Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

JORF n°0268 du 18 novembre 2016 Texte n°37 Délibération n° 2016-258 du 21 juill

JORF n°0268 du 18 novembre 2016 Texte n°37 Délibération n° 2016-258 du 21 juillet 2016 portant avis sur un projet de décret en Conseil d’État autorisant la création d’un traitement de données à caractère personnel dénommé « dossier médical partagé » (demande d’avis n° 16017107) NOR: CNIX1633222X La Commission nationale de l’informatique et des libertés, Saisie par les ministères en charge des finances et des comptes publics, des affaires sociales et de la santé, des familles, de l’enfance et des droits des femmes d’une demande d’avis concernant un projet de décret en Conseil d’État autorisant la création d’un traitement de données à caractère personnel dénommé « dossier médical partagé » ; Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ; Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ; Vu le code de la santé publique, notamment ses articles L. 1111-8-1, L. 1111-14 et suivants ; Vu le code de la sécurité sociale, notamment ses articles L. 161-28-1 et L. 162-4-3 ; Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment en son article 27 ; Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ; Vu le décret en Conseil d’État n° 2016-914 du 4 juillet 2016 relatif au dossier médical partagé ; Après avoir entendu Mme Valérie PEUGEOT, commissaire, en son rapport, et M. Jean- Alexandre SILVY, commissaire du Gouvernement, en ses observations, Émet l’avis suivant : La commission a été saisie, le 6 juillet 2016, par les ministères en charge des finances et des comptes publics, des affaires sociales et de la santé, des familles, de l’enfance et des droits des femmes, d’une demande d’avis sur un projet de décret en Conseil d’État autorisant la création d’un traitement de données·à caractère personnel dénommé « dossier médical partagé » (ci-après le « projet »). Ce projet vise à autoriser le traitement de données à caractère personnel·relatif au dossier médical partagé (ci-après le « DMP ») mis en œuvre par la Caisse nationale d’assurance maladie des travailleurs salariés (ci-après la « CNAMTS »). Il est pris en application des articles L. 1111-14 et suivants du code de la santé publique (ci-après « CSP ») tels que modifiés par l’article 96 de la loi n° 2016-41 de modernisation de notre système de santé du 26 janvier 2016. Le cadre réglementaire du DMP est fixé par le décret en Conseil d’État n° 2016-914 du 4 juillet 2016 relatif au dossier médical partagé, pris après avis de la CNIL (ci-après « le décret »). Il définit les conditions et les modalités de création et de mise en œuvre du DMP. Ce décret désigne expressément la CNAMTS comme responsable de traitement du DMP au sens de l’article 3 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après « la loi Informatique et Libertés »). Le projet soumis à la commission est pris en application de l’article 27-I (1°) de la loi du 6 janvier 1978 modifiée qui prévoit que « sont autorisés par décret en Conseil D’État, pris après motivé et publié de la Commission nationale de l’informatique et des libertés : les traitements de données à caractère personnel mis en œuvre pour le compte (…) d’une personne morale de droit public (…) qui portent sur des données parmi lesquelles figure le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques ». Le présent projet de décret consacre l’évolution du dossier médical personnel en dossier médical partagé. La commission se félicite de cette concrétisation qui permettra de relancer la mise en œuvre d’un dossier médical ayant pour objectif de favoriser la coordination des soins et d’améliorer la prise en charge des patients. La réussite du DMP tiendra également à la confiance de ses utilisateurs dans les modalités de gestion des données personnelles particulièrement sensibles qui sont concernées. Les garanties prises à cet égard pour assurer le respect de la vie privée des personnes doivent être à la hauteur des enjeux. Sur la dénomination et les finalités du traitement : Le projet d’article 1er rappelle que le DMP a pour finalités de favoriser la prévention, la coordination, la qualité et la continuité des soins. Plus précisément, il a vocation à permettre : 1° Le partage entre professionnels de santé de l’information sur un patient qu’ils prennent en charge ; 2° L’alimentation du DMP par les professionnels de