icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2010-46 du 6 décembre 2010 portant avis favorable sur la demande présentée par le Centre Hospitalier Princesse Grace (CHPG) relative au traitement automatisé d’informations nominatives ayant pour finalité «Gestion des droits d’accès du personnel, des patients et des personnes en relation avec le CHPG»

  • No. Journal 8011
  • Date of publication 08/04/2011
  • Quality 91.4%
  • Page no. 625
Vu la Constitution ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu la loi n° 127 du 15 janvier 1930 constituant l’hôpital en établissement public autonome ;
Vu la loi n° 918 du 27 décembre 1971 sur les établissements publics ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’ordonnance souveraine n° 5.095 du 14 février 1973 sur l’organisation et le fonctionnement du Centre Hospitalier Princesse Grace ;
Vu l’arrêté ministériel n° 86-620 du 10 novembre 1986 portant établissement du règlement intérieur du Centre Hospitalier Princesse Grace ;
Vu la demande d’avis déposée par le Centre Hospitalier Princesse Grace, reçue le 10 novembre 2010, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité la «Gestion des droits d’accès du personnel, des patients et des personnes en relation avec le CHPG» ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 6 décembre 2010 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives
Préambule
Le responsable de traitement, à savoir le Centre Hospitalier Princesse Grace (CHPG), est un établissement public autonome en vertu de la loi n° 127 du 15 janvier 1930. Ainsi, le traitement d’informations nominatives objet de la présente délibération est soumis à l’avis de la Commission conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives.
I - Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité «Gestion des droits d’accès du personnel, des patients et des personnes en relation avec le CHPG».
La Commission constate que la finalité du traitement est déterminée et explicite.
Les personnes concernées par le traitement du CHPG regroupent l’ensemble du personnel, les patients, les professionnels et toute autre personne en relation avec le CHPG.
Il a pour fonctionnalités :
- identification et authentification nominative individuelle, sécurisée et unique dans le SIH (Système d’Information Hospitalier) ;
- gestion des niveaux d’accès personnalisé pour chaque traitement du SIH en fonction des métiers et des responsabilités ;
- stockage des mots de passe ou des certificats électroniques, en relation avec l’organisme français ASIP (Agence des systèmes d’information partagés de santé), pour les échanges avec la France et les accès distants aux données ;
- traçabilité des accès en cas de besoin.
Au vu de ces éléments, la Commission constate que la finalité du traitement est déterminée et explicite conformément à l’article 10-1 de la loi n° 1.165, modifiée.
II - Sur la licéité et la justification du traitement
La Commission observe que le CHPG est un établissement public en charge d’une «mission spécialisée d’intérêt général» au sens de la loi n° 918 du 27 décembre 1971 sur les établissements publics.
Elle relève également que l’ordonnance souveraine n° 5.095 du 14 février 1973 établit le cadre juridique propre à son organisation et son fonctionnement. En particulier, l’article 4 confère à son Directeur la gestion administrative de l’établissement. Par ailleurs, l’arrêté ministériel n° 86-620 du 10 novembre 1986 édicte le règlement intérieur du CHPG.
En conséquence, la Commission constate que l’existence et les missions du CHPG disposent d’un fondement juridique propre.
Par ailleurs, la Commission constate que la justification juridique du traitement objet de la présente délibération ressort notamment des textes suivants :
- l’article 17 de la loi n° 1.165, modifiée, relatif à la sécurité et la confidentialité des traitements, qui impose au responsable de traitement de «prévoir les mesures techniques et d’organisation appropriées pour protéger les informations nominatives contre […] l’accès non autorisé» ;
- les recommandations de la Haute Autorité de Santé française, notamment son manuel de certification V2010, qui définit la politique de sécurité du Système d’Information en fonction des orientations stratégiques de l’établissement de santé ;
- la politique de sécurité des Systèmes d’Information de santé de l’ASIP ;
- le Décret français n° 2007-960 du 15 mai 2007 modifiant le Code de la santé, qui établit les mesures propres à garantir la sécurité et la confidentialité des informations médicales conservées sur support informatique ou transmises par voie électronique.
Ainsi, la Commission estime que le traitement ayant pour finalité «Gestion des droits d’accès du personnel, des patients et des personnes en relation avec le CHPG» est justifié par le respect d’une obligation légale à laquelle est soumise le CHPG, mais également par un motif d’intérêt public, à savoir le bon fonctionnement et donc l’accomplissement de la mission d’intérêt général du CHPG, à travers la possibilité de communication et d’échanges sécurisés d’informations entre professionnels de santé avec la France et l’Europe.
La Commission considère donc que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165, modifiée.
III - Sur les informations traitées
Les informations nominatives objets du présent traitement sont :
- données d’identification électronique : identifiant CHPG, identifiant ASIP, identifiant national de santé, adresse de messagerie, certificat, mots de passe ;
- droits d’accès et traçabilité : identifiant ou numéro de badge, droit d’accès aux applications, date et heure de connexion.
Elles ont pour origine les personnes concernées elles-mêmes, ou encore le répertoire ASIP ou européen. En ce qui concerne les droits d’accès et la traçabilité, elles ont pour origine la Direction des Ressources Humaines, la Direction des Affaires Médicales ou l’Administrateur sécurité.
La Commission estime que ces informations sont «adéquates, pertinentes et non excessives» au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
IV - Sur les interconnections de ce traitement
Le CHPG précise que ce traitement est interconnecté avec les traitements suivants :
- le fichier Gestion des ressources humaines,
- le fichier Gestion des fournisseurs,
- le dossier soins,
- l’agenda patient,
- le dossier administratif patient,
- le dossier médical,
- le traitement circuit du médicament,
- les communications unifiées,
- l’annuaire (i.e., le fichier Gestion des identités et des coordonnées),
- le fichier des gardes et astreintes,
- le self et la crèche.
La Commission prend acte que le traitement objet de la présente délibération est en lien avec les traitements automatisés d’informations nominatives ci-dessus énumérés pour la gestion des droits d’accès. Elle relève toutefois que le seul traitement légalement mis en œuvre au sens de la loi n° 1.165, modifiée, est le traitement ayant pour finalité «Gestion des dossiers administratifs patients».
En conséquence, elle conditionne la mise en œuvre des interconnexions susvisées à la régularisation par le CHPG des traitements non encore soumis à son avis, ces interconnexions constituant des traitements automatisés d’informations nominatives, conformément à l’article 1er alinéa 3 de la loi n° 1.165, modifiée.
V - Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement n’appellent pas d’observation.
La Commission rappelle néanmoins que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VI - Sur les droits des personnes concernées
La Commission relève que l’information des personnes est effectuée au moyen d’une charte de bon usage du système d’information, remise et signée par l’ensemble des utilisateurs dudit système.
Elle constate néanmoins que la mention d’information issue de ladite charte est incomplète au regard des exigences de l’article 14 de la loi n° 1.165, modifiée.
Elle rappelle en outre que toutes les catégories de personnes concernées (personnel, professionnels et fournisseurs, patients) doivent obligatoirement bénéficier d’une information préalable concernant la collecte de leurs informations nominatives, ainsi que leurs droits. En conséquence, il conviendra de s’assurer que les personnes qui ne sont pas utilisatrices du système d’information soient informées par d’autres modes d’information, conformément à la loi n° 1.165, modifiée.
En ce qui concerne les patients, la Commission prend note des déclarations du CHPG selon lesquelles l’information est faite dans le cadre du livret d’accueil, qui va être réédité aux fins d’ajouter la mention d’information préalable. La Commission rappelle que cette mention devra être conforme aux exigences de l’article 14 précité. Sur ce point, elle demande à ce que lui soit communiquée la mention telle qu’elle sera insérée dans le livret d’accueil.
