Délibération n° 2014-09 du 4 février 2014 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Accès accordé au CHPG tendant à la vérification des droits réels des bénéficiaires des prestations desservies par la CAMTI » présenté par la Caisse d’Assurance Maladie, accident et maternité des Travailleurs Indépendants
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 127 du 15 janvier 1930 constituant l’hôpital en établissement public autonome ;
Vu la loi n° 1.048 du 28 juillet 1982 instituant un régime de prestations sociales en faveur des travailleurs indépendants, modifiée ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’ordonnance souveraine n° 7.485 du 1er octobre 1982 fixant les modalités d’application de la loi n° 1.048 du 28 juillet 1982 instituant un régime de prestations sociales en faveur des travailleurs indépendants, modifiée ;
Vu l’ordonnance souveraine n° 5.095 du 14 février 1973 sur l’organisation et le fonctionnement du Centre Hospitalier Princesse Grace, modifiée ;
Vu l’ordonnance souveraine n° 7.191 du 31 août 1981 relative aux opérations financières et comptables de la Caisse de Compensation des Services Sociaux, de la Caisse Autonome des Retraites et de la Caisse Autonome des Retraites des Travailleurs Indépendants ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’arrêté ministériel n° 86-620 du 10 novembre 1986 portant établissement du règlement intérieur du Centre Hospitalier Princesse Grace ;
Vu l’arrêté ministériel n° 94-365 du 1er septembre 1994 fixant les modalités de la suppression de la participation du bénéficiaire de prestations aux frais de traitement et d’examens, modifié ;
Vu l’arrêté ministériel n° 2010-638 du 23 décembre 2010 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la Recommandation R(86) 1 du Comité des Ministres aux Etats membres du Conseil de l’Europe relative à la protection des données à caractère personnel utilisées à des fins de sécurité sociale du 23 janvier 1986 ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu le traitement automatisé d’informations nominatives ayant pour finalité « Gestion des prestations médicales » des Caisses Sociales de Monaco ayant fait l’objet d’un récépissé de mise en œuvre initial le 31 octobre 2003, modifié le 13 novembre 2007 ;
Vu la délibération n° 2006-02 du 6 février 2006 portant avis favorable sur la mise en œuvre, en régularisation, par le Directeur du Centre Hospitalier Princesse Grace d’un traitement automatisé relatif à la « Gestion des dossiers administratifs des patients » ;
Vu la délibération n° 2013-144 du 16 décembre 2013 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des accès aux systèmes d’information opérés par les Caisses Sociales » présenté par la Caisse de Compensation des Services Sociaux de Monaco ;
Vu la demande d’avis reçue le 17 novembre 2013 concernant la mise en œuvre par la Caisse d’Assurance Maladie, accident et maternité des Travailleurs Indépendants d’un traitement automatisé ayant pour finalité « Fiabilisation des éléments de facturation reçus du CHPG par la confirmation, par la CAMTI, des éléments administratifs » ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 14 janvier 2014, conformément à l’article 19 de l’ordonnance souveraine n° 2.230, susmentionnée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 4 février 2014 portant analyse dudit traitement automatisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La Caisse d’Assurance Maladie, accident et maternité des Travailleurs Indépendants (CAMTI), responsable de traitement, est un organisme de droit privé investi d’une mission d’intérêt général au sens de l’article 7 de la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée.
Ainsi, le traitement d’informations nominatives, objet de la présente délibération, est soumis à l’avis de la Commission conformément à l’article 7 de la loi précitée.
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité « Fiabilisation des éléments de facturation reçus du CHPG par la confirmation, par la CAMTI, des éléments administratifs ».
Il concerne les assurés et ayants droit de la Caisse bénéficiant de prestations médicales.
Ce traitement a pour objet de permettre au Centre Hospitalier Princesse Grace (CHPG), établissement public autonome, de confirmer, vérifier et valider les données d’identification des bénéficiaires de soins et leur taux de prise en charge par la Caisse lors de leur admission au CHPG ou préalablement à l’établissement d’une facturation de soins externes.
Ses fonctionnalités sont les suivantes :
- rapprocher les données d’identification des patients saisies au CHPG et les données d’identification des assurés immatriculés à la CAMTI et de leurs ayants droit ;
- confirmer le taux de prise en charge d’un bénéficiaire de soins délivrés au CHPG afin de veiller à la fiabilité des informations et des facturations émises.
La Commission relève que la fiabilisation des éléments de facturation évoqués dans la finalité consiste en la vérification des données d’identité d’un bénéficiaire de soins afin de vérifier, d’une part, son affiliation à la CAMTI, et d’autre part, le taux de prise en charge. Aucun autre élément de facturation, qu’il soit de nature administrative ou révélateur de l’acte réalisé, n’est échangé s’agissant du présent traitement.
La Commission rappelle que la finalité d’un traitement doit être déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
Aussi afin d’éviter toute confusion quant au contenu des éléments échangés entre la CAMTI et le CHPG, elle considère que la finalité du traitement devrait être modifiée par « Accès accordé au CHPG tendant à la vérification des droits réels des bénéficiaires des prestations desservies par la CAMTI ».
Par ailleurs, la Commission note que le présent traitement fait l’objet d’une mise en relation avec un traitement automatisé d’informations nominatives ayant pour finalité « Gestion des prestations maladies », susvisé, déclaré par les Caisses Sociales de Monaco sous l’empire des anciennes dispositions de la loi n° 1.165 du 23 décembre 1993.
A cette occasion, elle relève que ce traitement concerne tant les salariés immatriculés à la CCSS que les travailleurs indépendants immatriculés à la CAMTI. Elle rappelle que cette confusion des missions des Caisses Sociales de Monaco, soumis à la procédure de déclaration préalable jusqu’en juillet 2009, n’est plus appliquée depuis cette date, et que toute modification du traitement impliquera une demande d’avis spécifique à chaque entité.
Tenant compte de l’antériorité de la mise en œuvre de ce traitement, la Commission relève que ces mises en relation sont conformes au principe de compatibilité de l’article 10-1 de la loi n° 1.165, susvisée.
II. Sur la licéité et la justification du traitement
• Sur la licéité du traitement
La CAMTI a été créée par la loi n° 1.048 du 28 juillet 1982, susvisée.
Elle a été instituée pour assurer « en faveur des personnes qui exercent une activité professionnelle non salariée au sens de la loi sur la retraite des travailleurs indépendants ou qui, si elles résident à Monaco ou dans le département limitrophe, bénéficient d’une pension au titre de cette loi », le service des prestations du « régime obligatoire couvrant les risques maladie, accident et maternité », destinées notamment « à participer aux frais qu’ils ont exposés ».
Les conditions d’ouverture des droits, la durée et le montant des prestations en nature auxquelles peuvent prétendre les assurés sociaux auprès de la CAMTI sont, notamment, fixés aux articles 14 et suivants de la loi précitée.
En outre, aux termes de l’article 23 de cette loi, « Sont applicables, sous réserve des dispositions contraires de la présente loi, les règles résultant de la législation et de la réglementation du régime général des salariés, notamment celles qui concernent :
1) les modalités selon lesquelles peuvent être exposés les frais donnant lieu à remboursement ;
2) les examens médicaux et contrôles auxquels doivent se soumettre les bénéficiaires des prestations ;
3) le régime des cures thermales ».
Parallèlement, l’article 34 du règlement intérieur du CHPG dispose que « Les bénéficiaires des différents régimes de sécurité sociale et ceux de l’aide médicale doivent, lors de leur admission, fournir tous documents nécessaires à l’obtention par l’établissement de la prise en charge des frais d’hospitalisation par l’organisme de sécurité sociale ou d’aide médicale dont ils relèvent.
Plus généralement, tout hospitalisé est tenu de produire les documents et renseignements qui lui sont demandés par l’administration lors de son admission ».
Enfin, selon son article 167, « Les malades susceptibles de bénéficier d’une prise en charge totale ou partielle de leurs frais d’hospitalisation par un organisme tiers payant (assistance, assurance, sécurité sociale ou mutuelle) doivent accomplir, dès leur admission, ou dans les trois jours ouvrables si cette dernière est prononcée d’urgence, toutes les formalités prévues par les règlements particuliers desdits organismes.
Faute par eux de présenter un bon de prise en charge régulier à leur entrée, ou dans les cinq jours de leur admission, si cette dernière a été prononcée d’urgence, ils seront considérés comme malades payants et devront acquitter personnellement le montant de leurs frais de séjour. Ils devront, notamment, verser la provision et régler les factures dans les conditions prévues à l’article 166 ».
En conséquence, le présent traitement n’a pas pour objet de dégager les assurés de leurs obligations. Il permet à l’établissement hospitalier de vérifier les informations sur les droits des bénéficiaires des soins afin de déterminer le montant des frais de séjour qu’ils devront acquitter.
La Commission considère que le traitement est licite conformément à l’article 10-1 de la loi n° 1.165, modifiée.
• Sur la justification du traitement
Le traitement est justifié par la réalisation d’un intérêt légitime poursuivi par le responsable de traitement et le destinataire des informations qui ne méconnaît ni l’intérêt, ni les droits et libertés fondamentaux des personnes concernées.
A l’appui de cette justification, le responsable de traitement met en évidence les objectifs du traitement qui permettra :
- de « fiabiliser les éléments de la facturation des soins et de limiter ainsi les interventions liées à la régularisation d’erreurs de facturation », améliorant des procédures de facturations du CHPG et, indirectement, celles des remboursements de la Caisse ;
- de « faciliter la procédure de remboursement des frais de santé exposés par les assurés, notamment en favorisant leur facturation en mode « tiers payant » » ;
- de prévenir, ou à défaut, de limiter les erreurs de facturation, des paiements injustifiés, de régularisations a postériori concernant tant le responsable de traitement, le CHPG ou les assurés sociaux ;
- de tenir compte des situations spécifiques ou des cas prévus par les textes qui limitent ou suppriment la participation des bénéficiaires de prestations aux frais de traitement.
Ainsi, ce traitement ne méconnaît pas l’intérêt des personnes concernées puisqu’il permettra aux bénéficiaires de prestations de la Caisse d’être pris en charge par le CHPG en tenant compte de leur situation au moment des soins.
La Commission observe que les informations relatives à l’identité du bénéficiaire des soins, ses noms, prénoms, numéro d’assuré social, caisse d’assurance maladie, sa qualité d’assuré ou de bénéficiaire et le lien avec le bénéficiaire sont demandées à toute personne admise au CHPG.
Dans ce sens, la carte d’assuré social doit être présentée lors de l’admission.
Ces informations sont communiquées par les assurés eux-mêmes lors de leur admission au CHPG ou à la suite d’une consultation ou prestation en soins externes. Elles sont nécessaires à la prise en charge du patient au sein de l’établissement public. De ces éléments découlent les procédures de facturation des soins et prestations.
Tenant compte des justifications du responsable de traitement, la Commission observe, en outre, que le taux de prise en charge des assurés n’est pas indiqué sur la carte qui leur est adressée chaque année, en considération des variations possibles au cours d’une même année ou selon les pathologies dont peut souffrir un assuré particulier.
Enfin, elle relève que l’accès envisagé est dévolu au Centre Hospitalier Princesse Grace, établissement public autonome disposant de missions de service public, sous Convention avec la CAMTI.
La Commission considère donc que ce traitement est justifié conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées et leur origine
• Sur le détail des informations traitées
Les informations nominatives objets du traitement sont :
- identité : nom, prénom, date de naissance de l’assuré et de ses ayants droit ;
- identification de l’assuré : numéro de matricule, caisse de rattachement ;
- suivi administratif : date de soins, taux de prise en charge, date de fin du taux de prise en charge à 100 %.
L’interrogation du CHPG sera basée sur les triplets suivants : identification de la Caisse/numéro de matricule/date de naissance ou identification de la caisse/nom et prénom/date de naissance.
Aussi celle-ci présuppose une communication d’informations préalable de la part de l’assuré ou du bénéficiaire des droits.
• Sur l’origine des informations
Les informations ont pour origine les traitements automatisés d’informations nominatives ayant pour finalité « Gestion des prestations médicales » des Caisses Sociales de Monaco.
Les informations relatives au suivi administratif des assurés ont pour origine :
- le traitement précité pour les taux de prise en charge et la date de fin de prise en charge ;
- le CHPG pour la date des soins ou la date du jour.
La Commission relève que la demande d’avis ne mentionne pas la conservation des données de connexion du personnel du CHPG habilité à avoir accès au traitement.
S’agissant d’un accès aux données traitées par la CAMTI, placées sous la responsabilité de la Caisse, la Commission rappelle qu’il appartient au responsable de traitement de veiller au respect des principes de sécurité et de confidentialité des informations et des traitements consacrés à l’article 17 de la loi n° 1.165.
Sur ce point, elle prend acte d’une convention en projet entre le Directeur des Caisses Sociales de Monaco, agissant dans le cadre des missions qui lui sont conférées aux termes de l’ordonnance souveraine n° 7.191 du 31 août 1981 susvisée, et le Directeur du CHPG. Tenant compte des modalités de fonctionnement technique du présent traitement, la Commission considère que :
- les données de connexion des équipements du CHPG devront faire l’objet d’une procédure de traçabilité adaptée et être conservées par la CAMTI ;
- le directeur du CHPG devra mettre en place des mesures techniques et organisationnelles qui permettront de fournir, sous 24 heures, la liste nominative des personnes habilitées à avoir accès au présent traitement et les journaux de connexion associés à ces accès avec une antériorité de 3 mois. Cette communication devra être réalisée à toute demande de la CAMTI ou des autorités compétentes.
La Commission estime en outre que la Convention précitée devra comporter une clause dans ce sens.
Enfin, afin de veiller au respect des principes de protection des informations nominatives par le destinataire des informations, elle demande que, préalablement à toute mise en œuvre du présent traitement, le CHPG lui soumette le traitement automatisé afférent aux opérations portant sur les informations réalisées par ses services.
La Commission considère que les informations accessibles sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
IV. Sur les droits des personnes concernées
• Sur l’information des personnes concernées
L’information préalable des personnes concernées, assurées auprès de la Caisse, est réalisée par une rubrique propre à la protection des informations nominatives accessible sur le site internet des Caisses Sociales de Monaco.
• Sur l’exercice du droit d’accès, de modification et de mise à jour
La Commission relève qu’aux termes de l’article 13 de la loi n° 1.165, s’agissant d’un traitement mis en œuvre par un organisme de droit privé investi d’une mission d’intérêt général, les personnes concernées par le présent traitement ne disposent pas du droit de s’opposer au traitement de leurs informations.
Elles peuvent exercer leur droit d’accès et de rectification auprès du « correspondant CCIN » ou des personnes chargées de l’accueil physique des personnes au siège de la Caisse, par courrier électronique, par voie postale ou sur place, ainsi que par le biais d’un accès en ligne à leur dossier.
La réponse à toute demande est réalisée dans les 15 jours suivant la réception. En cas de demande de modification ou de mise à jour des informations, une réponse sera apportée à l’intéressé par courrier électronique, par voie postale ou sur place.
La Commission considère que les modalités d’exercice des droits d’accès et de rectification sont conformes aux dispositions de la loi n° 1.165, modifiée.
V. Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès aux informations en interrogation sont les personnels du CHPG en charge de la facturation ou de la gestion administrative du dossier du patient.
La Commission relève qu’un engagement dans ce sens a été rédigé dans un protocole d’accord en projet entre le Directeur des Caisses Sociales de Monaco et le Directeur du CHPG. Comme précédemment développé, cet engagement devra être complété par des mesures techniques et organisationnelles tangibles permettant d’en assurer le respect.
VI. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement appellent les observations développées en point III.
Elle rappelle en outre que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être mises à jour en tenant compte de la période d’exploitation du présent traitement.
VII. Sur la durée de conservation
Le responsable de traitement indique que les données ne font l’objet d’aucune conservation dans le cadre du présent traitement.
La Commission relève toutefois, que les données de connexion des équipements du CHPG devront faire l’objet d’une conservation à des fins de sécurité du système d’information, du traitement et des données accessibles.
Considérant le traitement automatisé d’informations nominatives ayant pour finalité « Gestion des accès aux systèmes d’informations opérés par les Caisses Sociales », susvisé, la durée de conservation des logs de connexion aux applicatifs est de 120 jours.
Elle précise cependant que le caractère nominatif de ces logs ne pourra être envisagé qu’à la suite d’un croisement de fichier entre les logs de connexion à l’application exploitée par le CHPG et ceux de la CAMTI se rapportant au traitement en objet.
Après en avoir délibéré,
Rappelle que la CAMTI, responsable de traitement, doit veiller au respect des principes de sécurité et de confidentialité des informations et des traitements consacrés à l’article 17 de la loi n° 1.165 ;
Considère que la finalité du traitement devrait être modifiée par « Accès accordé au CHPG tendant à la vérification des droits réels des bénéficiaires des prestations desservies par la CAMTI » ;
Demande que :
- les données de connexion des équipements du CHPG fassent l’objet d’une procédure de traçabilité adaptée et soient conservées par la CAMTI ;
- le CHPG mette en place des mesures techniques et organisationnelles qui permettront de fournir, sous 24 heures, la liste nominative des personnes habilitées à avoir accès au présent traitement et les journaux de connexion associés à ces accès avec une antériorité de 3 mois, avec communication des éléments à toute demande de la CAMTI ou des autorités compétentes ;
- la Convention en projet soit complétée par une clause dans ce sens ;
- préalablement à toute mise en œuvre du présent traitement, le CHPG soumette les opérations automatisées réalisées par ses services à l’aide des informations obtenues par le présent aux formalités de mises en œuvre des traitements automatisés d’informations nominatives conformément à l’article 7 de la loi n° 1.165 ;
A la condition de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par la Caisse d’Assurance Maladie, accident et maternité des Travailleurs Indépendants (CAMTI), du traitement automatisé d’informations nominatives ayant pour finalité « Accès accordé au CHPG tendant à la vérification des droits réels des bénéficiaires des prestations desservies par la CAMTI ».
Le Président de la Commission
de Contrôle des Informations Nominatives.
Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 127 du 15 janvier 1930 constituant l’hôpital en établissement public autonome ;
Vu la loi n° 1.048 du 28 juillet 1982 instituant un régime de prestations sociales en faveur des travailleurs indépendants, modifiée ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’ordonnance souveraine n° 7.485 du 1er octobre 1982 fixant les modalités d’application de la loi n° 1.048 du 28 juillet 1982 instituant un régime de prestations sociales en faveur des travailleurs indépendants, modifiée ;
Vu l’ordonnance souveraine n° 5.095 du 14 février 1973 sur l’organisation et le fonctionnement du Centre Hospitalier Princesse Grace, modifiée ;
Vu l’ordonnance souveraine n° 7.191 du 31 août 1981 relative aux opérations financières et comptables de la Caisse de Compensation des Services Sociaux, de la Caisse Autonome des Retraites et de la Caisse Autonome des Retraites des Travailleurs Indépendants ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’arrêté ministériel n° 86-620 du 10 novembre 1986 portant établissement du règlement intérieur du Centre Hospitalier Princesse Grace ;
Vu l’arrêté ministériel n° 94-365 du 1er septembre 1994 fixant les modalités de la suppression de la participation du bénéficiaire de prestations aux frais de traitement et d’examens, modifié ;
Vu l’arrêté ministériel n° 2010-638 du 23 décembre 2010 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la Recommandation R(86) 1 du Comité des Ministres aux Etats membres du Conseil de l’Europe relative à la protection des données à caractère personnel utilisées à des fins de sécurité sociale du 23 janvier 1986 ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu le traitement automatisé d’informations nominatives ayant pour finalité « Gestion des prestations médicales » des Caisses Sociales de Monaco ayant fait l’objet d’un récépissé de mise en œuvre initial le 31 octobre 2003, modifié le 13 novembre 2007 ;
Vu la délibération n° 2006-02 du 6 février 2006 portant avis favorable sur la mise en œuvre, en régularisation, par le Directeur du Centre Hospitalier Princesse Grace d’un traitement automatisé relatif à la « Gestion des dossiers administratifs des patients » ;
Vu la délibération n° 2013-144 du 16 décembre 2013 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des accès aux systèmes d’information opérés par les Caisses Sociales » présenté par la Caisse de Compensation des Services Sociaux de Monaco ;
Vu la demande d’avis reçue le 17 novembre 2013 concernant la mise en œuvre par la Caisse d’Assurance Maladie, accident et maternité des Travailleurs Indépendants d’un traitement automatisé ayant pour finalité « Fiabilisation des éléments de facturation reçus du CHPG par la confirmation, par la CAMTI, des éléments administratifs » ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 14 janvier 2014, conformément à l’article 19 de l’ordonnance souveraine n° 2.230, susmentionnée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 4 février 2014 portant analyse dudit traitement automatisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La Caisse d’Assurance Maladie, accident et maternité des Travailleurs Indépendants (CAMTI), responsable de traitement, est un organisme de droit privé investi d’une mission d’intérêt général au sens de l’article 7 de la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée.
Ainsi, le traitement d’informations nominatives, objet de la présente délibération, est soumis à l’avis de la Commission conformément à l’article 7 de la loi précitée.
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité « Fiabilisation des éléments de facturation reçus du CHPG par la confirmation, par la CAMTI, des éléments administratifs ».
Il concerne les assurés et ayants droit de la Caisse bénéficiant de prestations médicales.
Ce traitement a pour objet de permettre au Centre Hospitalier Princesse Grace (CHPG), établissement public autonome, de confirmer, vérifier et valider les données d’identification des bénéficiaires de soins et leur taux de prise en charge par la Caisse lors de leur admission au CHPG ou préalablement à l’établissement d’une facturation de soins externes.
Ses fonctionnalités sont les suivantes :
- rapprocher les données d’identification des patients saisies au CHPG et les données d’identification des assurés immatriculés à la CAMTI et de leurs ayants droit ;
- confirmer le taux de prise en charge d’un bénéficiaire de soins délivrés au CHPG afin de veiller à la fiabilité des informations et des facturations émises.
La Commission relève que la fiabilisation des éléments de facturation évoqués dans la finalité consiste en la vérification des données d’identité d’un bénéficiaire de soins afin de vérifier, d’une part, son affiliation à la CAMTI, et d’autre part, le taux de prise en charge. Aucun autre élément de facturation, qu’il soit de nature administrative ou révélateur de l’acte réalisé, n’est échangé s’agissant du présent traitement.
La Commission rappelle que la finalité d’un traitement doit être déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
Aussi afin d’éviter toute confusion quant au contenu des éléments échangés entre la CAMTI et le CHPG, elle considère que la finalité du traitement devrait être modifiée par « Accès accordé au CHPG tendant à la vérification des droits réels des bénéficiaires des prestations desservies par la CAMTI ».
Par ailleurs, la Commission note que le présent traitement fait l’objet d’une mise en relation avec un traitement automatisé d’informations nominatives ayant pour finalité « Gestion des prestations maladies », susvisé, déclaré par les Caisses Sociales de Monaco sous l’empire des anciennes dispositions de la loi n° 1.165 du 23 décembre 1993.
A cette occasion, elle relève que ce traitement concerne tant les salariés immatriculés à la CCSS que les travailleurs indépendants immatriculés à la CAMTI. Elle rappelle que cette confusion des missions des Caisses Sociales de Monaco, soumis à la procédure de déclaration préalable jusqu’en juillet 2009, n’est plus appliquée depuis cette date, et que toute modification du traitement impliquera une demande d’avis spécifique à chaque entité.
Tenant compte de l’antériorité de la mise en œuvre de ce traitement, la Commission relève que ces mises en relation sont conformes au principe de compatibilité de l’article 10-1 de la loi n° 1.165, susvisée.
II. Sur la licéité et la justification du traitement
• Sur la licéité du traitement
La CAMTI a été créée par la loi n° 1.048 du 28 juillet 1982, susvisée.
Elle a été instituée pour assurer « en faveur des personnes qui exercent une activité professionnelle non salariée au sens de la loi sur la retraite des travailleurs indépendants ou qui, si elles résident à Monaco ou dans le département limitrophe, bénéficient d’une pension au titre de cette loi », le service des prestations du « régime obligatoire couvrant les risques maladie, accident et maternité », destinées notamment « à participer aux frais qu’ils ont exposés ».
Les conditions d’ouverture des droits, la durée et le montant des prestations en nature auxquelles peuvent prétendre les assurés sociaux auprès de la CAMTI sont, notamment, fixés aux articles 14 et suivants de la loi précitée.
En outre, aux termes de l’article 23 de cette loi, « Sont applicables, sous réserve des dispositions contraires de la présente loi, les règles résultant de la législation et de la réglementation du régime général des salariés, notamment celles qui concernent :
1) les modalités selon lesquelles peuvent être exposés les frais donnant lieu à remboursement ;
2) les examens médicaux et contrôles auxquels doivent se soumettre les bénéficiaires des prestations ;
3) le régime des cures thermales ».
Parallèlement, l’article 34 du règlement intérieur du CHPG dispose que « Les bénéficiaires des différents régimes de sécurité sociale et ceux de l’aide médicale doivent, lors de leur admission, fournir tous documents nécessaires à l’obtention par l’établissement de la prise en charge des frais d’hospitalisation par l’organisme de sécurité sociale ou d’aide médicale dont ils relèvent.
Plus généralement, tout hospitalisé est tenu de produire les documents et renseignements qui lui sont demandés par l’administration lors de son admission ».
Enfin, selon son article 167, « Les malades susceptibles de bénéficier d’une prise en charge totale ou partielle de leurs frais d’hospitalisation par un organisme tiers payant (assistance, assurance, sécurité sociale ou mutuelle) doivent accomplir, dès leur admission, ou dans les trois jours ouvrables si cette dernière est prononcée d’urgence, toutes les formalités prévues par les règlements particuliers desdits organismes.
Faute par eux de présenter un bon de prise en charge régulier à leur entrée, ou dans les cinq jours de leur admission, si cette dernière a été prononcée d’urgence, ils seront considérés comme malades payants et devront acquitter personnellement le montant de leurs frais de séjour. Ils devront, notamment, verser la provision et régler les factures dans les conditions prévues à l’article 166 ».
En conséquence, le présent traitement n’a pas pour objet de dégager les assurés de leurs obligations. Il permet à l’établissement hospitalier de vérifier les informations sur les droits des bénéficiaires des soins afin de déterminer le montant des frais de séjour qu’ils devront acquitter.
La Commission considère que le traitement est licite conformément à l’article 10-1 de la loi n° 1.165, modifiée.
• Sur la justification du traitement
Le traitement est justifié par la réalisation d’un intérêt légitime poursuivi par le responsable de traitement et le destinataire des informations qui ne méconnaît ni l’intérêt, ni les droits et libertés fondamentaux des personnes concernées.
A l’appui de cette justification, le responsable de traitement met en évidence les objectifs du traitement qui permettra :
- de « fiabiliser les éléments de la facturation des soins et de limiter ainsi les interventions liées à la régularisation d’erreurs de facturation », améliorant des procédures de facturations du CHPG et, indirectement, celles des remboursements de la Caisse ;
- de « faciliter la procédure de remboursement des frais de santé exposés par les assurés, notamment en favorisant leur facturation en mode « tiers payant » » ;
- de prévenir, ou à défaut, de limiter les erreurs de facturation, des paiements injustifiés, de régularisations a postériori concernant tant le responsable de traitement, le CHPG ou les assurés sociaux ;
- de tenir compte des situations spécifiques ou des cas prévus par les textes qui limitent ou suppriment la participation des bénéficiaires de prestations aux frais de traitement.
Ainsi, ce traitement ne méconnaît pas l’intérêt des personnes concernées puisqu’il permettra aux bénéficiaires de prestations de la Caisse d’être pris en charge par le CHPG en tenant compte de leur situation au moment des soins.
La Commission observe que les informations relatives à l’identité du bénéficiaire des soins, ses noms, prénoms, numéro d’assuré social, caisse d’assurance maladie, sa qualité d’assuré ou de bénéficiaire et le lien avec le bénéficiaire sont demandées à toute personne admise au CHPG.
Dans ce sens, la carte d’assuré social doit être présentée lors de l’admission.
Ces informations sont communiquées par les assurés eux-mêmes lors de leur admission au CHPG ou à la suite d’une consultation ou prestation en soins externes. Elles sont nécessaires à la prise en charge du patient au sein de l’établissement public. De ces éléments découlent les procédures de facturation des soins et prestations.
Tenant compte des justifications du responsable de traitement, la Commission observe, en outre, que le taux de prise en charge des assurés n’est pas indiqué sur la carte qui leur est adressée chaque année, en considération des variations possibles au cours d’une même année ou selon les pathologies dont peut souffrir un assuré particulier.
Enfin, elle relève que l’accès envisagé est dévolu au Centre Hospitalier Princesse Grace, établissement public autonome disposant de missions de service public, sous Convention avec la CAMTI.
La Commission considère donc que ce traitement est justifié conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées et leur origine
• Sur le détail des informations traitées
Les informations nominatives objets du traitement sont :
- identité : nom, prénom, date de naissance de l’assuré et de ses ayants droit ;
- identification de l’assuré : numéro de matricule, caisse de rattachement ;
- suivi administratif : date de soins, taux de prise en charge, date de fin du taux de prise en charge à 100 %.
L’interrogation du CHPG sera basée sur les triplets suivants : identification de la Caisse/numéro de matricule/date de naissance ou identification de la caisse/nom et prénom/date de naissance.
Aussi celle-ci présuppose une communication d’informations préalable de la part de l’assuré ou du bénéficiaire des droits.
• Sur l’origine des informations
Les informations ont pour origine les traitements automatisés d’informations nominatives ayant pour finalité « Gestion des prestations médicales » des Caisses Sociales de Monaco.
Les informations relatives au suivi administratif des assurés ont pour origine :
- le traitement précité pour les taux de prise en charge et la date de fin de prise en charge ;
- le CHPG pour la date des soins ou la date du jour.
La Commission relève que la demande d’avis ne mentionne pas la conservation des données de connexion du personnel du CHPG habilité à avoir accès au traitement.
S’agissant d’un accès aux données traitées par la CAMTI, placées sous la responsabilité de la Caisse, la Commission rappelle qu’il appartient au responsable de traitement de veiller au respect des principes de sécurité et de confidentialité des informations et des traitements consacrés à l’article 17 de la loi n° 1.165.
Sur ce point, elle prend acte d’une convention en projet entre le Directeur des Caisses Sociales de Monaco, agissant dans le cadre des missions qui lui sont conférées aux termes de l’ordonnance souveraine n° 7.191 du 31 août 1981 susvisée, et le Directeur du CHPG. Tenant compte des modalités de fonctionnement technique du présent traitement, la Commission considère que :
- les données de connexion des équipements du CHPG devront faire l’objet d’une procédure de traçabilité adaptée et être conservées par la CAMTI ;
- le directeur du CHPG devra mettre en place des mesures techniques et organisationnelles qui permettront de fournir, sous 24 heures, la liste nominative des personnes habilitées à avoir accès au présent traitement et les journaux de connexion associés à ces accès avec une antériorité de 3 mois. Cette communication devra être réalisée à toute demande de la CAMTI ou des autorités compétentes.
La Commission estime en outre que la Convention précitée devra comporter une clause dans ce sens.
Enfin, afin de veiller au respect des principes de protection des informations nominatives par le destinataire des informations, elle demande que, préalablement à toute mise en œuvre du présent traitement, le CHPG lui soumette le traitement automatisé afférent aux opérations portant sur les informations réalisées par ses services.
La Commission considère que les informations accessibles sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
IV. Sur les droits des personnes concernées
• Sur l’information des personnes concernées
L’information préalable des personnes concernées, assurées auprès de la Caisse, est réalisée par une rubrique propre à la protection des informations nominatives accessible sur le site internet des Caisses Sociales de Monaco.
• Sur l’exercice du droit d’accès, de modification et de mise à jour
La Commission relève qu’aux termes de l’article 13 de la loi n° 1.165, s’agissant d’un traitement mis en œuvre par un organisme de droit privé investi d’une mission d’intérêt général, les personnes concernées par le présent traitement ne disposent pas du droit de s’opposer au traitement de leurs informations.
Elles peuvent exercer leur droit d’accès et de rectification auprès du « correspondant CCIN » ou des personnes chargées de l’accueil physique des personnes au siège de la Caisse, par courrier électronique, par voie postale ou sur place, ainsi que par le biais d’un accès en ligne à leur dossier.
La réponse à toute demande est réalisée dans les 15 jours suivant la réception. En cas de demande de modification ou de mise à jour des informations, une réponse sera apportée à l’intéressé par courrier électronique, par voie postale ou sur place.
La Commission considère que les modalités d’exercice des droits d’accès et de rectification sont conformes aux dispositions de la loi n° 1.165, modifiée.
V. Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès aux informations en interrogation sont les personnels du CHPG en charge de la facturation ou de la gestion administrative du dossier du patient.
La Commission relève qu’un engagement dans ce sens a été rédigé dans un protocole d’accord en projet entre le Directeur des Caisses Sociales de Monaco et le Directeur du CHPG. Comme précédemment développé, cet engagement devra être complété par des mesures techniques et organisationnelles tangibles permettant d’en assurer le respect.
VI. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement appellent les observations développées en point III.
Elle rappelle en outre que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être mises à jour en tenant compte de la période d’exploitation du présent traitement.
VII. Sur la durée de conservation
Le responsable de traitement indique que les données ne font l’objet d’aucune conservation dans le cadre du présent traitement.
La Commission relève toutefois, que les données de connexion des équipements du CHPG devront faire l’objet d’une conservation à des fins de sécurité du système d’information, du traitement et des données accessibles.
Considérant le traitement automatisé d’informations nominatives ayant pour finalité « Gestion des accès aux systèmes d’informations opérés par les Caisses Sociales », susvisé, la durée de conservation des logs de connexion aux applicatifs est de 120 jours.
Elle précise cependant que le caractère nominatif de ces logs ne pourra être envisagé qu’à la suite d’un croisement de fichier entre les logs de connexion à l’application exploitée par le CHPG et ceux de la CAMTI se rapportant au traitement en objet.
Après en avoir délibéré,
Rappelle que la CAMTI, responsable de traitement, doit veiller au respect des principes de sécurité et de confidentialité des informations et des traitements consacrés à l’article 17 de la loi n° 1.165 ;
Considère que la finalité du traitement devrait être modifiée par « Accès accordé au CHPG tendant à la vérification des droits réels des bénéficiaires des prestations desservies par la CAMTI » ;
Demande que :
- les données de connexion des équipements du CHPG fassent l’objet d’une procédure de traçabilité adaptée et soient conservées par la CAMTI ;
- le CHPG mette en place des mesures techniques et organisationnelles qui permettront de fournir, sous 24 heures, la liste nominative des personnes habilitées à avoir accès au présent traitement et les journaux de connexion associés à ces accès avec une antériorité de 3 mois, avec communication des éléments à toute demande de la CAMTI ou des autorités compétentes ;
- la Convention en projet soit complétée par une clause dans ce sens ;
- préalablement à toute mise en œuvre du présent traitement, le CHPG soumette les opérations automatisées réalisées par ses services à l’aide des informations obtenues par le présent aux formalités de mises en œuvre des traitements automatisés d’informations nominatives conformément à l’article 7 de la loi n° 1.165 ;
A la condition de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par la Caisse d’Assurance Maladie, accident et maternité des Travailleurs Indépendants (CAMTI), du traitement automatisé d’informations nominatives ayant pour finalité « Accès accordé au CHPG tendant à la vérification des droits réels des bénéficiaires des prestations desservies par la CAMTI ».
Le Président de la Commission
de Contrôle des Informations Nominatives.