Donnée de santé, Non classé Par le 03/04/2017 06:16

La doctrine de la CNIL cassée par le législateur. Le 20 février 2007, la CNIL publiait ses conclusions « sur l’utilisation du NIR comme identifiant de santé », au terme desquelles elle décidait de restreindre l’utilisation du numéro de Sécurité Sociale à la sphère sociale et interdisait son utilisation en tant qu’identifiant de santé.

Neuf ans plus tard, la Ministre de la Santé cassait cette doctrine en inscrivant dans la loi du 26 janvier 2016 un article L1111-8-1 prévoyant son utilisation « comme identifiant de santé des personnes pour leur prise en charge à des fins sanitaires et médico-sociales, dans les conditions prévues à l’article L. 1110-4 ».

Dix ans plus tard, le décret donnant vie à cet article L1111-8-1 est paru au Journal Officiel (Décret n° 2017-412 du 27 mars 2017).

Mais pour autant, le dispositif n’est pas encore complet…

 

Machine arrière toute. Le texte ne se borne pas à poser le principe d’utilisation du NIR comme identifiant de santé. Il va jusqu’à l’imposer, en évoquant in fine « l’obligation d’utilisation de l’identifiant national de santé ». Une exception : le « cas d’impossibilité de pouvoir accéder à l’identifiant national de santé », qui permettra l’octroi d’un identifiant temporaire. Mais dans cette hypothèse, le NIR de la personne devra être substitué à l’identifiant temporaire, « dès qu’il sera possible d’y accéder ».

Pour être certain que l’utilisation du NIR sera possible, le décret écarte l’application du droit d’opposition pour les traitements de données à caractère personnel ayant pour seul objet le référencement de données relatives à la santé et de données administratives à l’aide de l’identifiant national de santé.

 

A quoi servira le NIR ? La totalité des données relatives à la santé et des données administratives de toute « personne bénéficiant ou appelée à bénéficier d’un acte diagnostique, thérapeutique, de prévention, de soulagement de la douleur, de compensation du handicap ou de prévention de la perte d’autonomie, ou d’interventions nécessaires à la coordination de plusieurs de ces actes » devra être répertoriées dans un dossier comportant ce numéro.

En revanche, c’est tout ce à quoi pourra servir le NIR. Aucun autre usage n’est possible. Impossible donc de s’en servir pour retracer le parcours d’un patient dans un établissement à des fins de recherche.

Le décret le confirme en indiquant que « l’utilisation de données de santé et de données administratives référencées avec l’identifiant national de santé n’est autorisée dans le cadre d’un traitement de données à caractère personnel que si le traitement a une finalité exclusivement sanitaire ou médico-sociale, y compris les fonctions nécessaires pour assurer le suivi social ou la gestion administrative des personnes prises en charge ».

 

Qui pourra utiliser le NIR ? Le décret précise qu’au sein des cabinets, établissements, services et organismes admis à traiter le NIR, seuls des professionnels constituant une équipe de soins et intervenant dans la prise en charge sanitaire ou médico-sociale de la personne pourront « référencer » les données à l’aide de ce numéro. Faut-il en déduire que tacitement, le champ de l’équipe de soins serait étendu au personnel administratif ? Car le « référencement » des données administratives ne sera que très peu probablement le fait d’un membre de l’équipe de soins, au sens strict.

L’accès ne pourra se faire qu’en présence du patient, puisqu’il ne pourra se faire qu’en utilisant la « carte vitale » du patient. Si ce dernier n’est pas en possession de sa carte vitale, l’équipe de soins pourra accéder au dossier du patient « au moyen des services de recherche et de vérification de l’identifiant de santé mis en œuvre par la Caisse nationale de l’assurance maladie des travailleurs salariés » (CNAM-TS).

 

Quel régime de formalités préalables auprès de la CNIL s’appliquera ? Le décret fait exception aux dispositions de la loi Informatique et Libertés imposant des formalités spécifiques pour le traitement du NIR.

Bien sûr, l’ensemble des traitements de données basés sur le NIR devra être mis en œuvre dans le respect des dispositions de la loi Informatique et Libertés.

 

Quand le décret sera-t-il applicable ? Au 1er janvier 2020 en principe, et ce si aucune nouvelle réforme n’intervient… de nombreux textes doivent encore être publiés d’ici là.

Le décret précise en effet qu’un référentiel sera publié pour :

  • définir les « modalités de mise en œuvre de l’obligation d’utilisation de l’identifiant national de santé » ;
  • préciser « les procédures de surveillance et de gestion des risques et erreurs liés à l’identification des personnes prises en charge devant être mises en œuvre par les professionnels, établissements, services et organismes » ;
  • préciser « les mesures de sécurité applicables aux opérations de référencement de données ».

Quand ce référentiel sera-t-il accessible ? Pas avant la publication du référentiel de sécurité et d’interopérabilité prévu à l’article L1110-4-1, mais au plus tard le 31 mars 2018.

Les services de recherche et de vérification de l’identifiant de santé mis en œuvre par la CNAM-TS seront eux accessibles après la publication du référentiel et au plus tard le 31 décembre 2018.

 

Une utilisation anticipée du NIR est-elle possible ? Les dispositions transitoires du décret prévoient un régime de formalités préalables auprès de la CNIL différent selon que l’utilisation du NIR intervient préalablement ou postérieurement à la publication du référentiel.

Préalablement, les responsables de traitement devront notifier ce changement à la Commission Nationale de l’Informatique et des Libertés (CNIL).

Postérieurement, les responsables de traitement n’auront aucune modification à déclarer.