• Home  / 
  • DELIBERATION 2010-003

DELIBERATION 2010-003

By Thiébaut Devergranne / 5 years ago

(demande d’autorisation n°1147702-V2)
La Commission nationale de l'informatique et des libertés,
Saisie par l’Institut de recherche et documentation en économie de la santé d’une demande d’autorisation pour la mise en œuvre de l’enquête sur la santé et la protection sociale 2010 ;
Vu la Convention n°108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu la loi n° 51-711 du 7 juin 1951 relative à l’obligation, la coordination et le secret en matière de statistiques ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée le 6 août 2004, notamment ses articles 8-IV° et 25-I-1°;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifié en 2007 ;
Vu les arrêtés du 11 avril 2002, 20 juin 2005, 26 septembre 2008 et 16 octobre 2008 relatifs au système national d'information inter-régimes de l'assurance maladie ;
Vu la délibération de la CNIL n°2006-090 portant autorisation de mise en œuvre par l’institut de recherche et documentation en économie de la santé de l’Enquête Santé Protection Sociale 2006 ;
Sur le rapport de Monsieur Jean MASSOT et Madame MITJAVILE, commissaires et les observations de Madame Elisabeth ROLIN, commissaire du gouvernement ;
Formule les observations suivantes :
Sur la finalité poursuivie par le traitement
La Commission a été saisie par l’Institut de recherche et documentation en économie de la santé, IRDES, d’une enquête sur la santé et la protection sociale « ESPS - 2010 » qui a pour objet principal d’analyser l’articulation entre l’état de santé de la population, la consommation de soins, l’accès aux soins, la couverture santé et le statut économique et social.
Sur la procédure applicable
La Commission considère qu’il y a lieu de faire application des dispositions des articles 8-IV et 25 de la loi du 6 janvier 1978 modifiée qui soumettent à autorisation les traitements automatisés comportant des données relatives à la santé justifiés par l’intérêt public.
Présentation de l’enquête
L’enquête ESPS, réalisée pour la première fois en 1988, est désormais menée à partir d’un échantillon de bénéficiaires des trois grands régimes de l’assurance maladie : Caisse nationale d’assurance maladie des travailleurs salariés (CNAMTS), Régime social des indépendants et Mutualité sociale agricole (échantillon permanent inter-régimes de bénéficiaires ou EGB : échantillon généraliste des bénéficiaires). Quatre échantillons sont constitués, deux échantillons sont sollicités alternativement tous les deux ans et deux autres échantillons de réserve permettent de surreprésenter certains des bénéficiaires en fonction des études.
L'enquête est menée tous les deux ans. Elle se déroule en deux sessions l'une au printemps l'autre à l'automne pour tenir compte de la saisonnalité de certaines pathologies. Elle combine des données déclaratives (questionnaires) avec des données de remboursements de l’assurance maladie. Des questions identiques (socle commun) permettent de suivre les évolutions du système de santé au travers de l’expérience des assurés et les questions ponctuelles (enquêtes complémentaires) permettent des analyses spécifiques en fonction des demandes issues de la recherche.
Afin de connaître les recours aux soins, un appariement des données de l’enquête avec les données du système national d’information inter-régimes de l’assurance maladie (SNIIRAM) est prévu. Ce système, géré par la CNAMTS, comporte les informations résultant du traitement des feuilles de soins, y compris les données du codage des actes, des prestations, des produits, des médicaments, des actes de biologie, des affections de longue durée ainsi que les données de facturation des établissements de santé, chaînées par individu sur 2 ans, plus l’année en cours. Le SNIIRAM ne comporte pas de données directement identifiantes sur les bénéficiaires de soins, en revanche les données relatives aux professionnels de santé enregistrées comportent leur numéro d’identification professionnelle.
Chaque année, les régimes d’assurance maladie extraient pour les personnes échantillonnées et leurs ouvrants droit ou ayants droit dénommés « grappe assurance maladie », leur adresse, NIR, identifiant SNIIRAM et les données médico-administratives dont le nom et le prénom.
L’INSEE, tiers de confiance, attribue aux personnes échantillonnées et aux différents membres de la « grappe », un numéro d’ordre non signifiant, pérenne, spécifique à l’étude ainsi qu’un numéro d’ordre pour l’ensemble de la « grappe ».
L’IRDES confie la réalisation des enquêtes à une société qui contacte les personnes. La société renvoie les données recueillies avec le numéro d’ordre spécifique à l’étude.
L’INSEE envoie à la CNAMTS les numéros d’ordre des bénéficiaires et des membres de la grappe ainsi que l’identifiant SNIIRAM afin que soient extraites les données de consommations de soins liquidées. Ces données sont ensuite expédiées à l’IRDES avec les numéros d’ordre.
Les données de consommation de soins et les données d’enquête sont appariées par l’IRDES.
