(Demande d'avis n°12021267)
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu le code de la sécurité sociale, notamment ses articles L.162-1-11 et R.115-1 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-I-1°;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Après avoir entendu M. Jean MASSOT commissaire, en son rapport et Mme Elisabeth ROLIN, commissaire du Gouvernement, en ses observations ;
La Commission, a été saisie le 6 juillet 2012 pour avis par le ministère du travail, de l'emploi et de la santé par le ministère des affaires sociales et de la santé, d'un projet de décret en Conseil d'État relatif à la mise en œuvre de services en santé par les organismes gestionnaires des régimes obligatoires de base de l'assurance maladie.
Ces " services en santé " ont notamment trait à la mise en œuvre de programmes de prévention et d'éducation à la santé.
Conformément à l'article 27-I-1° de la loi du 6 janvier 1978 modifiée, " sont autorisés par décret en Conseil d'État, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés " les traitements de données à caractère personnel mis en œuvre pour le compte d'une personne morale de droit public " qui portent sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques ".
Certes, les articles R.115-1 et suivants du code de la sécurité sociale prévoient d'une part que " Les organismes et administrations chargés de la gestion d'un régime obligatoire de base de sécurité sociale et, le cas échéant, les organismes habilités par la loi ou par une convention à participer à la gestion de ces régimes " sont autorisés à utiliser le NIR. Toutefois, ces dispositions précisent que " l'autorisation donnée à l'article R. 115-1 vaut exclusivement pour les traitements mis en œuvre dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 " et pour des finalités au nombre desquelles ne figurent pas les programmes de prévention et d'éducation à la santé.
Dès lors que ces traitements sont substantiellement différents de ceux qu'autorisent les dispositions règlementaires en vigueur, qui ne comprennent d'ailleurs pas toutes les mentions exigées par l'article 29 de la loi, ils doivent être autorisés par un nouveau décret en Conseil d'État.
Le projet de décret est relatif à la mise en œuvre de " services en santé " pour les organismes gestionnaires des régimes obligatoires de base de l'assurance maladie dont l'article 2 explicite le périmètre et les finalités.
L'article 3 du projet de décret prévoit que les données ou catégories de données à caractère personnel susceptibles d'être traitées sont relatives :
La Commission estime que ces données apparaissent pertinentes au regard de la finalité poursuivie.
L'article 5 du projet de décret prévoit que seuls les praticiens-conseils des organismes d'assurance maladie et les personnels placés sous leur autorité sont habilités à accéder aux données de santé identifiantes des personnes.
La Commission estime que cette limitation est conforme à la loi telle qu'elle l'a toujours interprétée.
Le projet de décret a vocation à permettre l'utilisation du NIR par les organismes d'assurance maladie obligatoire pour d'autres missions que la gestion de l'assurance maladie. Parmi ces autres missions, l'article L.162-1-11 du code de la sécurité sociale prévoit que " les caisses nationales d'assurance maladie peuvent mettre en place des programmes d'accompagnement des patients atteintes de maladies chroniques visant à leur apporter des conseils en termes d'orientation dans le système de soins et d'éducation à la santé ".
L'article 4 du projet de décret prévoit que l'adhésion aux programmes ou aux services requiert le consentement préalable de la personne éligible. A cet égard, la Commission rappelle qu'elle veille au recueil d'un consentement qui soit à la fois éclairé et explicite.
Elle estime nécessaire que le projet de décret soit complété afin que le caractère exprès du consentement soit indiqué.
L'article 6 du projet de décret prévoit que les droits d'accès, de rectification et d'opposition prévus aux articles 38 à 40 de la loi du 6 janvier 1978 modifiée s'exercent auprès du directeur de la caisse d'affiliation des personnes concernées.
La Commission en prend acte. Elle observe toutefois que si l'article 4 du projet prévoit bien un droit d'opposition dans la mesure où il est précisé que " la personne peut à tout moment retirer son adhésion ". La Commission considère que le caractère discrétionnaire du droit d'opposition doit être précisé et qu'il doit être complété d'une mention rappelant qu'il sera " sans conséquence sur les droits à remboursement ".
La Commission prend acte de ce que l'article 7 du projet de décret prévoit que les traitements mis en œuvre sur la base du décret publié sont soumis aux formalités préalables prévues par la loi du 6 janvier 1978 modifiée.
***
Les autres points du projet de décret n'appellent pas, en l'état et au regard de la loi du 6 janvier 1978 modifiée, d'autres observations de la Commission.