Par ailleurs, la Commission constate que le droit d’accès est exercé par voie postale, courrier électronique ou sur place en se rendant dans les locaux du CHPG. Le délai de réponse est de 30 jours. Les droits de modification et de mise à jour des données sont exercés selon les mêmes modalités.
La Commission constate ainsi que les modalités d’exercice des droits des personnes concernées sont à cet égard conformes aux dispositions de la loi n° 1.165, modifiée.
La Commission demande toutefois à ce que l’information préalable des personnes concernées par le traitement soit assurée suivant les termes susmentionnés.
VII - Sur les personnes habilitées à savoir accès au traitement
La Commission prend note des déclarations du CHPG selon lesquelles les personnes habilitées à avoir accès au traitement sont :
- les employés rattachés aux directions en charge de l’administration des personnes de la gestion des identités et des coordonnées (Direction des Ressources Humaines en ce qui concerne le personnel médical ; Direction des Affaires Médicales pour le personnel médical) ;
- le responsable service, responsable équipe médicale, responsable de service ou hiérarchique, et toute personne en ce qui concerne ses données individuelles ;
- les administrateurs de la gestion des identités et des coordonnées dépendant du service informatique, par délégation.
Toutefois, elle considère qu’au vu de la finalité du traitement et des champs de compétence respective des personnes susvisées, seuls les administrateurs du traitement dépendant du service informatique sont habilités à disposer des accès au traitement objet de la présente délibération.
En conséquence, elle demande à ce que lesdits accès soient restreints aux seuls administrateurs du service informatique du CHPG.
VIII - Sur la durée de conservation
La Commission relève que les informations nominatives collectées sont conservées pour une durée qui varie en fonction des personnes concernées.
Toutefois, du fait de la nature transversale du présent traitement, qui a notamment pour but d’enregistrer les données de traçabilité des accès à divers traitements du SIH, la Commission estime qu’il est nécessaire d’aligner les durées de conservation sur celles prévues dans le cadre des traitements auxquels il est donné accès.
En effet, la Recommandation n° R(97)5 du Conseil de l’Europe du 13 février 1997 relative à la protection des données médicales dispose dans son article 9.2 que des mesures de sécurité particulières doivent être prises aux vus notamment de «garantir qu’il puisse être vérifié et constaté a posteriori qui a eu accès au système et quelles données à caractère personnel ont été introduites dans le système d’information, à quel moment et par quelle personne».
Or, les durées de conservation différant pour chaque traitement du SIH, la Commission constate qu’il est impossible de déterminer par avance une durée de conservation unique dans le cadre du présent traitement.
En conséquence, elle demande à ce que les durées de conservation soient alignées sur celles prévues dans le cadre des divers traitements du SIH auxquels il est donné accès, traitements qui devront impérativement être soumis à son avis, conformément aux dispositions de l’article 7 de la loi n° 1.165, modifiée.
Après en avoir délibéré :
Rappelle que les traitements automatisés d’informations nominatives interconnectés avec le présent traitement soient dument soumis à son avis afin de régulariser lesdites interconnexions.
Demande que :
- la mention d’information préalable inscrite au sein de la charte de bon usage du système d’information soit complétée conformément aux exigences de l’article 14 de la loi n° 1.165, modifiée ;
- pour les personnes concernées qui n’auront pas signé ladite charte, d’autres modes d’information soient prévus, tels que la remise d’une note d’information ;
- la mention d’information telle qu’elle sera insérée dans le livret d’accueil lui soit dûment communiquée ;
- les accès au traitement soient restreints aux seuls administrateurs du service informatique du CHPG ;
- les durées de conservation soient alignées sur celles prévues dans le cadre des traitements du SIH auxquels il est donné accès.
A la condition de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par le Centre Hospitalier Princesse Grace du traitement automatisé d’informations nominatives ayant pour finalité «Gestion des droits d’accès du personnel, des patients et des personnes en relation avec le CHPG».


Le Président de la Commission
de Contrôle des Informations Nominatives.
Print article
Previous article Return to summary Next article

All rights reserved - Monaco 2016
Version 2018.11.07.14