santé avec les éléments diagnostiques et thérapeutiques nécessaires à la coordination des soins de la personne prise en charge, y compris les résumés des principaux éléments des séjours hospitaliers qu’elle effectue, prévus au premier alinéa de l’article L. 1111-15 du CSP ; 3° L’alimentation du DMP par les organismes d’assurance maladie avec les données issues des procédures de remboursement ou de prise en charge prévues au deuxième alinéa de l’article L. 1111-15 du CSP ; 4° Aux patients de créer eux-mêmes leur propre DMP. La commission considère que les finalités poursuivies sont déterminées, explicites et légitimes. La commission prend acte de l’engagement du ministère de préciser cet article sur l’existence d’un système d’information de pilotage visant à évaluer l’usage et le service rendus ainsi qu’à piloter le fonctionnement et la performance des systèmes mis en place. Aucune information transmise au système de pilotage ne permettra l’identification directe d’un patient. En revanche, il est prévu que les données concernant les professionnels de santé transmises au système de pilotage seront directement nominatives afin de permettre d’effectuer des enquêtes qualitatives ciblées auprès d’eux et de réaliser « un accompagnement au plus près des professionnels de santé et adapté aux problématiques des territoires ». En tout état de cause, la commission considère que cette finalité ne saurait servir au contrôle des professionnels de santé et suggère, à cet égard, que la démarche d’accompagnement des professionnels de santé demeure à l’initiative de ceux-ci. Sur la nature des données traitées : Le projet d’article 2 énumère les catégories de données à caractère personnel qui feront l’objet du traitement de la façon suivante : - l’identifiant du DMP ; - pour tous les bénéficiaires de l’assurance maladie : 1° Les données de rattachement de l’assuré à un organisme d’assurance maladie obligatoire ; 2° Les données de contact de l’assuré ; - pour tous les titulaires d’un DMP : 1° Les données énumérées à l’article R. 1111-30 du CSP comprenant notamment les données relatives à l’identité et à l’identification du titulaire ; 2° Les données de gestion relatives au DMP ; 3° Les modalités d’authentification des personnes autorisées à accéder aux données du DMP ; 4° Les données de gestion du compte internet d’accès au DMP du titulaire ; - les données nécessaires au pilotage du déploiement des DMP et au suivi de la mise en œuvre du DMP ; - les données relatives aux traces des accès, contacts et notifications, notamment les traces des accès par les professionnels de santé autorisés. S’agissant de l’identifiant du DMP visé dans le projet d’article 2, l’article L. 1111-14 du CSP prévoit qu’afin de permettre aux bénéficiaires de l’assurance maladie de disposer d’un DMP, il est créé un identifiant du DMP pour l’ensemble des bénéficiaires de l’assurance maladie. L’article R. 1111-33 du CSP issu du décret précise que cet identifiant est l’identifiant national de santé tel que mentionné à l’article L. 1111-8-1 du CSP dont la mise en œuvre est subordonnée à un décret en Conseil d’État pris après avis de la CNIL, dont la commission n’est pas saisie à ce jour. Le décret précise que, dans l’attente de la mise en œuvre de l’identifiant national de santé, le patient sera identifié par I’INS-C, actuel identifiant technique du dossier médical personnel, généré à partir du NIR et d’autres éléments d’identification qui sont les nom, prénoms et date de naissance du titulaire. A des fins de gestion de cet identifiant, la CNAMTS établit une table de correspondance entre le NIR et I’INS-C. Cette table de correspondance permettra en outre de relier le DMP aux données traitées par l’assurance maladie pour mettre en œuvre de nouveaux modes de création et d’alimentation du DMP. La commission rappelle, comme elle l’a indiqué dans sa délibération n° 010-449 du 2 décembre 2010 portant autorisation de la première phase de déploiement généralisé du dossier médical personnel, que I’INS-C ne permet pas d’apporter une garantie absolue de non-collision et d’absence de doublon et considère que l’acceptation de cette solution provisoire ne doit pas se prolonger au-delà de ce qui est nécessaire et suffisant pour mettre en place l’INS. La commission observe que si le projet précise les catégories de données à caractère personnel relatives aux titulaires uploads/Sante/ pix-delib.pdf