• Home  / 
  • DELIBERATION 2008-487

DELIBERATION 2008-487

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l’informatique et des libertés,
Saisie par le Conseil national de l’Ordre des pharmaciens (CNOP) le 28 août 2008, d’un bilan des résultats de l’expérimentation du dossier pharmaceutique présenté à l’appui d’une demande tendant à la mise en place généralisée du dossier pharmaceutique ;
Vu la convention n°108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée en 2004, notamment ses articles 8-IV et 25-I, 1° ;
Vu la loi n°2007-127 du 30 janvier 2007 ratifiant l’ordonnance n° 2005-1040 du 26 août 2005 relative à l’organisation de certaines professions de santé et à la répression de l’usurpation de titres et de l’exercice illégal de ces professions et modifiant le code de la santé publique et notamment son article 25-IV ;
Vu le code de la santé publique et notamment les articles L. 1111-8, L.1111-8-1 et L. 4231-2 ;
Vu l’article L. 161-36-4-2 du code de la sécurité sociale ;
Vu les articles R. 161-58-1 à R.161-58-11 du Code de la sécurité sociale ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifié en 2007;
Vu le décret n°2006-6 du 4 janvier 2006 relatif à l’hébergement de données de santé à caractère personnel ;
Vu la délibération n°2007-106 du 15 mai 2007 portant autorisation des applications informatiques nécessaires à la mise en oeuvre de la phase expérimentale du dossier pharmaceutique ;
Vu la délibération n°2008-041 du 14 février 2008 portant autorisation de la prolongation et de l’extension géographique de l’expérimentation du dossier pharmaceutique ;
Vu la délibération n°2008-302 du 17 juillet 2008 portant avis sur un projet de décret en Conseil d’Etat relatif au dossier pharmaceutique, pris en application de l’article L.161-36-4-2 du Code de la sécurité sociale ;
Après avoir auditionné sur le bilan des expérimentations du dossier pharmaceutique Monsieur Jean Parrot, Président du Conseil national de l’Ordre des pharmaciens le 13 novembre 2008 devant la Commission réunie en séance plénière ;
Après avoir entendu M. Jean-Pierre de LONGEVIALLE, commissaire, en son rapport, et Mme Pascale COMPAGNIE, commissaire du Gouvernement, en ses observations ;
Formule les observations suivantes :
Le Conseil national de l’Ordre des pharmaciens (CNOP) a saisi la Commission Nationale de l’Informatique et des Libertés le 28 août 2008, d’un dossier relatif aux traitements de données personnelles permettant la mise en œuvre généralisée du dossier pharmaceutique (DP).
Cadre juridique du dossier pharmaceutique
L’article L.161-36-4-2 du Code de la sécurité sociale issu de la loi n°2007-127 du 30 janvier 2007 ratifiant l’ordonnance du 26 août 2005 relative à l’organisation de certaines professions de santé et modifié par la loi n° 2007-1786 du 19 décembre 2007 de financement de la sécurité sociale pour 2008, prévoit :
« Afin de favoriser la coordination, la qualité, la continuité des soins et la sécurité de la dispensation des médicaments, produits et objets définis à l'article L. 4211-1 du code de la santé publique, il est créé, pour chaque bénéficiaire de l'assurance maladie, avec son consentement, un dossier pharmaceutique.
Sauf opposition du patient quant à l'accès du pharmacien à son dossier pharmaceutique et à l'alimentation de celui-ci, tout pharmacien d'officine est tenu d'alimenter le dossier pharmaceutique à l'occasion de la dispensation. Les informations de ce dossier utiles à la coordination des soins sont reportées dans le dossier médical personnel dans les conditions prévues à l'article L. 161-36-2.
La mise en oeuvre du dossier pharmaceutique est assurée par le Conseil national de l'ordre des pharmaciens mentionné à l'article L. 4231-2 du code de la santé publique.
Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés et du Conseil national de l'ordre des pharmaciens, fixe les conditions d'application du présent article».
Sans attendre la publication du décret prévu par ces dispositions, le CNOP a demandé à pouvoir mener des expérimentations auprès de pharmaciens volontaires et pour des périodes de temps limitées.
Sur le fondement des dispositions des articles 8-IV et 25-I, 1° de la loi du 6 janvier 1978 modifiée, la Commission a autorisé la mise en œuvre des traitements nécessaires à ces expérimentations en demandant qu’un bilan de ces dernières lui soit adressé et en rappelant que le déploiement généralisé du dossier pharmaceutique était nécessairement subordonné à l’entrée en vigueur du décret prévu par le législateur.
Saisie pour avis par le ministre de la santé, de la jeunesse et des sports et de la vie associative du projet de décret en Conseil d’Etat relatif au dossier pharmaceutique, la Commission s’est prononcée par délibération n° 2008-302 du 17 juillet 2008. Le texte tel qu’il a été ensuite adopté par le Conseil d’Etat le 22 octobre 2008 introduit dans le Code de la sécurité sociale les articles R.161-58-1 à R.161-58-10.
Il résulte de ces dispositions introduites dans le Code de la sécurité sociale, que le dossier pharmaceutique, dossier dématérialisé et hébergé auprès d’un unique hébergeur sélectionné par le CNOP, est ouvert, pour chaque bénéficiaire de l’assurance maladie qui y consent, afin de permettre le regroupement et le partage entre les pharmaciens des informations relatives aux médicaments dispensés à ce bénéficiaire dans l’ensemble des officines. L’article R.161-58-1 énumère limitativement les données personnelles enregistrées dans le dossier pharmaceutique. Les articles R.161-58-3 et R. 161-58-4 relatifs aux conditions de création et de clôture du DP précisent les conditions de recueil du consentement de l’assuré et le droit de ce dernier de décider à tout moment la clôture de son dossier. Les articles R.161-58-5 à R. 161-58-8 fixent les règles de consultation et d’alimentation du DP par les pharmaciens. L’article R.161-58-9 définit les modalités d’exercice du droit d’accès de l’assuré à son DP. Il résulte de l’article R.161-58-11 que les informations relatives aux dispensations sont mises en ligne par l’hébergeur au bénéfice des pharmaciens d’officine habilités à y accéder pendant quatre mois, puis archivées pendant une durée complémentaire de trente deux mois afin de permettre une information des intéressés en cas d’alerte relative à un médicament.
Le CNOP a adressé à la Commission un bilan détaillé des expérimentations. La Commission en prend acte et souligne la qualité des documents reçus.
Le dossier accompagnant le bilan et dont le CNOP a saisi la Commission pour permettre la mise en œuvre généralisée du DP en application des dispositions législatives et réglementaires sus rappelées porte, d’une part, sur les modules applicatifs de raccordement au DP intégrés dans les logiciels de gestion des officines (LGO) après validation par le CNOP de leurs modalités de fonctionnement et, d’autre part, sur les traitements du GIE Santeos, qui a été sélectionné par le CNOP comme hébergeur unique du dossier pharmaceutique.
Il appartient à la Commission de s’assurer que les traitements ainsi mis en œuvre respectent tant les dispositions du Code de la sécurité sociale relatives au DP que celles de la loi du 6 janvier 1978 modifiée.
Analyse des traitements mis en œuvre pour la généralisation du dossier pharmaceutique au regard des dispositions législatives et réglementaires applicables
En ce qui concerne les traitements dans les officines,
Sur l’information de l’assuré et le recueil de son consentement à la création d’un dossier pharmaceutique
Les articles R.161-58-1 et R.161-58-3 précité du code de la sécurité sociale précisent que le consentement à la création d’un DP doit être un consentement « exprès ». Il va en de même du consentement à l’hébergement des données de santé, conformément aux dispositions de l’article L.1111-8 du Code de la santé publique.
Il ressort du dossier soumis à la Commission que le consentement du patient est recueilli par le pharmacien après un entretien individuel, complété par la remise d’une notice d’information qui souligne en termes clairs que l’ouverture d’un DP est subordonnée à l’accord de l’assuré, que le refus de création ou d’alimentation du DP n’a aucune conséquence sur le remboursement des prescriptions par l’assurance maladie et la mise en œuvre du tiers payant et que l’assuré peut à tout moment décider de fermer son DP ou s’opposer à l’enregistrement de la dispensation de certains médicaments.
Le traitement comporte la souscription, sous forme électronique, par le pharmacien d’un certificat attestant qu’après avoir procédé à l’information indiquée plus haut et après lecture par l’assuré de la notice d’information, il a effectivement recueilli le consentement de ce dernier ; une copie papier de cette attestation est remise à l’assuré.
La Commission relève enfin que la production effective des attestations par le logiciel de gestion de pharmacie est l’un des points sur lesquels porte le contrôle du CNOP lors de la procédure de validation des logiciels de gestion d’officine qu’il a mise en place.
Dans ces conditions et sous réserve que le CNOP continue à vérifier la bonne application dans les officines de cette procédure et l’édition des attestations, la Commission considère que le consentement du patient est recueilli valablement.
La Commission relève enfin que le numéro de dossier pharmaceutique des personnes qui refusent l’ouverture d’un DP sera enregistré avec la date du refus dans le seul but de permettre de ne pas faire une proposition d’ouverture d’un DP plus de trois fois.
Sur le cas particulier des mineurs
La Commission observe que désormais, les mineurs de 16 ans se voient délivrer une carte vitale personnelle.
Elle estime que la délivrance de cette carte implique que la qualité de bénéficiaire de l’assurance maladie soit reconnue aux intéressés et emporte par conséquent, dans le sens souhaité par le CNOP, la possibilité pour le mineur muni d’une telle carte d’ouvrir un DP et de l’utiliser dans les conditions de droit commun, sans préjudice de la faculté qui appartient toujours au pharmacien, en fonction de circonstances qu’il lui reviendra d’apprécier, de conseiller au mineur d’informer ses parents.
Sur l’identifiant du DP
Pour associer sans risque d’erreur un patient et son DP, ce dernier sera identifié provisoirement par un numéro de dossier pharmaceutique (NDP) en l’attente de la mise en œuvre de l’identifiant national de santé, prévu par l’article L. 1111-8-1 du Code de la santé publique.
L’article 2 du décret relatif au dossier pharmaceutique précise que ce NDP, généré automatiquement par le logiciel d’officine, est déterminé à partir des éléments, lus directement sur la carte de l’assuré, que sont le nom de famille, le prénom usuel et le numéro de série de la carte.
Le NDP ainsi constitué (et complété du rang gémellaire également lu dans la carte) remplit normalement son rôle d’identifiant en garantissant en particulier contre le risque de rattachement à un même DP des données de dispensation relatives à deux bénéficiaires (risque de collision). En cas de changement de carte Vitale (et donc de numéro de série de la carte) ou de modification sur la même carte du nom ou du prénom du titulaire, un nouveau NDP est généré pour le même bénéficiaire : le DP, indexé sous son ancien NDP, risque alors de ne pas être rattaché au DP identifié par le nouveau NDP (risque de doublon).
Pour résoudre cette difficulté, le CNOP a testé différentes formules et opté finalement pour l’adjonction au NDP d’une clé à quatorze chiffres permettant, en cas de changement de carte, de relier automatiquement le nouveau NDP de l’assuré à son précédent NDP.
Cette clé étant obtenue notamment par l’application d’une fonction de transformation aux trois chiffres du code commune de naissance contenu dans le NIR de l’assuré, ainsi qu’aux trois chiffres suivants codant le rang de naissance, la Commission s’est demandée si l’on ne risquait pas de pouvoir remonter du NDP complété d’une clé ainsi calculée, sinon au NIR de l’assuré, du moins à quelques NIR, s’il apparaissait que les NIR dont le NDP ainsi complété pouvait être dérivé étaient en petit nombre.
Une évaluation réalisée par le CNOP à la demande de la Commission et dont les résultats viennent de lui être communiqués montre que pour un NDP et sa clé de contrôle, 920 NIR seraient en moyenne possibles.
Toutefois, une analyse du service de l’expertise fait apparaître qu’en réalité, le nombre de NIR possibles est nettement moindre à cause notamment du faible nombre de naissances dans une majorité de communes et, plus largement, de l’hétérogénéité de la répartition des naissances sur le territoire français.
Dans ces conditions, la solution proposée offre des garanties réelles mais non absolues, de non remontée des NDP au NIR. Elle ne peut donc être admise qu’à titre temporaire en l’attente de l’adoption de l’identifiant national de santé qui, conformément à la loi, devra s’appliquer au dossier pharmaceutique comme aux autres dossiers médicaux.
Sur l’identification des assurés
La Commission constate que, pour ouvrir un DP ou le clôturer ou pour exercer son droit d’accès en se faisant remettre une copie des informations contenues dans son dossier, l’assuré se borne à remettre au pharmacien une carte vitale ne comportant pas de code porteur, ni le plus souvent de photographie.
Il importe donc de rappeler aux pharmaciens d’officine qu’en cas d’indices pouvant faire douter de l’identité du porteur de la carte, il est de leur responsabilité de procéder aux vérifications indispensables. Il est rappelé à cet égard que, conformément aux dispositions de l’article 93 du décret n°2005-1309 du 20 octobre 2005, il appartient aux intéressés de justifier par tout moyen de leur identité.
Sur l’utilisation du dossier pharmaceutique par les assistants préparateurs
L’utilisation du DP par les assistants préparateurs, sous le contrôle et la responsabilité des pharmaciens d’officine, est prévue par l’article R. 161-58-8.
Cependant, l’article R. 161-69-5 précise que le pharmacien consulte et alimente le dossier pharmaceutique en utilisant conjointement la carte de bénéficiaire de l’assurance maladie et sa propre carte de professionnel de santé (CPS).
Or, les préparateurs en pharmacie ne sont dotés actuellement que d’une carte professionnelle d’établissement (CPE) non nominative et ne comportant pas les fonctions de signature et de cryptage de la CPS.
Néanmoins, à la suite des vérifications effectuées lors de l’instruction du dossier, il ressort que même dans le cas où, sur un poste de travail de l’officine, seule une CPE est utilisée, la connexion avec la plate forme d’hébergement implique toujours la présence dans le serveur central de l’officine d’une CPS permettant la sécurisation de la transaction.
Enfin, les CPE, si elles ne sont pas nominatives, sont attribuées individuellement et les logiciels de gestion d’officine (LGO) permettent toujours de savoir, par un traçage approprié, quelle CPE a été utilisée et à quel moment.
Sur la sécurité
- Le CNOP a diffusé auprès des officines raccordées au DP des recommandations pour que soit sécurisé leur accès internet haut débit au minimum par un outil de type pare feu et par un anti-virus sur les serveurs et les postes de travail de l’officine.
La Commission demande que l’application de ces recommandations fasse l’objet d’un suivi régulier.
- La sécurité des échanges entre les officines et la plate-forme de l’hébergeur est assurée par des procédures d’authentification forte dans les deux sens, par un chiffrement (à 128 bits minimum) des transactions et des données transmises et par l’utilisation de la signature numérique.
- La Commission, qui avait interrogé le CNOP sur ce point, prend acte que les codes porteurs des cartes de professionnels de santé (CPS) ne seront plus conservés en mémoire dans l’ordinateur des pharmaciens, mais qu’une solution logicielle permettra, par la seule sollicitation de la CPS présente dans le lecteur, d’entretenir la connexion sécurisée avec les serveurs de l’hébergeur et d’éviter ainsi une déconnexion passé un certain délai.
- La Commission constate que la possibilité de stockage temporaire de données en vue d’une alimentation différée du dossier pharmaceutique pour tenir compte d’éventuelles défaillances techniques faisant obstacle à la connexion internet n’introduit pas de risque supplémentaire dès lors que les informations stockées sont celles qui sont conservées en local.
En ce qui concerne les traitements d’hébergement du DP
Sur la durée de conservation et l’archivage des données
L’article R.161-58-11, 2° du code de la sécurité sociale précise que les données relatives à la dispensation des médicaments « sont, à compter de la date à laquelle elles ont été saisies, accessibles par le pharmacien d’officine pendant quatre mois, puis archivées par l’hébergeur pendant une durée complémentaire de trente deux mois afin de permettre, en cas d’alerte sanitaire relative à un médicament, d’en informer les patients auxquels ce médicament a été dispensé. Au terme de la durée totale de trois ans, l’hébergeur détruit les données, ainsi que les traces d’intervention ».
Le CNOP avait cependant fait le choix, dans un premier temps, d’un processus annuel d’archivage des données relatives aux dispensations de médicaments.
Interrogé sur ce point, le CNOP a indiqué qu’il publierait un addendum technique au cahier des spécifications de l’hébergement pour assurer la mise en conformité du dispositif d’archivage et de destruction des données avec les dispositions de l’article R.161-58-11.
La Commission en prend acte.
Sur la sécurité de la plate-forme d’hébergement
- Pour renforcer la sécurité et garantir la continuité du service, toutes les données sont dédoublées par l’hébergeur et stockées sur deux sites géographiquement séparés.
En réponse à sa demande, le CNOP a transmis à la Commission un document confidentiel détaillant l’ensemble des dispositions prises pour assurer la sécurité physique de l’infrastructure d’accueil du dossier pharmaceutique.
La Commission estime très satisfaisantes les dispositions ainsi prises.
- La sécurité logique de l’infrastructure d’hébergement repose notamment sur une dissociation des données d’identité et des données de santé. A cet effet, deux bases étanches sont créées, l’une contenant les informations relatives à l’état civil des assurés et l’autre regroupant les données sur les médicaments, le lien entre les deux étant assuré via le calcul d’un identifiant mettant en œuvre une fonction de hachage et un boîtier cryptographique.
- La Commission relève que, conformément à ce qu’elle préconise, les données sont conservées sous forme cryptée dans les serveurs de l’hébergeur.
- Le CNOP a fait procéder à un audit externe du dispositif mis en place et les conclusions de cet audit, qui a consisté notamment en des tentatives d’intrusion depuis internet et depuis une officine, lui ont été communiquées.
Le CNOP a indiqué à la Commission qu’il ferait procéder au moins une fois par an à des audits externes des zones sensibles du système DP et, en particulier, des plate-formes d’hébergement.
La Commission prend acte de cet engagement.
Dans ces conditions, la Commission autorise la mise en œuvre, sous l’égide du CNOP, des traitements nécessaires à la généralisation du dossier pharmaceutique, étant précisé qu’il appartiendra aux officines concernées et au Groupement d’intérêt économique Santeos d’accomplir auprès de la Commission les formalités de déclarations de conformité ou de déclaration modificative nécessaires.

Le président

Alex TURK

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: