icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2020-136 du 28 octobre 2020 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion de l'Aide Médicale de l'État » exploité par la Direction de l'Action et de l'Aide Sociales (DASO) et présenté par le Ministre d'État.

  • N° journal 8512
  • Date de publication 13/11/2020
  • Qualité 100%
  • N° de page

Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 918 du 27 décembre 1971 sur les établissements publics ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 1.279 du 29 décembre 2003 modifiant certaines dispositions de la loi n° 335 du 19 décembre 1941 portant création d'un office d'assistance sociale ;
Vu la loi n° 1.465 du 11 décembre 2018 relative à l'aide à la famille monégasque et à l'aide sociale ;
Vu l'Ordonnance Souveraine n° 5.055 du 8 décembre 1972 sur les conditions d'administration et de gestion administrative et comptable des établissements publics ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'Ordonnance Souveraine n° 5.641 du 14 décembre 2015 portant création d'une Direction de l'Action et de l'Aide Sociales ;
Vu l'Ordonnance Souveraine n° 5.743 du 3 mars 2016 relative à l'aide médicale de l'État ;
Vu l'arrêté ministériel n° 2016-151 du 3 mars 2016 portant application de l'Ordonnance Souveraine n° 5.743 du 3 mars 2016 relative à l'aide médicale de l'État ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la demande d'avis déposée par le Ministre d'État le 16 juillet 2020 concernant la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Gestion de l'Aide Médicale de l'État » ;
Vu la prorogation du délai d'examen de ladite demande d'avis notifiée au responsable de traitement le 15 septembre 2020, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, modifiée, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 28 octobre 2020 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,

Préambule
La Direction de l'Action et de l'Aide Sociales (DASO) est chargée de toutes missions relatives à l'action et à l'aide sociales en Principauté.
Afin de mener à bien lesdites missions, elle souhaite mettre en place la prise en charge financière des frais médicaux et hospitalisation à hauteur de 80% ou 100% des tarifs de responsabilité des Caisses Sociales Monégasques.
Le traitement automatisé d'informations nominatives objet de la présente délibération est donc soumis à l'avis de la Commission conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993\.

I. Sur la finalité et les fonctionnalités du traitement
Ce traitement a pour finalité « Gestion de l'Aide Médicale de l'État ».
Il est dénommé « Aide Médicale de l'État ».
Les personnes concernées sont les bénéficiaires de l'Aide Médicale de l'État (AME) et les agents habilités de la DASO.
Enfin, les fonctionnalités sont les suivantes :
- permettre au personnel habilité d'avoir accès aux applications informatiques mises en place afin d'assurer la gestion des dossiers d'aide médicale de l'État (base courrier et applications) ;
- déterminer l'ouverture des droits à l'AME ;
- créer et actualiser les fiches bénéficiaires ;
- transférer des informations au Service des Prestations Médicales de l'État (SPME) afin d'attribuer un numéro de matricule au(x) bénéficiaire(s) ;
- établir une attestation de prise en charge médicale ;
- saisir et assurer le suivi des informations relatives aux bénéficiaires de l'AME et leur(s) ayant(s) droits ;
- transmettre les feuilles de soins des bénéficiaires au SPME, chargé d'effectuer le décompte ;
- transférer les données nécessaires au traitement des dossiers vers l'Office de Protection Sociale (OPS), établissement payeur ;
- échanger des correspondances avec les bénéficiaires de l'AME ;
- renseigner les hôpitaux, praticiens de santé et pharmacie sur le taux de prise en charge ou non prise en charge des bénéficiaires au titre de l'aide médicale de l'État et la période concernée ;
- historiser les prises en charge médicales ;
- assurer le suivi administratif et financier des dossiers (modification, renouvellement et suppression) ;
- gérer les contentieux ;
- établir des tableaux de bord (mouvement, budget prévisionnel, études, mailing courrier) et des statistiques non nominatives ;
- transférer des informations à l'autorité de Tutelle (Département des Affaires Sociales et de la Santé) afin de lui permettre la mise en œuvre d'actions d'information au bénéfice des personnes.
Il appert par ailleurs à l'étude du dossier qu'il arrive que la DASO se rende compte qu'un de ses administrés, au titre de l'aide médicale de l'État, perçoit déjà des aides d'un organisme de sécurité sociale.
La DASO gérant plusieurs types d'aides et allocations, elle peut en effet avoir connaissance d'éléments administratifs provenant directement de l'allocataire laissant supposer une ouverture de droit auprès d'une caisse de sécurité sociale (CCSS, CAMTI, SPME, CPAM, CFE, …), notamment la perception d'une retraite, de salaires sur des périodes travaillées et/ou d'aides au retour à l'emploi.
Après vérification, et si le droit est rétroactif, la DASO peut alors demander le remboursement à cet organisme.
La Commission constate ainsi que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.

II. Sur la licéité et la justification du traitement
Le traitement dont s'agit est tout d'abord justifié par le respect d'une obligation légale à laquelle est soumis le responsable de traitement.
La Commission constate ainsi que « Le traitement s'inscrit dans une démarche du Gouvernement Princier formalisée par la loi n° 1.465 du 11 décembre 2018 relative à l'aide familiale monégasque et à l'aide sociale ».
Elle relève qu'il « permet la mise en application des engagements de l'État portant sur l'aide médicale qui « consiste en une couverture médicale de base et à la prise en charge des frais définis [par le règlement] et engagés en cas de maladie autre maladie professionnelle ou accident de travail, de maternité, d'invalidité ou de décès, pour le demandeur ainsi que, le cas échéant, pour ses ayants droit, à condition : 1°) que le demandeur n'ouvre droit, en tant qu'assuré ou ayant droit, à aucune prise en charge au titre des prestations en nature d'un régime d'assurance maladie ou maternité, à Monaco, ou en dehors du territoire de la Principauté ; 2°) que le total des ressources du foyer du demandeur, calculé conformément à l'article 3, ne dépasse pas un plafond fixé par arrêté ministériel (art. 1er de l'OS n° 5.743 du 3 mars 2016 relative à l'AME) ».
La Commission note par ailleurs que « L'instruction des demandes puis la gestion de cette aide font partie des attributions de la DASO décrites à l'Ordonnance Souveraine n° 5.641 du 14 décembre 2015 ».
Le responsable de traitement justifie également le traitement par un motif d'intérêt public.
À cet égard, il indique que celui-ci « repose sur le respect d'un droit fondamental garanti par la Constitution monégasque en son article 26 qui dispose que « Les Monégasques ont droit à l'aide de l'État en cas d'indigence, chômage, maladie, invalidité, vieillesse et maternité, dans les conditions et formes prévues par la loi » ».
Le responsable de traitement précise que «  Se fondant sur ce principe, la loi n° 1.465 du 11 décembre 2018 relative à l'aide à la famille monégasque et à l'aide sociale « permet ainsi de renforcer le modèle social monégasque » qui, comme le rappelle l'exposé des motifs de la loi précitée, « se caractérise par des mécanismes collectifs de prévoyance ainsi que par une action publique offrant un niveau élevé de protection sociale à ses nationaux, résidents et travailleurs afin de les protéger contre les différents aléas de la vie (système de retraite par répartition, haut niveau de protection sociale, assurance chômage » ».
Il souligne en outre qu'« À côté des systèmes d'assurance sociale classiques reposant sur le principe de contribution, l'État apporte également une protection aux personnes en situation de besoin par l'octroi de différentes aides sociales. L'aide sociale, fondée sur le principe d'assistance, constitue, à Monaco comme ailleurs, un droit essentiel. Elle exprime la solidarité de la collectivité à l'égard des personnes en situation de besoin et fait abstraction contrairement à la couverture sociale, de toute exigence relative à des périodes d'activité professionnelle, d'affiliation ou de cotisation ».
Le responsable de traitement déclare également que « Dans ce sens l'aide médicale de l'État découle directement d'une logique d'assistance sociale en ce qu'elle offre une couverture sociale aux personnes qui, faute de contribution, en seraient normalement dépourvues » et que «   l'exposé des motifs rappelle que « dès lors que l'aide sociale vise à garantir à l'individu, (…), le respect d'un « droit à l'essentiel, le projet de loi (devenu la loi n° 1.465) lui confère une destination plus générale. Il en ressort qu'indépendamment des nationaux - au profit desquels seulement la Constitution institue un droit, les personnes de nationalité étrangère résidant de façon stable et durable depuis au moins cinq and sur le territoire de la Principauté bénéficient, sauf disposition contraire, des prestations et allocations d'aides sociales prévues par le projet de loi dans les mêmes conditions que les nationaux ».
Enfin, le traitement de données « répond à une obligation règlementaire de la DASO et à la réalisation d'un intérêt légitime, celui de pouvoir répondre à sa mission dans les meilleures conditions et dans le respect des droits des personnes formalisés par des textes transparents et clairs quant aux informations nécessaires pour répondre à leur demande ».
Le responsable de traitement précise par ailleurs qu'« À terme, avec l'accord du requérant, des éléments concernant sa situation financière et celle de son foyer pourront être sollicités auprès des services de l'administration monégasque en application de l'article 53 de l'Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l'Administration et l'administré ».
La Commission considère donc que le traitement est justifié, conformément aux dispositions de l'article 10-2 de la loi n° 1.165 du 23 décembre 1993\.

III. Sur les informations nominatives traitées
Les informations nominatives traitées sont :
- identité du demandeur : civilité, nom, nom d'usage, prénoms, date et lieu de naissance, nationalité, numéro matricule, date d'arrivée à Monaco, situation familiale, nombre de personnes dans le foyer, nombre d'enfants, nombre de personnes à charge ;
- identité des personnes vivant au foyer : civilité, nom, nom d'usage, prénoms, date et lieu de naissance, nationalité, lien avec le demandeur, situation de famille ;
- adresses et coordonnées : adresse du domicile, coordonnées téléphoniques et électroniques ;
- caractéristiques financières du foyer : montant des revenus financiers, professionnels et assimilés sur les 12 derniers mois, justificatifs de perception d'allocations sur les 12 derniers mois, attestation des revenus des valeurs et capitaux mobiliers pour chaque personne de plus de 18 ans vivant au foyer (y compris étudiants) pour l'année civile, établie par la ou les banques ou la poste dans lesquelles il est détenu un ou des comptes, justificatifs des pensions alimentaires et parts contributives à l'éducation et à l'entretien des enfants sur les 12 derniers mois, quittances de loyer ou charges de copropriété des 12 derniers mois, RIB ou une attestation du bénéficiaire autorisant un tiers à percevoir les remboursements ;
- attestation sur l'honneur (papier scanné) : document papier à compléter et signer par le demandeur ;
- données de santé : justificatifs papier et scan des documents supports de remboursement communiqués par l'assuré (feuilles de soins, ordonnances médicales, demande d'entente préalable, prolongation de séjour en milieu hospitalier, certificat médical datant de moins de 3 mois (en cas de demande d'exonération du ticket modérateur)) ;
- mesures à caractère social : numéro matricule de la précédente caisse sociale, justificatifs papier et scannés (attestation de fin de droit auprès d'une caisse d'assurance santé, courrier de refus de prise en charge par les assureurs privés, attestation originale de fin de droit ou de non affiliation auprès d'un organisme de sécurité sociale monégasque ou étranger (SPME, Caisses Sociales de Monaco, Caisse Primaire d'Assurance Maladie…), copie de l'adhésion à un contrat mutuelle santé, demande de prise en charge ou de renouvellement, motivation de la demande, certificat médical notifiant l'incapacité de poursuivre une scolarité en milieu ordinaire (la pathologie n'est pas communiquée), certificat médical datant de moins de 3 mois (en cas de demande d'exonération du ticket modérateur), attestation de prise en charge AME, extrait de l'ordonnance du Juge tutélaire permettant l'instruction du dossier par la Division de l'Aide Sociale Financière (DASF) et conservation par le service des informations strictement nécessaires à cette fin, factures des frais médicaux et hospitalisations des bénéficiaires et ayants droit de l'AME ;
- données d'identification électronique : login et mot de passe des personnes habilitées à avoir accès au traitement ;
- informations temporelles, horodatage : log de connexion ;
- identité des agents habilités à avoir accès au traitement : nom, prénom, accès autorisé ;
- éléments de traçabilité des dossiers : date, heure, nom, prénom, action.
Concernant la carte d'identité, la carte de résident, la carte d'étudiant et le certificat de scolarité, la Commission prend acte des précisions du responsable de traitement selon lesquelles « Ces documents sont photocopiés et scannés en noir et blanc et les données sont barrées ».
Par ailleurs, concernant l'extrait de la copie de l'ordonnance de séparation de corps ou du jugement de divorce pour les personnes séparées ou divorcées, le responsable de traitement indique qu'« Uniquement les données nécessaires à l'instruction du dossier sont collectées et conservées ».
Les informations relatives à l'identité du demandeur et des personnes vivant au foyer, les adresses et les coordonnées ainsi que les caractéristiques financières et les données à caractère social ont pour origine le demandeur de l'AME et/ou ses ayants droit, ou son représentant légal.
L'attestation sur l'honneur a pour origine le requérant.
Les données de santé ont pour origine le bénéficiaire de l'AME, les hôpitaux, le corps médical (médecins, auxiliaires médicaux) et officines.
Les données d'identification électronique ont pour origine la Direction des Systèmes d'Information pour le login et l'utilisateur pour le mot de passe.
Les logs de connexion et les éléments de traçabilité des dossiers ont pour origine le système.
Enfin, les informations relatives à l'identité des agents habilités à avoir accès au traitement ont pour origine le responsable de service.
La Commission considère ainsi que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.

IV. Sur les droits des personnes concernées

  • Sur l'information préalable des personnes concernées

L'information préalable des personnes concernées est effectuée par le biais d'un document transmis en même temps que le détail des pièces à joindre au dossier demande.
À l'analyse de ce document, la Commission considère que celui-ci est conforme à l'article 14 de la loi n° 1.165 du 23 décembre 1993.

  • Sur l'exercice du droit d'accès, de modification et de mise à jour

Le droit d'accès s'exerce sur place ou par voie postale auprès de la Direction de l'Action et de l'Aide Sociale - Division de l'Aide Sociale Financière.
La Commission constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.

V. Sur les destinataires et les personnes ayant accès au traitement

  • Sur les destinataires

Le responsable de traitement indique que « Sont destinataires d'informations nominatives issues du présent traitement, en fonction du type de demande et du régime de l'assuré :
- Service des Prestations de l'État (SPME) : À chaque création de dossier, la DASO adresse au SPME, par courriel, une fiche d'information accompagnée du RIB du demandeur aux fins de création d'un numéro, si le bénéficiaire n'en dispose pas.  Il permet d'établir les décomptes médicaux à partir des feuilles de soins transmises par la DASO et de traiter les demandes d'exonération du ticket modérateur. Le SPME est chargé d'établir et d'historiser les décomptes.
- Le Directeur de l'OPS et le Contrôle Général des Dépenses contrôlent, valident et signent les certificats établis par le comptable. Ces documents validés sont retournés à la DASO puis traités informatiquement par la DSI. La comptable génère un fichier communiqué à l'agent comptable et la Direction du Budget et du Trésor (si le montant des virements est supérieur à 50.000 euros par bénéficiaire) aux fins de signature. Une fois ces documents signés, la comptable adresse l'ordre de virement à la banque, par un logiciel de la banque dédié et par courriel, aux fins de remboursement des sommes avancées par les bénéficiaires ou prestataires.
- Les Caisses de Sécurité Sociales : Caisses Sociales de Monaco, Services des Prestations Médicales de l'État, caisses d'assurance maladie étrangères, assureurs privés : la DASO peut contacter ces organismes afin de connaître la fin et/ou le début de droit du demandeur auprès de leurs services. La DASO peut adresser le décompte des sommes à recevoir de leur organisme dans l'hypothèse où le demandeur aurait bénéficié à tort, d'une prise en charge au titre de l'AME (contentieux).
- La Direction du Travail : La DASO peut être amenée à contacter la Direction du travail afin de vérifier la possibilité d'ouverture de droit d'un demandeur à la loi n° 1.113 du 27 juin 1988 relative à l'octroi d'une allocation spéciale en faveur de certaines catégories de demandeurs d'emploi (l'attribution de cette allocation emporte droit aux prestations services par les Caisses Sociales de Monaco ou un service particulier agréé en matière de maladie ou d'accident autre que maladie professionnelle et accident du travail) et de la loi n° 871 du 17 juillet 1969 instituant des allocations d'aide publique en faveur des travailleurs privés momentanément et involontairement d'emploi.
- Hôpitaux, établissements de santé, praticiens médicaux et pharmacies : Ces établissements et professionnels de santé peuvent adresser directement leurs factures à la DASO pour paiement ainsi que des demandes de prolongation de séjour et des liasses d'admission pour prise en charge de l'hospitalisation à compléter, signer et retourner. La DASO peut également leur communiquer le numéro matricule des bénéficiaires de l'AME, le taux et la période de prise en charge.
- Représentant légal : il peut solliciter l'octroi de l'AME pour le compte de son administré, adresser et signer les feuilles de soin.
- L'OPS peut disposer des éléments nécessaires pour l'exercice de son droit de recours en récupération des sommes avancées à l'encontre des bénéficiaires, conformément à l'article 3 de la loi n° 1.279 du 29 décembre 2003, modifiée.
- Le Département des Affaires Sociales et de la Santé, autorité de tutelle, peut être destinataire des informations, pour le suivi de l'octroi de l'aide permettant la mise en œuvre d'actions d'information au bénéfice des personnes, dans le cadre d'une consultation pour instruction d'un dossier complexe, pour toute demande de dérogation, ou dans le cadre d'une contestation ou recours administratif contre une décision rendue. ».
La Commission en prend acte et considère que ces transmissions sont conformes aux exigences légales.

  • Sur les personnes ayant accès au traitement

Les personnes habilitées à avoir accès au traitement sont :
- le personnel habilité de la DASO en charge du suivi de l'AME (contrôleur et attaché) : création, modification et suppression des fiches bénéficiaires ;
- le personnel habilité de la DASO en charge du Secrétariat de la Direction : consultation des fiches bénéficiaires et tous droits d'accès à la base courrier ;
- le comptable de la DASO : création, modification et suppression des fiches bénéficiaires pour la mise à jour des paiements, des prises en charge ou des remboursements ;
- le Chargé de mission de la DASO : consultation des fiches bénéficiaires ;
- le Directeur de l'OPS (organisme payeur) : consultation des fiches bénéficiaires, contrôle et validation des certificats de paiements ;
- l'agent comptable de l'OPS et le Contrôle Général des Dépenses : contrôle et validation des certificats de paiement ;
- la Direction du Budget et du Trésor : signature des listings de virement pour les paiements supérieurs à 50.000 euros par bénéficiaire ;
- le SPME : établissement des décomptes médicaux des bénéficiaires de l'AME ;
- les agents habilités de la DSI et toute personne travaillant sous son autorité : accès dans le cadre de leurs missions d'assistance technique et de maintenance.
Concernant ces derniers, la Commission demande que les accès effectués aux applications métiers et bases courriers par la DSI ainsi que les sauvegardes de ces accès soient collectés et qu'un message/une alerte soit envoyé(e) au responsable métier l'informant de cet accès qui sera préalablement justifié ou devra l'être.
De même, elle demande que toute réplication/copie des applications métiers et bases courriers soit autorisée par le responsable de service, tracée par le système et fasse l'objet d'une alerte auprès du responsable métier.
Sous ces conditions, considérant les attributions de chacune de ces personnes, et eu égard à la finalité du traitement, les accès susvisés sont justifiés.

VI. Sur les interconnexions et rapprochements
Le responsable de traitement indique que le présent traitement fait l'objet de trois interconnexions avec les traitements ayant respectivement pour finalité « Gestion des habilitations et des accès au Système d'information », « Gestion des techniques automatisées de communication » et « Gestion de la messagerie professionnelle » ainsi que d'un rapprochement avec le traitement ayant pour finalité « Immatriculation au Service des Prestations Médicales de l'État ».
La Commission prend acte que ces traitements ont été légalement mis en œuvre.
Le responsable de traitement indique également un rapprochement avec un traitement ayant pour finalité « Assistance aux utilisateurs par le Centre de Service de la DSI », déposé récemment et qui fera l'objet d'une prochaine délibération de la Commission.
Enfin, le responsable de traitement indique que le présent traitement fait l'objet d'un rapprochement avec deux traitements ayant respectivement pour finalité « Certificats de paiement et listing des bénéficiaires/CGD » et «  Gestion des contentieux » dont le responsable de traitement est l'OPS.
Concernant ces deux traitements, la Commission demande qu'ils lui soient soumis dans les plus brefs délais.
Enfin, elle constate à l'étude du dossier un rapprochement avec un traitement ayant pour finalité « Sommier de la Nationalité », légalement mis en œuvre par la Mairie de Monaco.

VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations appellent plusieurs informations.
La Commission rappelle ainsi que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.
Elle rappelle également que toute communication d'informations confidentielles et/ou sensibles par voie électronique doit être sécurisée.
La Commission constate en outre que les informations et données sont enregistrées dans le fichier Excel sans sécurité ni chiffrement.
Elle demande donc que lesdites informations et données soient chiffrées ou ne soient uniquement accessibles que par les personnes ayant à en connaître.
La Commission rappelle par ailleurs que la copie et l'extraction d'informations issues de ce traitement doit être chiffrée sur son support de réception.
Elle rappelle enfin que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.

VIII. Sur la durée de conservation
Les informations relatives à l'identité du demandeur et des personnes vivant au foyer, aux adresses et coordonnées sont conservées le temps de l'année en cours de l'instruction du dossier plus 10 années.
À cet égard, le responsable de traitement de traitement précise que « L'Aide médicale de l'État étant susceptible de faire l'objet d'un recours sur succession sur les cinq dernières années de secours (prescription légale), les dossiers seraient conservés après le décès de la personne et jusqu'au recouvrement de la créance, partielle ou totale, et deux ans après la clôture du recours, en cas d'éventuelles contestations. Au-delà ces documents seraient détruits ».
Les caractéristiques financières (justificatifs papiers scannés et enregistrés) sont conservées le temps de l'année en cours de l'instruction du dossier et l'année précédente, « dans la mesure où le bénéfice de l'AME est accordé au plus pour une année et, sur l'année précédente, dans le cas d'un renouvellement de la demande. Passé ces délais, ces documents seraient détruits ».
L'attestation sur l'honneur est conservée « jusqu'au décès de la personne et/ou jusqu'au recouvrement partiel ou total de la créance de l'OPS et deux ans après la clôture du recours, en cas d'éventuelles contestations. Au-delà ces documents seraient détruits ».
Les documents numérisés contenant les données de santé « seraient conservés numériquement sur la base courrier de la DASO l'année en cours et l'année précédente, en cas d'éventuelles réclamations (perte des feuilles de soins etc.). Au-delà de ces délais, ces documents numérisés seraient supprimés ».
En ce qui concerne les mesures à caractère social, la durée de conservation correspond à l'année en cours de l'instruction du dossier et les 10 années suivantes puisque « L'aide médicale de l'État étant susceptible de faire l'objet d'un recours sur succession sur les cinq dernières années de secours (prescription légale), les dossiers seraient conservés après le décès de la personne et jusqu'au recouvrement de la créance, partielle ou totale, et deux ans après la clôture du recours, en cas d'éventuelles contestations. Au-delà ces documents seraient détruits ».
Les données d'identification électronique et les informations relations aux agents habilités à avoir accès au traitement sont conservées tant que la personne est autorisée à avoir accès.
Les logs de connexion sont conservés 180 jours.
Enfin, les éléments de traçabilité des dossiers sont conservés 10 ans puis détruits.
Concernant ces derniers, la Commission demande qu'ils ne soient conservés qu'un an maximum.
Sous cette condition, la Commission considère que ces durées sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :

Rappelle que :
- les ports non utilisés doivent être désactivés et les serveurs, périphériques,  équipements de raccordements (switchs, routeurs, pare-feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort ;
- toute communication d'informations confidentielles et/ou sensibles par voie électronique doit être sécurisée ;
- la copie et l'extraction d'informations issues de ce traitement doit être chiffrée sur son support de réception.

Demande que :
- les traitements exploités par l'OPS lui soient soumis dans les plus brefs délais ;
- les accès effectués aux applications métiers et bases courriers par la DSI ainsi que les sauvegardes de ces accès soient collectés et qu'un message/une alerte soit envoyé(e) au responsable métier l'informant de cet accès qui sera préalablement justifié ou devra l'être ;
- toute réplication/copie des applications métiers et bases courriers soit autorisée par le responsable de service, tracée par le système et fasse l'objet d'une alerte auprès du responsable métier ;
- les informations et données enregistrées dans le fichier Excel soient chiffrées ou ne soient uniquement accessibles que par les personnes ayant à en connaître.
Fixe la durée de conservation des éléments de traçabilité à 1 an maximum.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par le Ministre d'État du traitement automatisé d'informations nominatives ayant pour finalité « Gestion de l'Aide Médicale de l'État ».

Le Président de la Commission de Contrôle des Informations Nominatives.

Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14