• Home  / 
  • DELIBERATION 2009-685

DELIBERATION 2009-685

By Thiébaut Devergranne / 5 years ago

(demande d’autorisation n°1026794-V3)
La Commission nationale de l'informatique et des libertés,
Saisie par la Fédération nationale de la mutualité française (FNMF) par un courrier en date du 6 octobre 2009, d’une demande tendant à la prolongation de l’expérimentation ayant pour finalité l’accès aux données de santé figurant sur les feuilles de soins électroniques ;
Vu la Convention n°108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée le 6 août 2004, notamment ses articles 8-III et 25-I, 1°;
Vu le code de la sécurité sociale et notamment les articles L. 161-29 et R. 115-1 et suivants ;
Vu le code de la santé publique et notamment l’article L. 4113-7 ;
Vu le code pénal et notamment les articles 226-13 et 226-14 ;
Vu la délibération n°2004-081 du 9 novembre 2004 portant autorisation d’une expérimentation pendant la durée d’un an du traitement mis en œuvre par la Fédération nationale de la mutualité française et ayant pour finalité de permettre l’accès, sous forme anonymisée, aux données de santé figurant sur les feuilles de soins électroniques ;
Vu la délibération n°2008-037 du 31 janvier 2008 modifiant la délibération du 9 novembre 2004 autorisant la prolongation et l’extension de l’expérimentation présentée par la Fédération nationale de la mutualité française ayant pour finalité d’accéder, sous forme anonymisée, aux données de santé figurant sur les feuilles de soins électroniques ;
Vu la délibération n°2008-521 du 18 septembre 2008 autorisant la prolongation de l’expérimentation du traitement mis en œuvre par la Fédération nationale de la mutualité française ayant pour finalité d’accéder, sous forme anonymisée, aux données de santé figurant sur les feuilles de soins électroniques ;
Sur le rapport de Monsieur Jean MASSOT, commissaire et les observations de Madame Elisabeth ROLIN, commissaire du gouvernement ;
Formule les observations suivantes 
En 2004, la Fédération nationale de la mutualité française (FNMF) a saisi la Commission d’un traitement permettant d’accéder de manière anonymisée, aux données de santé présentes sur les feuilles de soins électroniques.
Les mutuelles adhérentes à la FNMF, pour assurer la prise en charge d’une partie des dépenses de soins et de biens médicaux en complément du régime obligatoire, reçoivent des professionnels de santé des demandes de remboursements électroniques comportant le numéro de la facture, l’identifiant du professionnel de santé, des données relatives à l’identité du patient dont le numéro de sécurité sociale ainsi que la lettre clé de l’acte médical pratiqué, le nombre d’actes et les majorations éventuelles (nuit, urgence, férié…) et s’agissant des médicaments, le montant global payé par l’assuré et le taux de remboursement du régime obligatoire.
La Fédération nationale de la mutualité française a souhaité, pour le compte de ses mutuelles adhérentes volontaires, accéder à des données de santé anonymisées figurant sur les feuilles de soins électroniques transmises par les pharmacies et en particulier aux codes des médicaments et de la liste des prestations et produits.
Le traitement de ces données réalisé à des fins de statistique permet d’étudier l’impact d’un remboursement en fonction du service médical rendu pour les médicaments ou de forfaits de remboursements en fonction de l’âge pour les produits et prestations (LPP). Les mutuelles associées à l’expérimentation sont destinataires d’informations statistiques anonymisées.
Cette expérimentation s’inscrit dans le cadre du rapport de Monsieur Babusiaux relatif à l’accès des assureurs complémentaires aux données de santé des feuilles de soins électroniques qui recommande que les données sensibles « ne viennent pas, sous leur forme nominative, à la connaissance des assurances complémentaires » en précisant que l’architecture utilisée pour la transmission des données repose sur l’organisation du système d’information de l’assureur « en deux sous systèmes séparés communiquant entre eux par le truchement d’un tiers de confiance ». Le rapport envisage deux statuts possibles pour ce tiers de confiance qui est au cœur de la sécurité du système : soit une entité juridique distincte de l’assureur, n’ayant pas d’intérêts communs avec celui-ci, soit l’utilisation d’une boîte noire, c’est-à-dire un dispositif matériel inviolable même par l’assureur lui-même.
La Commission a estimé que la demande formulée par la mutualité française qui procède, à réception des données, à leur anonymisation, relève de la procédure d’autorisation prévue à l’article 8-III de la loi du 6 janvier 1978 modifiée, dans la mesure où le traitement des données de santé figurant sur les feuilles de soins électroniques fait l’objet d’une anonymisation à bref délai.
La Commission a autorisé l’expérimentation menée par la FNMF le 9 novembre 2004 pour une durée d’un an. Les premières demandes de remboursements électroniques ont été envoyées le 24 mai 2007. La Commission a autorisé deux prolongations de l’expérimentation le 31 janvier 2008 et le 18 décembre 2008.
La présente demande ne permet pas d’apprécier les modalités d’un remboursement effectif, l’expérimentation qui va se poursuivre étant limitée à une simulation de liquidation des prestations.
Sur l’architecture du dispositif
La Commission prend acte que la phase d’exploitation de l’expérimentation de la FNMF a débuté le 24 mai 2007, que trois pharmacies mutualistes basées en Champagne-Ardennes ont participé à l’expérimentation et que l’expérimentation a été étendue à trois pharmacies libérales basées en Côte d’Or.
La FNMF a mis en place une solution d’anonymisation irréversible reposant sur une « boîte noire » et procède à l’anonymisation de deux types de flux : en premier lieu, l’anonymisation des demandes de remboursements électroniques en provenance des professionnels de santé, en second lieu, l’anonymisation des fichiers des bénéficiaires en provenance des mutuelles. Ces deux flux sont ensuite croisés pour réaliser des simulations de liquidation.
Lorsque la FNMF reçoit des demandes de remboursement d’un professionnel de santé, ces données sont séparées en deux types de flux : les « demandes de remboursement électroniques administratives » purgées de tout code médicament détaillé et les « demandes de remboursement électroniques médicalisées » enrichies avec des codes de médicaments chiffrées destinées à être anonymisées dans le cadre de l’expérimentation Babusiaux.
Le processus d’anonymisation retenu par la FNMF repose sur une double fonction d’anonymisation à sens unique -irréversible contrairement à un chiffrement- appliquée aux éléments identifiant le patient.
Les calculs d’anonymisation sont réalisés sur deux machines distinctes, par un mécanisme destiné à protéger l’anonymat des données en cas de tentative de comparaison des fichiers nominatifs à l’entrée du système avec les résultats anonymes produits à la sortie.
Une fois que les données identifiant le patient ont été anonymisées, le système informatique de la FNMF procède au déchiffrement des codes médicaments. Ainsi obtient-on des demandes de remboursement électroniques contenant des données sensibles, mais dans lesquelles les informations d’identification directe de l’assurée sont remplacées par un identifiant anonyme.
Sur les mesures de sécurité mises en œuvre
Les fonctions cryptographiques essentielles du processus d’anonymisation et de déchiffrement sont réalisées par des « boîtes noires ».
Le séquestre des clés cryptographiques utilisées est confié en partage à la FNMF et à un tiers de confiance externe –en l’espèce, le GIE SESAM-VITALE- par le biais d’une clé spécifique dite « clé Babusiaux ».
Sur la conformité du traitement mis en œuvre à la loi du 6 janvier 1978 modifiée
Il convient d’apprécier la conformité du traitement mis en œuvre par la FNMF à la loi du 6 janvier 1978 modifiée et aux préconisations du rapport de M. Christian Babusiaux.
L’association des mesures de sécurité auxquelles a recours la FNMF (boîte noire et tiers de confiance) destinées à garantir que les données identifiantes et les données de santé ne soient pas accessibles en clair au même moment, apparaît en conformité avec les préconisations du rapport de Monsieur Babusiaux et des exigences de la loi du 6 janvier 1978 modifiée.
Autorise, pour une durée de trente six mois, la Fédération nationale de la mutualité française à prolonger l’expérimentation autorisée dans sa délibération précitée du 9 novembre 2004.
La FNMF devra cependant adopter l’architecture commune proposée par le ministère de la santé relative à l’acheminement des feuilles de soins électroniques aux organismes d’assurance maladie complémentaires.
Par ailleurs, la Fédération nationale de la mutualité française devra, au terme de la période de 36 mois visée ci-dessus et avant toute extension, présenter à la Commission un cahier des charges précis relatif aux modalités de passage de la phase de simulation à une mise en situation réelle de liquidation des prestations.

Le Président

Alex TURK

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: