L`Assurance maladie est autorisée à traiter les données du dossier

RESSOURCES HUMAINES
L’Assurance maladie est autorisée à traiter
les données du dossier médical partagé
PUBLIÉ LE 18/11/16 - 16H24 - HOSPIMEDIA
Le dossier médical partagé (DMP) franchit une nouvelle étape. Un décret,
publié au JO, autorise la Cnamts à mettre en œuvre le traitement des données. Dans l’avis de la Cnil sur ce texte, il est précisé qu’un identifiant national de santé calculé (INS-C) sera mis en place en attente de la publication
des modalités de l’INS au Conseil d’État.
La Caisse nationale d’assurance maladie des travailleurs salariés (Cnamts) est officiellement autorisée à créer et mettre en œuvre le traitement des données à caractère personnel du dossier
médical partagé (DMP). Dans le décret, publié au Journal officiel du 18 novembre, il est rappelé
que ce traitement a pour but de «favoriser la prévention, ainsi que la coordination, la qualité et la
continuité des soins». Les différentes catégories de données utilisées par ce traitement portent
sur l’identifiant, le rattachement de l’assuré à un organisme d’assurance maladie obligatoire et
ses adresses postale et électronique. Pour tous les titulaires d’un DMP, elles concernent en plus
les données du bénéficiaire et de son identité mais aussi celles relatives «à la prévention, à l’état
de santé et au suivi social et médico-social que les professionnels de santé estiment devoir être
partagées dans le dossier». À cela s’ajoutent : les données de gestion du dossier, dont la date
de création, les autorisations d’accès et les données de gestion du compte Internet.
Un INS calculé en attendant le décret en Conseil d’État
Il est rappelé dans ce texte que la Cnamts attribue à chaque DMP un identifiant national de
santé (INS). Les dispositions entourant cet identifiant doivent être prises dans le cadre d’un
décret en Conseil d’État après avis de la Commission nationale de l’informatique et des libertés
(Cnil) et au plus tard le 31 décembre 2017. Par conséquent, dans l’attente de la mise en œuvre
de cet INS, «le patient sera identifié par un INS calculé (INS-C), actuel identifiant technique du
DMP, généré via le numéro d’inscription au répertoire national d’identification des personnes
physiques (Nir) et d’autres éléments d’identification qui sont les nom, prénoms et date de
naissance du titulaire», précise la Cnil dans son avis. À des fins de gestion de cet identifiant,
la Cnamts établit une table de correspondance entre le Nir et l’INS-C. Elle permettra «de relier le DMP aux données traitées par l’Assurance maladie pour mettre en œuvre de nouveaux
modes de création et d’alimentation». Sur ce sujet, la Cnil rappelle que l’INS-C «ne permet pas
d’apporter une garantie absolue de non-collision et d’absence de doublon et considère que
l’acceptation de cette solution provisoire ne doit pas se prolonger au-delà de ce qui est nécessaire et suffisant pour mettre en place l’INS». Elle ajoute que le décret «reste silencieux» quant
aux données à caractère personnel relatives aux professionnels de santé et aux personnels
exerçant sous leur responsabilité alors qu’elle sont appelées à faire l’objet d’un traitement. La
commission s’interroge aussi sur le versement automatique des données issues de l’historique
des remboursements dont l’accès doit être normalement subordonné au consentement des
personnes.
Un middle office pour les données du Sniiram
Un portail sera mis à disposition des patients pour la création et la consultation du DMP. Les informations sur les modalités d’exercice de leurs droits d’accès et de rectification des données
seront aussi disponibles sur les sites des organismes d’assurance maladie. Pour les titulaires
d’un dossier médical personnel, une information individuelle leur sera délivrée par courriel ou
par un courrier spécifique. Elles seront aussi en mesure d’accepter les nouvelles conditions
générales d’utilisation du DMP lors de leur première connexion, note la Cnil dans son avis. La
transmission à la Cnamts de l’ensemble des secrets concernant le système DMP détenus par
l’Agence des systèmes d’information partagés de santé (Asip Santé) doit s’opérer de manière
sécurisée. Une convention entre l’agence et la Cnamts doit en ce sens être signée.
Dans sa délibération, la Cnil indique que pour les données extraites à partir du système national
d’information interrégimes de l’Assurance maladie (Sniiram), la Cnamts mettra en œuvre un
traitement visant à recevoir et organiser les données. Il a été présenté comme un middle office
dédié faisant le lien entre le DMP, le Sniiram, les bases de gestion du DMP et les référentiels
de la Cnamts. «Pour des questions de performance, de mise en forme et d’enrichissement
des données, le middle office DMP conservera un historique de vingt-quatre mois plus l’année
en cours, néanmoins limité aux seules données utiles au DMP. Le positionnement de ce système a été «particulièrement étudié par la commission, indique-t-elle, «en raison des risques
que constitue une telle plateforme traitant des données du Sniiram réidentifiées avec le Nir du
bénéficiaire et reliées à son DMP par la table de correspondance NIR-INS-C». Concrètement,
la Cnamts prévoit de le placer dans une bulle HDS, c’est-à-dire une partie de son système
d’information isolée du reste et disposant de mesures de sécurité renforcées. La Cnil y sera
vigilante, note-t-elle.
Géraldine Tribault