Publié au journal officiel de ce matin, le décret n° 2019-1036 du 8 octobre 2019 vient modifier le cadre relatif à l’utilisation du numéro d’inscription au répertoire national d’identification des personnes physiques comme identifiant national de santé (NIR-INS).
Fort logiquement, le texte révise le calendrier et prévoit une application du dispositif à compter du 1er janvier 2021. Fort logiquement parce que la doctrine technique du numérique en santé, qui contient une partie relative à l’utilisation du NIR, n’a été soumise à la concertation publique que cette semaine. A noter – même si la CNIL a précisé dans son avis qu’aucune notification ne lui a été faite – que le décret supprime la possibilité d’une utilisation volontaire anticipée du NIR. Si les conditions de cette utilisation n’étaient en pratique pas réunies, cette possibilité n’en laissait pas moins rêveurs les acteurs de la santé.
Est ensuite intégralement réécrit l’article relatif aux téléservices qui devront être mis en œuvre par la Caisse Nationale d’Assurance Maladie (CNAM). Le décret vise expressément l’ordonnance du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, plaçant ainsi ces outils dans le cadre applicable aux systèmes d’information « permettant aux usagers de procéder par voie électronique à des démarches ou formalités administratives ». Extension volontaire du cadre aux outils d’accès et de vérification du NIR-INS ? Volonté de considérer les établissements comme des « usagers » d’une administration ? Ou simple erreur ? Peu importe, la CNIL a saisi l’opportunité que lui offrait ce visa pour compléter les obligations de sécurité du RGPD par celles prévues par le Référentiel Général de Sécurité (RGS). Outre une analyse d’impact, la CNAM devra donc réaliser une analyse de risque et homologuer chaque téléservice mis en œuvre. Des obligations en plus pour la Caisse, mais qui pourraient devenir des avantages pour les « industriels » de la santé. En effet, outre le RGS, un téléservice doit respecter le Référentiel Général d’Interopérabilité (RGI), ce qui permet d’envisager une intégration « facile » des téléservices dans leurs logiciels et outils.
Reste enfin la question de la sécurité. La CNIL a d’ores et déjà indiqué qu’elle attendait « des mesures de sécurité conséquentes, suffisamment fortes pour éviter que l’INS ne soit diffusé plus que nécessaire et à des fins détournées, et qui devront être à même de garantir un haut niveau de disponibilité, d’intégrité, de confidentialité et de traçabilité ». Et elle a fait préciser au Ministre que la mise en œuvre de ces téléservices n’aura pas pour conséquence de dispenser les professionnels et établissements de santé de mettre en place des procédures d’identitovigilance permettant de surveiller, corriger ou prévenir des erreurs.
En fait, c’est peut-être une bonne chose que l’application du NIR-INS soit repoussée à 2021. Pendant que la Caisse planche sur sa copie, les acteurs de la santé vont pouvoir mettre en place les mesures nécessaires à éviter les erreurs liées à l’identifiant national de santé… lui-même censé éviter les erreurs.