• Home  / 
  • DELIBERATION 96-050

DELIBERATION 96-050

By Thiébaut Devergranne / 5 years ago

La Commission Nationale de l'Informatique et des Libertés,

Vu la Convention n° 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et notamment ses articles 5 et 6 ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu l'article 226-13 du code pénal relatif au secret professionnel :

Vu la loi n° 93-8 du 4 janvier 1993 relative aux relations entre les professionnels de santé et l'assurance maladie, modifiée par la loi n° 94-43 du 18 janvier 1994 ;

Vu les articles L. 161-28, L. 161-29 et L. 161-30 du code de la sécurité sociale ;

Vu le décret n° 78-774 du 17 juillet 1978 pris pour l'application de la loi du 6 janvier 1978 ;

Vu le décret n° 95-564 du 6 mai 1995 relatif au codage des actes et des prestations remboursables par l'assurance maladie ainsi que des pathologies diagnostiquées ;

Vu la délibération de la CNIL n° 95-035 du 21 mars 1995 relatif au projet de décret portant application de l'article L. 161-29 du code de la sécurité sociale et concernant le codage des actes effectués, des prestations servies et des pathologies diagnostiquées ;

Vu la délibération de la CNIL n° 95-161 du 19 décembre 1995 portant avis favorable sur une demande d'avis de la caisse nationale d'assurance maladie des travailleurs salariés concernant l'intégration, dans certains traitements de liquidation ou de contrôle du codage des actes de biologie médicale ,

Vu le projet d'acte réglementaire présenté par la Caisse Nationale d'Assurance Maladie des Travailleurs Salariés ;

Après avoir entendu Monsieur Maurice VIENNOIS en son rapport et Madame Charlotte-Marie PITRAT, Commissaire du Gouvernement, en ses observations ;

Considérant que la Caisse Nationale d'Assurance Maladie des Travailleurs Salariés a saisi la Commission d'une demande d'avis relative à la mise en oeuvre, par les caisses primaires d'assurance maladie, d'un traitement automatisé d'informations nominatives portant sur l'intégration dans les traitements de liquidation et de production, des codes identifiant les médicaments remboursés aux assurés et à leurs ayants droit ;

Considérant que, conformément aux dispositions de l'article L. 161-29 du code de la sécurité sociale et du décret n° 95-564 du 6 mai 1995 pris pour son application ce traitement a pour finalité le remboursement des médicaments, l'application et le suivi des conventions nationales avec les professions de santé, le développement des actions de prévention, d'éducation et d'information sanitaire et une meilleure évaluation des dépenses de santé ; que ce traitement présente un caractère obligatoire ;

Considérant que le dispositif de codage des médicaments consiste à enregistrer, en complément de la cotation tarifaire de l'acte, à chaque numéro de code identifiant la nature exacte du médicament prescrit issu de la nomenclature CIP ;

Considérant que les codes des médicaments seront mentionnés soit directement sur les feuilles de soins nominatives ou sur les bordereaux de facturation soit sur les vignettes collées sur les feuilles de soins que les assurés ou les pharmaciens adressent aux caisses ; qu'ils pourront également faire l'objet de télétransmissions aux caisses, dans le respect de la réglementation en vigueur ;

Considérant que ces données seront enregistrées dans les applications suivantes :

- les traitements de liquidation des prestations (LASER V1, CONVERGENCE, IRIS),

- les systèmes d'analyse des fichiers de liquidation précités, mis en oeuvre à des fins de connaissance et d'évaluation des dépenses de santé (SIAM, DIAM) ou de contrôle, notamment médical (SIAM),

- le Système National Inter-régimes (SNIR) destiné à l'édition des relevés d'honoraires pour les praticiens, à la production de statistiques d'activité de ceux-ci et à la surveillance des conventions nationales ;

Considérant que conformément aux dispositions de la loi du 6 janvier 1978, il appartient à la CNIL d'apprécier, au regard des finalités des traitements mis en oeuvre, la durée de conservation des informations nominatives codées, les catégories de personnels habilités à les consulter, les modalités d'accès à ces données, les mesures adoptées pour garantir leur confidentialité ainsi que les dispositions prises pour assurer le respect des droits des assurés, de leurs ayants-droit et des professionnels de santé ;

