Données personnelles

Le droit de l'Internet, clair, simple et opérationnel

DELIBERATION 2009-563

La Commission nationale de l’informatique et des libertés,
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu le code de la santé publique et notamment les articles L. 6321-1, R.1111-9 et suivants ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée en 2004, et notamment ses articles 8-IV et 25-I,1°;
Vu la loi n° 2007-127 du 30 janvier 2007 ratifiant l'ordonnance n° 2005-1040 du 26 août 2005 relative à l'organisation de certaines professions de santé et à la répression de l'usurpation de titres et de l'exercice illégal de ces professions et notamment son article 25 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifié en 2007 ;
Sur le rapport de M. Jean MASSOT, commissaire, et les observations de Mme Elisabeth ROLIN, commissaire du gouvernement ;
Autorise, dans les conditions figurant dans le dossier et ses annexes, l’Agence des systèmes d’information partagés de santé (ASIP Santé) à mettre en œuvre, dans le cadre du plan national de lutte contre la grippe A/H1N1, un système d’information national (SIN Grippe) destiné à permettre le pilotage de l’activité des centres de régulation constitués par les SAMU-Centres 15 et les salles dédiées à la grippe créées en renfort au sein de ces centres et le suivi de l’évolution de l’épidémie, dont les caractéristiques sont résumées dans le tableau ci-dessous.

Responsable du traitement L’Agence des systèmes d’information partagés de santé
Finalités
  • Transmettre de manière homogène à l’ensemble des centres de régulation des consignes d’orientation et de prise en charge des patients en fonction de l’évolution de l’épidémie et des capacités de prise en charge et ainsi, organiser les réponses données de façon coordonnée.
  • Mettre à disposition des centres de régulation un système national permettant de renseigner les cas de grippe A (H1N1) pendant la pandémie, d’accéder à une aide au diagnostic et à la prise en charge, grâce à un formulaire unique commun à tous les centres.
  • Permettre de suivre l’évolution des cas de grippe (quantitativement et qualitativement) et effectuer des statistiques et un suivi épidémiologique, sur la base de données anonymisées.
  • Permettre à un nombre restreint de personnes autorisées (médecins Samu et InVS) l’accès aux données nominatives de certains dossiers identifiés dans le cadre d’enquêtes diligentées par les autorités sanitaires compétentes (DGS, Ddass, Préfet) : suivi de certaines populations (femmes enceintes, nourrissons de moins de 1 an), cas de grippes dans certaines localités, cas de grippe à symptomatologie particulière.

A cet effet, une base nationale des cas de grippe diagnostiqués et pris en charge par les centres de régulation est créée. Cette base est hébergée auprès de la société Cegedim, sélectionnée comme hébergeur au terme d’un appel d’offre lancé en juillet 2009 et qui devra, en sa qualité d’hébergeur de données de santé à caractère personnel être agréée, conformément aux dispositions de l’article L.1111-8 du Code de la santé publique.
La mise en œuvre du dispositif est faite à la demande du ministère de la Santé et des sports qui souhaite une mise en place effective le 1er octobre 2009.

Données traitées
  • Concernant les patients : données d’identification (nom, prénom, date de naissance, sexe) ; coordonnées (adresse complète en cas d’envoi des secours, à défaut code INSEE de la commune et numéro de téléphone) ; données de santé de nature à caractériser le cas clinique, à confirmer le diagnostic et à mesurer le niveau de gravité (symptômes de la grippe, signes de gravité, facteurs de risque, éléments de contexte nécessaires à la prise en charge, état vaccinal anti grippal, prise d’un traitement antiviral).
  • Un numéro non identifiant et ne permettant pas de remonter à l’identité du patient sera délivré automatiquement à chaque fiche.
  • Concernant les personnes des centres de régulation qui initient ou modifient le questionnaire : nom, prénom, identifiant propre au centre.
  • Les données seront recueillies à l’aide d’un formulaire spécifique, unique pour l’ensemble des centres de régulation, accessible par Internet. Ce formulaire pourra être complété ou modifié en fonction de l’évolution de l’épidémie et des adaptations de consignes éventuelles
Destinataires Données nominatives :
Elles sont accessibles à un nombre restreint de personnes habilitées :

  • Les médecins habilités des centres de régulation pour la prise en charge des appelants de leur centre.
  • 3 médecins de l’InVS pour la base nationale et 1 médecin pour chacun des 17 Centres Inter-régionaux d’épidémiologie (CIRE) de l’InVS pour la base régionale, sur requête spécifiée (enquêtes sanitaires) dans le cadre de leur mission de surveillance sanitaire. Ces médecins seront nommément désignés.
  • Mise à disposition de l’InVS de la base nationale anonymisée, mise à jour quotidiennement.
  • Mise à disposition sur requête des médecins utilisateurs.

Données anonymisées :
L’anonymisation est effectuée par la société Cegedim grâce à une programmation informatique consistant à dupliquer la base et à supprimer les champs permettant l’identification des patients (nom, prénom, date de naissance, adresse, numéro de téléphone).

  • Les médecins habilités des centres de régulation pour la prise en charge des appelants de leur centre.
  • 3 médecins de l’InVS pour la base nationale et 1 médecin pour chacun des 17 Centres Inter-régionaux d’épidémiologie (CIRE) de l’InVS pour la base régionale, sur requête spécifiée (enquêtes sanitaires) dans le cadre de leur mission de surveillance sanitaire. Ces médecins seront nommément désignés.
  • Mise à disposition de l’InVS de la base nationale anonymisée, mise à jour quotidiennement.
  • Mise à disposition sur requête des médecins utilisateurs.
Information et droit d’accès
  • Information des appelants par la diffusion d’un court message d’attente sur les serveurs vocaux des Centres de régulation lorsqu’ils en sont dotés, les informant que les appels sont enregistrés et que les données, alors recueillies sont stockées.
  • Exercice du droit d’accès de l’appelant auprès du Centre de régulation qui l’a pris en charge. Il revient à chaque centre de déterminer les modalités de communication aux appelants des informations les concernant.

Une information est également effectuée par une mention sur le site Internet du SIN Grippe.
La mise en place de l’application sera, enfin, annoncée dans la communication grand public du ministère décrivant l’ensemble du dispositif d’alerte, de surveillance et de prise en charge de la pandémie grippale.

  • Information des appelants par la diffusion d’un court message d’attente sur les serveurs vocaux des Centres de régulation lorsqu’ils en sont dotés, les informant que les appels sont enregistrés et que les données, alors recueillies sont stockées.
  • Exercice du droit d’accès de l’appelant auprès du Centre de régulation qui l’a pris en charge. Il revient à chaque centre de déterminer les modalités de communication aux appelants des informations les concernant.
Caractéristiques du traitement
  • Gestion des habilitations d’accès au système d’information national.
  • Accès restreint aux données nominatives nécessitant une authentification forte de l’utilisateur par carte de professionnel de santé ou certificat serveur agréé par le GIP-CPS.
  • Export sécurisé vers l’INVS à partir du SIN Grippe sous la forme d’un fichier unique et chiffré de dossiers nominatifs sur requête ponctuelle et justifiée via un serveur dédié sécurisé avec login/mot de passe.
  • Traçabilité de l’ensemble des opérations (requêtes, consultation et export).
  • Chiffrement des canaux de transmission et de la base elle-même.
  • Les agents de la société qui héberge les données n’auront pas accès aux données de santé à caractère personnel.
  • Actions de sensibilisation des utilisateurs à la politique de sécurité.
Durée de conservation des données Les données seront conservées pendant la durée de l’épidémie et pendant les deux mois qui suivent la fin de l’épidémie.
A l’issue de ce délai, la base sera détruite.

Le Président

Alex TURK

Reader Interactions

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.