Avant de transmettre les données à l’assurance maladie, l’IRDES transformera les numéros d’ordre avec une nouvelle fonction d’anonymisation. Cette transmission fera l’objet de formalités préalables auprès de la CNIL avant toute mise en œuvre.
Il est également prévu, à terme, un appariement des données de l’enquête et de l’assurance maladie obligatoire avec les données de remboursement issues des organismes d’assurance maladie complémentaire afin de connaître le reste à charge des ménages.
Cette deuxième partie de l’enquête, intitulée « projet MONACO » (Méthodes, Outils, Normes pour la mise en commun de données des Assurances Complémentaire et Obligatoire) fera l’objet d’un nouvel examen de la Commission lorsque les organismes d’assurance maladie complémentaire (AMC) auront défini précisément les modalités de circulation, d’anonymisation et de conservation des données.
Sur les catégories de données traitées
Les catégories de données à caractère personnel traitées sont relatives à l’identité des personnes, le numéro de sécurité sociale (NIR), l’adresse, l’identifiant SNIIRAM, le cas échéant le mois et l’année date de décès, la situation familiale, la vie professionnelle, la situation économique et financière, les habitudes de vie, des données de santé, le numéro d’identification du médecin traitant, l’exonération éventuellement du ticket modérateur, la consommation de soins liquidés et l’organisme complémentaire.
Le numéro de sécurité sociale est utilisé pour sélectionner les bénéficiaires (échantillon pérenne) au sein des systèmes d’information de l’assurance maladie, les identifier et extraire leurs données de consommation du SNIIRAM après l’utilisation de l’algorithme d’anonymisation FOIN. Le NIR reste strictement cantonné à l’assurance maladie et à l’INSEE qui sont déjà habilités à le traiter.
Le nom, le prénom et l’adresse sont utilisés afin que la société d’enquête contacte les personnes soit par téléphone soit en se rendant à leur domicile. Le nom de famille n’est pas retransmis à l’IRDES.
S’agissant du traitement du prénom, la Commission prend acte que seules les quatre premières lettres du prénom sont traitées.
Les données relatives à la santé et aux difficultés ressenties sont collectées directement auprès des personnes concernées.
Les données individuelles relatives à la consommation de soins des bénéficiaires (extraction du SNIIRAM) reçues par l’IRDES sont agrégées par an et par grands postes de soins : médecins, praticiens (dont les médecins, les dentistes et les sages-femmes), auxiliaires, prestations sanitaires, biologie, hospitalisation et les soins hors nomenclature pour les complémentaires santé.
A l’issue des travaux d’appariement, l’IRDES détruit de ses fichiers le prénom et le jour de naissance de chaque personne.
L’IRDES s’engage également, lors de la diffusion des résultats agrégés à ce que les professions exercées soient regroupées par catégorie socioprofessionnelle, que le niveau le plus fin de précision géographique soit le département et que les pays de naissance soient regroupés par grande zone géographique.
S’agissant de la remontée d’informations vers les régimes d’assurance maladie obligatoire, la Commission ne peut se prononcer dans la mesure où elle ne dispose pas de la nature exacte des données qui seront transmises et des modalités de consultation de ces données. Elle devra donc être saisie de compléments sur ce point.
Sur les mesures d’information mises en œuvre
Afin d’assurer l’information des personnes concernées, une lettre annonce de l’enquête sera envoyée quelques jours avant le démarrage, elle comporte les mentions d’informations prévues aux dispositions de l’article 32-I de la loi du 6 janvier 1978 modifiée et rappelle le caractère facultatif de l’enquête. Un numéro vert sera mis à la disposition du public pour contacter la société d’enquête et l’IRDES.
Sur les garanties de sécurité mises en place
S’agissant des mesures de sécurité interne à l’IRDES, la Commission prend acte que tous les échanges avec des organismes extérieurs font l’objet de mesures de chiffrement, même pour la messagerie. Des profils d’habilitation sont définis pour chaque utilisateur.
Les échanges de données entre les régimes d’assurance maladie obligatoire et l’INSEE s’effectuent via un logiciel de transfert sécurisé des données, CAMEL (Chiffrement Anonymisation Maladie ELargie ).
Le logiciel d’anonymisation utilisé, FOIN, dans le cadre du rapprochement des données de l’enquête avec des données du SNIIRAM n’appelle pas d’observation particulière.
Sur la fonction d’anonymisation retenue par l’IRDES et reposant sur une fonction irréversible de hachage sécurisé, la Commission considère qu’elle n’est pas à elle seule suffisante pour protéger l’anonymat des données. La Commission demande donc que cette fonction de hachage soit complétée par une clé secrète afin de garantir la confidentialité du processus d’anonymisation. Cette clé secrète doit être conservée dans des conditions de sécurité permettant de garantir sa confidentialité.
Alex TURK

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: