• Home  / 
  • DELIBERATION 95-035

DELIBERATION 95-035

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés,

Vu le Préambule de la Constitution du 4 octobre 1958, et notamment la référence faite au Préambule de la Constitution du 27 octobre 1946 ;

Vu la Convention n° 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et notamment ses articles 5 et 6 ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 1, 2, 3, 15 et 19 ;

Vu l'article 40-4 de la loi 78-17 du 6 janvier 1978 issu de la loi 94-548 du 1er juillet 1994 relative aux traitements de données nominatives ayant pour fin la recherche dans le domaine de la santé ;

Vu l'article 226-13 du code pénal ;

Vu la loi n° 93-8 du 4 janvier 1993 relative aux relations entre les professionnels de santé et l'assurance maladie, modifiée par la loi 94-43 du 18 janvier 1994 ;

Vu les articles L. 161-28, L. 161-29 et L. 161-30 du code de la Sécurité Sociale ;

Vu la loi n° 95-116 du 4 février 1995 portant diverses dispositions d'ordre social, ayant validé l'arrêté du 5 novembre 1993 portant approbation de la convention nationale des médecins ;

Vu le décret n° 78-774 du 17 juillet 1978 pris pour l'application des chapitres 1er à 4 et 7 de la loi n° 78-17 susvisée ;

Vu le décret n° 79-506 du 28 juin 1979 portant code de déontologie médicale et notamment son article 42 ;

Vu l'arrêté du 28 juillet 1992 portant approbation de la convention nationale des directeurs de laboratoires privés d'analyses médicales ;

Vu le projet de décret présenté par le Ministère des affaires sociales, de la santé, et de la ville, portant application de l'article L. 161-29 du code de la sécurité sociale et relatif au codage des actes effectués, des prestations servies et des pathologies diagnostiquées ;

Après avoir entendu Monsieur Maurice VIENNOIS et Monsieur Jean-Pierre MICHEL, en leur rapport, et Madame Charlotte-Marie PITRAT, Commissaire du Gouvernement, en ses observations ;

Considérant que la Commission est saisie, pour avis, par le Ministre des affaires sociales, de la santé et de la ville d'un projet de décret portant application de l'article L. 161-29 du code de la sécurité sociale et relatif au codage des actes effectués, des prestations servies et des pathologies diagnostiquées ;

Considérant que la loi du 4 janvier 1993 relative aux relations entre les professionnels de santé et l'assurance maladie a inséré dans le code de la sécurité sociale un article L. 161-29 indiquant qu'"en vue de permettre le remboursement aux assurés sociaux ainsi qu'aux ayants droit mentionnés à l'article L. 161-14-1, des prestations et dans l'intérêt de la santé publique, les professionnels et les organismes ou établissements facturant des actes ou prestations remboursables par l'assurance maladie dispensés à des assurés sociaux ou à leurs ayants droit communiquent aux organismes d'assurance maladie concemés le numéro de code des actes effectués, des prestations servies à ces assurés sociaux ou à leurs ayants droit et des pathologies diagnostiquées" ; que le dernier alinéa de cet article renvoie le soin de préciser les modalités de cette disposition à un décret en Conseil d'Etat pris après consultation du comité national paritaire de l'information médicale et après avis de la CNIL ;

Considérant, en pratique, que le codage consiste à attribuer à chaque acte, chaque prestation et chaque pathologie diagnostiquée un numéro de code identifiant la nature exacte de l'examen pratiqué sur le patient, du médicament qui lui est délivré, ainsi que de l'affection dont il souffre ; qu'il résulte du deuxième alinéa de l'article L. 161-29 que ces données feront l'objet de traitements automatisés ;

Considérant que l'établissement de nomenclatures précises des actes, prestations et pathologies, combiné avec l'utilisation de moyens informatiques, permettra aux organismes d'assurance maladie de disposer, notamment, d'instruments plus efficaces de mesure et de contrôle de l'activité des prescripteurs, du comportement des assurés et du coût pour la sécurité sociale de la protection de la santé ;

Considérant que la loi du 6 janvier 1978 confie à la CNIL le soin de veiller à ce que l'informatique ne porte atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques ;

Considérant que si la Commission est consciente de l'intérêt de la mise en oeuvre d'un tel projet en vue de permettre une meilleure évaluation des dépenses de santé, il lui appartient de souligner que le dispositif mis en place par le législateur et que le projet de décret vient compléter, permettra aux organismes chargés de la gestion d'un régime obligatoire d'assurance maladie de disposer, pendant la durée de conservation de ces informations, de l'ensemble des actes prescrits, des prestations servies ou des pathologies diagnostiquées se rapportant à un même assuré social ou à son ayant droit ainsi que, pour un acte, une prestation ou une pathologie déterminé, de la liste des assurés ou de leurs ayants droit concernés ;

Considérant que pourront être ainsi constitués et conservés, sur l'ensemble de la population des assurés et de leurs ayants droit, des fichiers nominatifs et exhaustifs comportant des informations de caractère médical et qui relèvent, à ce titre, de l'intimité de la vie privée des personnes ;

Considérant par ailleurs qu'il revient à la Commission de souligner que le codage des pathologies diagnostiquées, dont la mise en oeuvre est pour l'instant différée mais qui trouve son fondement notamment dans les dispositions du décret dont le projet est soumis à la CNIL, est de nature à soulever, au-delà même des risques liés à la divulgation d'informations couvertes par le secret médical, des problèmes d'ordre déontologique et éthique ;

Considérant en effet que le principe même du codage des pathologies implique que l'état de santé d'une personne soit, à l'occasion d'une visite médicale, identifié puis communiqué aux organismes d'assurance maladie par le médecin traitant, ce qui constitue une levée du secret médical au profit desdits organismes ;

Considérant que les problèmes d'ordre déontologique que soulèvera la pratique du codage des pathologies seront particulièrement aigus dans les cas de codes identifiant des affections graves que le médecin, pour des raisons légitimes qu'il est seul à pouvoir apprécier en conscience, ne souhaiterait révéler à son patient qu'avec circonspection ; qu'il y a, d'ailleurs, lieu de remarquer que cette règle de déontologie justifie que le droit d'accès aux informations à caractère médical, tel qu'il est prévu à l'égard des données traitées par l'article 40 de la loi du 6 janvier 1978 ou à l'égard des informations contenues dans un document administratif par l'article 6 bis de la loi du 17 juillet 1978, ne peut être exercé, dans l'intérêt du patient, que par l'intermédiaire d'un médecin qu'il désigne à cet effet ;

Considérant que le projet de décret ne peut être examiné par la Commission Nationale de l'Informatique et des Libertés qu'au regard des observations qui précèdent ;

Sur les finalités :

Considérant que le projet de décret rappelle que l'objectif du codage des actes est la maîtrise des dépenses de santé et les progrès de la santé ; qu'il est précisé, dans l'article R. 161-30, que dans le cadre de ces objectifs généraux, le codage des actes effectués, des prestations servies et des pathologies diagnostiquées a pour finalité le remboursement des actes et des prestations, l'application et le suivi des conventions entre les professionnels de santé et les organismes d'assurance maladie, l'amélioration des conditions d'exercice du contrôle, notamment médical, des actes et des prestations, le développement des actions de prévention, d'éducation et d'information sanitaires menées en application des articles L. 262-1 et L. 611-3 du code de la sécurité sociale, la réalisation d'études épidémiologiques et l'évaluation des systèmes de santé ;

Considérant que ces finalités, bien que plus précises que les objectifs que le législateur a assigné au codage des actes, des prestations et des pathologies, en insérant dans le code de la sécurité sociale un article L. 161-29, peuvent être considérées comme participant directement ou indirectement de l'intérêt de la santé publique ; qu'il en est particulièrement ainsi de la réalisation d'études épidémiologiques ;

Considérant, cependant, que les données nominatives traitées en application de ces dispositions ne sauraient être utilisées à des fins d'études épidémiologiques sans que soient respectés les droits reconnus aux personnes concernées par la loi n° 94-548 du 1er juillet 1994 relative aux traitements automatisés de données nominatives ayant pour fin la recherche dans le domaine de la santé ; qu'ainsi les assurés sociaux et leurs ayants droit doivent pouvoir bénéficier du droit d'opposition qui leur est garanti par l'article 40-4 de la loi du 1er juillet 1994 relative aux traitements automatisés de données nominatives ayant pour fins la recherche dans le domaine de la santé ;

Considérant que le projet de décret devrait explicitement rappeler que la réalisation d'études épidémiologiques à partir de données nominatives associées à des codes actes, prestations ou pathologies doit être opéré dans le respect des dispositions de la loi précitée ;

Sur les informations codées transmises aux unions professionnelles et organismes habilités :

Considérant que le projet de décret prévoit, par ailleurs, dans l'article R. 161-29, que les professionnels de santé collaborent, à la poursuite des objectifs généraux du codage par l'intermédiaire des unions de médecins exerçant à titre libéral et, le cas échéant, des organismes professionnels habilités à recevoir des informations codées, organismes, dont la nature et les missions ne sont pas encore fixées ; que l'article R. 161-39 prévoit, à ce titre, que les organismes chargés d'un régime obligatoire d'assurance maladie transmettent aux unions ou organismes professionnels habilités les données non nominatives, issues des traitements qui seront mis en oeuvre, et relatives à l'activité des professionnels de santé, des établissements ou des centres de santé concernés ;

Considérant que l'article L. 161-29 devrait préciser que les données transmises aux unions et aux organismes habilités ne peuvent être communiquées que selon des modalités ne permettant en aucun cas l'identification des assurés et de leurs ayants droit ;

Sur l'habilitation des agents des organismes chargés de la gestion d'un régime obligatoire à accéder aux données codées :

Considérant que les articles R. 161-32 à R. 161-35 déterminent les conditions dans lesquelles les personnels administratifs des caisses et les praticiens conseils pourront avoir accès aux données ; qu'il résulte notamment de ces dispositions que si l'accès aux données nominatives associées à un code pathologie, issues d'un traitement automatisé, est réservé aux praticiens conseils et aux seuls personnels placés sous leur autorité, les agents administratifs des caisses pourront avoir accès aux données nominatives informatisées associées aux codes des actes et des prestations pendant des durées allant, selon les fonctions des personnels, de douze mois à trois ans et plus, à compter de la liquidation des prestations ;

Considérant que s'il résulte des troisième et quatrième alinéas de l'article L. 161-29 du code de la sécurité sociale que les personnels qui ne sont pas placés sous l'autorité des praticiens conseils peuvent accéder, dans le cadre de leurs fonctions et pour la durée nécessaire à leur accomplissement, aux données nominatives associées au numéro de code des actes effectués et des prestations servies, le respect de l'article 5 de la Convention du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ainsi que des dispositions de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, commande que la durée de conservation des informations nominatives faisant l'objet d'un traitement automatisé et les catégories des personnels habilités à les consulter soient appréciées au regard de la finalité des traitements mis en oeuvre ; que l'article 19 de la loi du 6 janvier 1978 mentionne d'ailleurs ces informations au titre de celles qui doivent être portées à la connaissance de la CNIL à l'occasion de l'accomplissement des formalités préalables ;

Considérant, en effet, que le souci que des informations relevant de la vie privée et dont certaines peuvent indirectement révéler, compte tenu de la précision de la nomenclature des actes ou des prescriptions, une pathologie, ne soient pas accessibles à des personnels ne relevant pas des praticiens conseils au-delà de la durée strictement nécessaire à l'accomplissement de leurs fonctions respectives, nécessite que des règles particulières d'accès, de traitement et de conservation de ces informations soient définies ; que de telles règles ne peuvent être appréciées qu'au regard des caractéristiques des traitements qui doivent être, en application de l'article 19 de la loi du 6 janvier 1978, déclarés à la CNIL préalablement à leur mise en oeuvre ;

Considérant, en conséquence, que les articles R. 161-32 à R. 161-35 ne devraient pas figurer dans le projet de décret pris en application du dernier alinéa de l'article L. 161-29 du code de la sécurité sociale ;

Sur les codages des pathologies :

Considérant qu'il résulte des termes tant du troisième alinéa de l'article L. 161-29 du code de la sécurité sociale que des dispositions combinées de l'article 2-III et de l'article R. 161-32 du projet de décret, que les codes des pathologies diagnostiquées pourront être portés sur les feuilles de soins transmises aux services administratifs des organismes d'assurance maladie ;

Considérant que ces informations médicales ne pourront être utilisées sous une forme nominative que par les praticiens conseils, dans le cadre des missions qui leur sont imparties par les dispositions législatives et réglementaires du code de la sécurité sociale ; qu'ainsi, eu égard au caractère confidentiel de ces informations médicales et notamment aux risques potentiels d'atteinte à la vie privée qui pourraient résulter de leur divulgation, les codes indiquant les pathologies diagnostiquées ne devraient être transmis qu'aux seuls praticiens conseils des caisses et aux personnels placés sous leur autorité, selon des modalités préservant le secret médical et la déontologie médicale ; que dès lors, il ne saurait être envisagé que les codes des pathologies puissent figurer sur les feuilles de soins qui sont en général remises directement aux assurés ;

Sur les conséquences du refus opposé par les assurés sociaux à la transmission des données codées :

Considérant qu'il résulte des termes de l'article R. 161-36 que les assurés sociaux et leurs ayants droit peuvent refuser la transmission des informations devant figurer sur les feuilles de soins et notamment celles relatives aux codes des actes prescrits, des prestations délivrées et des pathologies diagnostiquées, mais qu'en conséquence, ils renoncent à leur droit à remboursement des prestations ;

Considérant que si une telle disposition est, s'agissant du code de l'acte ou de la prestation, conforme à l'article L. 161-29 dans la mesure où la communication de ces codes permet à la caisse d'assurance maladie d'assurer le remboursement des dépenses engagées par le patient, son application aux codes "pathologie" pourrait conduire à exclure du dispositif de soins les patients qui, ne souhaitant pas, pour des raisons légitimes, que cette catégorie de données soit communiquée aux organismes d'assurance maladie, seraient alors conduits, faute de ressources suffisantes, à renoncer à tout traitement ;

Considérant, dès lors, que les assurés sociaux et leurs ayants-droit doivent pouvoir refuser la transmission des codes "pathologie" aux organismes d'assurance maladie, sans qu'il en résulte de conséquence à leur égard ;

Sur les modalités de transmission aux organismes d'assurance maladie des codes des actes, des prestations et des pathologies :

Considérant qu'aux termes du dernier alinéa de l'article L. 161-29, le projet de décret doit préciser les modalités selon lesquelles les professionnels et les établissements de santé communiqueront, aux fins de remboursement et dans l'intérêt de la santé publique, les numéros de code des actes, des prestations et des pathologies ;

Considérant, à cet égard, que le projet de décret ne comporte aucune disposition sur les conditions de transmission de ces informations et notamment sur le recours éventuel à des moyens informatiques ; qu'il résulte cependant des auditions auxquelles les rapporteurs ont procédé et des précisions apportées par le ministère des affaires sociales et par la CNAMTS, que cet outil sera utilisé pour assurer le recueil et la transmission des données concemant les actes de biologie et les médicaments ; que, dès lors, les supports papier des feuilles de soins pourront à terme disparaître ;

Considérant, en conséquence, que le projet de décret pourrait être complété sur ce point ;

Sur l'obligation de sécurité :

Considérant que l'article R. 161-37 prévoit notamment que les organismes chargés de la gestion d'un régime obligatoire d'assurance maladie "prennent toutes dispositions utiles" pour préserver la confidentialité des données nominatives traitées ;

Considérant que, s'agissant de données de caractère médical, il importe que le projet de décret précise les obligations de sécurité incombant respectivement aux directeurs des caisses et aux praticiens conseils chefs de service, qui devront assurer, chacun pour ce qui le conceme et sous le contrôle de la CNIL et du Ministère des affaires sociales, de la santé et de la ville, le respect de la confidentialité des données transmises en application de l'article L. 161-29 et veiller à limiter l'accès direct aux informations aux seules personnes habilitées à connaître de celles-ci, à raison de leurs fonctions respectives ;

Sur la transmission des données issues du traitement des informations codées aux ministres chargés de la santé et de la sécurité sociale :

Considérant que, selon l'article R. 161-38, les ministres chargés de la santé et de la sécurité sociale auraient communication, dans l'intérêt de la santé publique et de la maîtrise des dépenses de santé, des données non nominatives issues des traitements automatisés d'informations relatives aux codes des actes, des prestations et des pathologies diagnostiquées ;

Considérant qu'il conviendrait de préciser que ces données ne pourront être transmises que sous une forme ne permettant en aucun cas l'identification des personnes concernées ;

Estime, en conséquence que le projet de décret devrait être modifié dans le sens de l'ensemble des observations qui précèdent.

Le Président, Jacques FAUVET

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: