementées intervenant dans le système de santé ainsi que des autorités d'enregistrement propres à ces professions.
S'agissant des établissements publics à caractère administratif de ressort national, le ministère a précisé que, dans le cadre de la gestion des demandes d'accès aux données en accès restreint du RPPS, l'ASIP Santé est confrontée à des demandes d'usagers qui ne correspondent parfois pas aux droits d'accès qui leur sont reconnus par l'arrêté.
La commission prend acte de ce que ces destinataires auront accès aux données correspondant au profil 2 uniquement dans le cadre de l'exercice de leurs missions.
Elle prend également acte de ce que le ministère a indiqué que les personnes demandant un accès s'engagent, au travers du formulaire qu'elles remplissent, à utiliser les données conformément aux finalités listées par l'arrêté et à la charte d'utilisation qui est systématiquement annexée.
L'article 7 du projet retire les hébergeurs de données de santé à caractère personnel agréés et les éditeurs et imprimeurs d'ordonnance mentionnés à l'article R. 5132-5 du code de la santé publique de la liste des destinataires. Le ministère a indiqué que ce retrait résulte de la modification de l'arrêté autorisant les extractions de coordonnées des structures d'exercice par le grand public. Dès lors, les droits des hébergeurs de données de santé et éditeurs et imprimeurs d'ordonnances sont les mêmes que ceux du grand public. Cette catégorie n'a plus lieu d'être mentionnée dans l'arrêté.
La commission prend acte de ce que ces modalités d'accès aux données résultent d'une concertation avec des représentants des acteurs du RPPS et estime que les modifications apportées par l'article 7 du projet n'appellent pas d'observation particulière, dès lors que les accès demeurent restreints, au sein des organismes participant à la mise en place et à l'alimentation du RPPS, aux services et structures qui y sont habilités dans le cadre de l'exercice de leurs missions.
Sur la rediffusion des données du RPPS :
L'article 8 de l'arrêté RPPS en vigueur prévoit que " Seuls les utilisateurs mentionnés du 1° au 7° de l'article 7 peuvent rediffuser :

- les données communicables au public en consultation et en extraction ;
- les autres données à l'exclusion de celles relatives à la nationalité et aux périodes pendant lesquelles le professionnel fait l'objet d'une mesure de suspension ou d'interdiction d'exercice en consultation et en extraction, en fonction de leurs missions.

Les utilisateurs mentionnés au 17° de l'article 7 peuvent également rediffuser les données communicables au public ; en consultation, dans le cadre de l'application de l'article L. 1453-1 du code de la santé publique.
La réutilisation des données doit s'effectuer dans des conditions conformes au chapitre II de la loi n° 78-753 du 17 juillet 1978 susvisée. "
La liste des personnes autorisées à rediffuser les données du RPPS est aujourd'hui restreinte aux autorités et agences publiques ou parapubliques, nationales ou ayant une mission d'intérêt général (catégories 1 à 7 de l'article 7 de l'arrêté).
La commission relève que l'article 8 du projet soumis à son examen complète les dispositions précitées en prévoyant que les utilisateurs mentionnés du 1° au 7° de l'article 7 peuvent autoriser les autres utilisateurs mentionnés à l'article 7 à rediffuser tout ou partie des données en libre accès et en accès restreint.
Elle observe que le projet prévoit que cette autorisation de rediffusion soit encadrée par une convention-type conforme à celle qui sera publiée par l'ASIP Santé. Le ministère précise que cette convention encadrera les catégories de données rediffusées, les finalités de la rediffusion, la durée d'autorisation et prévoit de fortes garanties, notamment en termes de modalités de rediffusion (qualité des données, sécurité, etc.).
Ainsi, la commission prend acte de ce que le projet élargit la possibilité de rediffusion des données du RPPS aux utilisateurs mentionnés du 8° au 16° de l'article 7 uniquement dans le cadre d'une convention encadrant les modalités de rediffusion, passée avec un des utilisateurs mentionnés du 1° au 7° de l'article susvisé, seuls habilités à les y autoriser. Cette rediffusion s'effectue dans des conditions conformes aux dispositions du titre II du livre III du code des relations entre le public et l'administration.
Sur l'information des personnes concernées :
La commission relève que ni l'arrêté en vigueur ni le projet ne comportent de dispositions particulières concernant l'information des personnes dont les données à caractère personnel sont traitées.
Outre l'information par voie de publication de l'arrêté au Journal officiel de la République française, le ministère a indiqué que les personnes concernées seraient informées par voie d'affichage sur les sites web, les revues internes et les formulaires des autorités d'enregistrement des professionnels.
La commission en prend acte.
Sur les droits d'accès et de rectification des personnes concernées :
L'article 11 du projet ne modifie pas les dispositions de l'arrêté RPPS en vigueur et prévoit que les droits d'accès et de rectification des données prévus aux articles 39 et 40 de la loi" informatique et libertés "s'exercent auprès des organismes et autorités mentionnés à l'article D. 4113-116 et à l'article D. 4221-22 du code de la santé publique, pour les données qu'ils recueillent ou qu'ils produisent.
La commission prend acte de la mise en place de guichets uniques chargés de l'enregistrement de toutes les informations concernant les professionnels intervenant dans le système de santé : les ordres pour les professionnels à ordre, le service de santé des armées pour les professionnels relevant du statut militaire et les services concernés de l'Etat pour les autres professions. Chaque professionnel peut consulter ou faire corriger les données le concernant en s'adressant au " guichet unique " auquel il est rattaché.
S'agissant du droit d'opposition des personnes concernées, le projet d'arrêté ne modifie pas l'article 10 de l'arrêté RPPS en vigueur qui prévoit que :
" Conformément aux dispositions de la loi du 6 janvier 1978 susvisée, le droit d'opposition ne s'applique pas aux dispositions des articles 1er à 3 de l'article 5, de l'article 7 et de l'article 9 du présent arrêté. "
S'agissant de la réutilisation des données, la commission rappelle qu'elle a à connaître de nombreuses plaintes de professionnels ne parvenant pas à obtenir la suppression de données les concernant figurant dans des annuaires ou registres publics (délibération n° 2014-041 du 29 janvier 2014 précitée).
Elle relève que le Conseil d'Etat a, dans sa décision rejetant le recours de l'association (Conseil d'Etat, 10e SSJS, 11 avril 2014, n° 348111, aff. JURICOM & ASSOCIES), considéré que " le nom et les coordonnées des personnes physiques, telles que leur adresse et leurs numéros de téléphone, constituent des informations relatives à une personne physique identifiée et, par suite, des données à caractère personnel au sens des dispositions de la loi du 6 janvier 1978 " et que " la circonstance qu'il s'agisse des coordonnées professionnelles des personnes physiques en cause est sans incidence à cet égard ".
La commission rappelle enfin que le fait que certaines données enregistrées dans le RPPS soient rendues librement accessibles sur l'internet ou rediffusables ne fait pas obstacle au droit des professionnels d'obtenir leur rectification ou leur effacement, conformément à l'article 38 de la loi " informatique et libertés ", ou de s'opposer, pour des motifs légitimes, à ce que des données à caractère personnelles concernant fassent l'objet d'un traitement, conformément à l'article 39 de la loi " informatique et libertés. "
Ainsi, s'agissant d'une obligation réglementaire, le droit d'opposition pour motifs légitimes ne s'applique pas à l'enregistrement des données dans le RPPS. Il ne s'applique qu'à la rediffusion de ces données.
Sur la sécurité des données et la traçabilité des actions :
Le traitement mis en œuvre consiste en un répertoire accessible par service web.
Les transmissions entre les systèmes d'information des différents partenaires et les services offerts par le répertoire sont sécurisées au moyen du protocole HTTPS.
Le projet supprime l'annexe 1 de l'arrêté en vigueur intitulé " Procédures à l'issue desquelles sont générés les flux de données en vue de l'implémentation du RPPS ". Le ministère indique, d'une part, que ces procédures sont désormais décrites dans le contrat conclu entre l'ASIP Santé et chaque autorité d'enregistrement et, d'autre part, que les modifications apportées n'auront aucun impact sur les formats techniques d'échange de données avec les organismes qui accèdent au RPPS et sur les applications qui communiquent avec le RPPS.
La commission en prend acte.
Le répertoire est hébergé sur un site présentant des garanties de sécurité physiques satisfaisantes.
Le réseau informatique supportant le répertoire est bâti à partir d'une architecture moderne mettant notamment en œuvre un cloisonnement du réseau, et intègre des moyens de sécurité permettant de limiter les risques d'accès illégitimes.
Les mécanismes d'authentification des informations au moyen de certificats s'appuient sur l'infrastructure de gestion de clés (IGC) du GIP " CPS ", laquelle répond aux exigences de sécurité ainsi que les informations disponibles sur le site http://esante.gouv.fr/services/espace-cps/les-certificats-cps l'attestent.
Les personnels en charge du répertoire sont authentifiés au moyen d'une authentification forte en accès distant.
Les accès en local sont authentifiés au moyen d'un couple identifiant et mot de passe, dont la politique de gestion répond aux recommandations de la commission.
Les informations sont enregistrées dans des formats ouverts, ce qui garantit la pérennité des données lors de futures migrations techniques.
Toutes les actions aux serveurs sont journalisées, afin notamment de tracer les modifications du répertoire. Cette traçabilité garantit la fiabilité des informations du répertoire relativement à celles présentes dans les systèmes d'information des partenaires chargés d'alimenter ce répertoire.
Les autres modifications apportées par le projet n'appellent pas, en l'état et au regard de la loi " informatique et libertés ", d'autres observations.