- Sur la durée de conservation des données nominatives associées aux codes des médicaments :

Considérant que les informations nominatives associées aux codes des médicaments mentionnées sur les supports de transmission et enregistrées dans les traitements précités, ne peuvent être conservées au delà des délais de prescription et d'archivage légaux tels que fixés notamment par les dispositions des articles L. 332-1 et D. 253-44 du code de la Sécurité Sociale , qu'elles doivent en conséquence être effacées et détruites au terme d'un délai de trois ans ;

Considérant que le projet d'acte réglementaire satisfait sur ce point à cette exigence ;

- Sur les modalités de consultation par les personnels administratifs des caisses et par les praticiens conseils des données nominatives associées aux codes des médicaments :

Considérant que les accès aux différents traitements comportant les codes des médicaments doivent être réservés aux seules catégories de personnels habilités à en connaître en raison de leurs fonctions et ce, pendant la durée strictement nécessaire à l'exercice de celles-ci ;

Considérant ainsi que les techniciens chargés de la liquidation (réception et traitement des demandes de remboursement) et du contrôle avant paiement n'auront accès à ces données que jusqu'à la mise en paiement effective qui est usuellement réalisée au mieux dans la journée et au maximum dans un délai de cinq jours ouvrés ;

Considérant que les agents habilités par le directeur de la caisse ou par l'agent comptable à effectuer les régularisations des paiements passés pourront consulter les données pendant une durée d'un an ;

Considérant que les agents chargés, après paiement, des contrôles d'origine législative, réglementaire ou conventionnelle, des vérifications comptables, des procédures contentieuses, de la maîtrise médicalisée de l'évolution des dépenses sont habilités conjointement par le médecin chef de l'échelon local du service médical et par le directeur de la caisse, à accéder aux informations nominatives associées aux codes des médicaments pendant une durée maximale de trois ans ; que les interrogations des fichiers réalisés à l'aide du système SIAM et faisant appel aux codes des médicaments associés aux données nominatives concernant les assurés ne pourront être réalisées que sur demande conjointe du directeur de la caisse et du médecin chef de l'échelon local du service médical ;

Considérant que les praticiens conseils du service médical et les agents placés sous leur autorité auront accès, dans le cadre de leur mission de contrôle médical aux informations nominatives associées aux codes des médicaments, pendant une durée de trois ans ,

Considérant que ces modalités de consultation sont satisfaisantes au regard des dispositions de la loi du 6 janvier 1978 ;

Considérant que, conformément aux dispositions de l'article L. 161-29 du code de la sécurité sociale et du décret n° 95-564 du 6 mai 1995, les données nominatives codées ne seront pas transmises à des destinataires extérieurs et notamment aux organismes d'assurance maladie complémentaire ; que, pour satisfaire à ces dispositions, les codes des médicaments ne figureront pas sur les décomptes de prestations qui sont adressés aux assurés et que ceux-ci doivent transmettre aux organismes d'assurance maladie complémentaire aux fins de remboursement de la part laissée à la charge de ceux-ci ;

- Sur les dispositions destinées à garantir la confidentialité des données transmises et codées :

Considérant que, conformément à l'article 29 de la loi du 6 janvier 1978 et à l'article R. 161-32 du code de la sécurité sociale, issu du décret du 6 mai 1995, il incombe aux directeurs des caisses primaires d'assurance de l'assurance maladie et aux praticiens conseils de veiller, chacun pour ce qui le concerne, à la confidentialité des données transmises et traitées ainsi qu'au respect de leur intégrité ; qu'il importe également que les pharmaciens qui mettent en oeuvre des traitements automatisés de données nominatives et procèdent à la télétransmission des informations codées soit directement soit par l'intermédiaire d'organismes concentrateurs, prennent toutes précautions utiles afin de préserver la sécurité de celles-ci ;

Considérant à cet égard, qu'aux termes de la délibération n° 93-053 du 15 juin 1993 relative au traitement IRIS, ces organismes concentrateurs chargés de centraliser les données de facturation provenant des professions de santé et de les ventiler sur les différents organismes de protection sociale habilités à en connaître, ne peuvent assurer ni traitement pour leur propre compte, ni aucun enrichissement, ni aucune cession de ces données ;

Considérant que les télétransmissions des données nominatives de facturation enrichies des codes des médicaments seront sécurisées par des dispositifs qui, implantés dans les pharmacies, permettront, par l'utilisation de cartes à microprocesseur, de lecteurs de cartes et de logiciels appropriés, d'une part, d'identifier et d'authentifier les pharmacies, d'autre part, de certifier et de chiffrer certaines données ; qu'eu égard aux risques de divulgation et d'utilisation détournée des informations, la CNAMTS doit examiner les modalités qui pourraient être mises en oeuvre afin de chiffrer les données d'identification et les conséquences d'un tel chiffrement, notamment pour les échanges de données nominatives avec les organismes complémentaires ;

Considérant que les accès aux traitements mis en oeuvre par les caisses, contrôlés actuellement par des procédures d'identification et d'authentification individuelles des agents, seront complétées par des dispositifs fondés notamment sur l'utilisation, par les agents, de cartes à microprocesseur (application ARAMIS) ;

Considérant, en outre, que les mesures de protection physique et logique dont disposent actuellement les centres de traitement informatique des caisses devront être évaluées, en particulier dans la perspective d'un regroupement de ces centres ;

- Sur les dispositions prises pour assurer le respect des droits des assuré, de leurs ayants-droit et des professionnels de santé :

Considérant que l'article R. 161-31 du code de la sécurité sociale, issu du décret du 6 mai 1995, prévoit notamment que les assurés sociaux et les professionnels de santé seront informés, lors de la mise en oeuvre du traitement automatisé relatif au codage, que le remboursement des prestations par l'assurance maladie exige le recueil et la conservation des données codées et qu'ils peuvent exercer leur droit d'accès aux informations les concernant et leur éventuelle rectification selon les modalités prévues par la loi du 6 janvier 1978 ;

Considérant que le droit d'accès des assurés et ayants-droit aux données nominatives les concernant s'exerce auprès de la caisse primaire d'assurance maladie dont ils relèvent ou auprès de l'échelon local du service médical pour ce qui est des données codées ;

Considérant que les assurés doivent être dûment informés de l'obligation de la transmission aux caisses d'assurance maladie, des codes identifiant les médicaments ainsi que de leur droit d'accès et de rectification, par une mention explicite figurant soit sur la feuille de soins, soit, en cas de télétransmission, sur le document de facturation remis par la pharmacie ou sur un support indépendant; que cette mention pourra également être portée sur les décomptes de prestations adressés aux assurés ;

Considérant que les professionnels de santé concernés pourront exercer leur droit d'accès et de rectification auprès de la caisse primaire d'assurance maladie de rattachement et qu'ils seront informés individuellement par les soins de la caisse primaire d'assurance maladie dont ils dépendent, des modalités d'application du dispositif de codage et des droits qui leur sont ouverts au titre de la loi du 6 janvier 1978 ; qu'en outre, conformément aux dispositions du quatrième alinéa de l'article R. 161-31 du code de la sécurité sociale, issu du décret du 6 mai 1995, ils seront destinataires des résultats des traitements de données concernant leur activité ;

Emet un avis favorable au projet d'acte réglementaire qui lui est présenté ;

RAPPELLE que :

- la CNAMTS doit procéder, comme elle s'y est engagée, en liaison avec la CNIL et avec le service central de la sécurité des systèmes d'information (SCSSI) à une évaluation des systèmes de sécurité et des modalités de chiffrement des données mis en oeuvre pour protéger les télétransmissions et les traitements réalisés par les caisses, par l'intermédiaire des centres de traitements informatiques et des organismes concentrateurs ;

- la CNIL doit être tenue informée du déroulement de la mise en application des dispositifs de sécurité et doit être destinataire avant impression, des documents d'information prévus tant vis-à-vis des assurés que des professionnels de santé concernés.

Le Président, Jacques FAUVET.

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: