Délibération n° 2013-26 du 6 mars 2013 de la Commission de Contrôle des Informations Nominatives portant avis favorable sur la demande présentée par le Ministre d’Etat relative à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité «Décomptes - Gestion et remboursement des prestations médicales en nature», dénommé «Décompte des prestations médicales en nature», du Service des Prestations Médicales de l’Etat
Vu l’ordonnance souveraine n° 1.972 du 24 mars 1959 instituant un service du Contrôle Général des Dépenses ;
Vu l’ordonnance souveraine n° 14.532 du 17 juillet 2000 rendant exécutoire l’arrangement administratif particulier franco-monégasque concernant les modalités de remboursement des frais exposés dans les établissements de soins français et monégasques ;
Vu l’ordonnance souveraine n° 16.605 du 10 janvier 2005 portant organisation des Départements ministériels ;
Vu l’ordonnance souveraine n° 231 du 3 octobre 2005 portant création d’un Service des Prestations Médicales de l’Etat ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’ordonnance souveraine n° 3.122 du 11 février 2011 portant création de la Direction Informatique ;
Vu l’arrêté ministériel du 4 février 1947 portant règlement des prestations médicales, chirurgicales et pharmaceutiques allouées aux fonctionnaires ;
Vu l’arrêté ministériel du 15 mars 1947 fixant le tarif maximum de responsabilité appliqué aux fonctionnaires agents et employés de l’Etat ;
Vu la délibération n° 2011-18 du 14 février 2011 portant avis favorable sur la demande, présentée par le Ministre d’Etat, relative à la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité «Immatriculation au Service des Prestations Médicales de l’Etat» du Service des Prestations Médicales de l’Etat ;
Vu la demande d’avis déposée par le Ministre d’Etat, le 7 janvier 2013, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité «Décomptes - gestion et remboursement des prestations médicales en nature », dénommé «Décompte des prestations médicales en nature» du Service des Prestations Médicales de l’Etat ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Les assurés sociaux et leurs ayants droit immatriculés auprès du Service des Prestations Médicales de l’Etat (SPME) peuvent bénéficier de prestations médicales, pharmaceutiques et chirurgicales.
La gestion de ces prestations a été dévolue au Service des Prestations Médicales de l’Etat créé par l’ordonnance souveraine n° 231 du 3 octobre 2005.
Placé sous l’autorité du Conseiller de Gouvernement pour les Affaires Sociales et la Santé, ce service est amené, dans le cadre des missions qui lui sont conférées par ladite ordonnance, à traiter des informations nominatives. La mise en œuvre des traitements automatisés de ces informations induits est soumise à l’avis préalable de la Commission de Contrôle des Informations Nominatives, conformément à l’article 7 de la loi n° 1.165, susvisée.
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité «Décomptes - gestion et remboursement des prestations médicales en nature». Il est dénommé «Décompte des prestations médicales en nature».
Il concerne les personnes immatriculées auprès du SPME, leurs ayants droit, ainsi que les praticiens et prestataires de services sanitaires et de santé immatriculés, tels que définis dans le traitement ayant pour finalité «Immatriculation au Service des Prestations Médicales de l’Etat», susvisé.
Ce traitement concerne également les personnels du SPME ayant la fonction de décompteur, ainsi que les personnels du Service du Contrôle Général des Dépenses (CGD) ayant la fonction de vérificateur.
Il a pour objectif de décompter et de rembourser la participation aux frais de traitement engagés par les bénéficiaires des prestations desservies par le SPME, auprès des praticiens, des prestataires de services sanitaires et de santé, et des établissements de santé.
Ses fonctionnalités sont les suivantes :
- assurer la sécurité du présent traitement par l’attribution des droits d’accès spécifiques aux seules personnes accréditées par le SPME ;
- saisir les éléments nécessaires aux remboursements des prestations «maladie en nature» ;
- vérifier les droits ouverts concernant le bénéficiaire des soins ;
- effectuer les opérations de contrôle des éléments saisis par les décompteurs, préalablement à tout remboursement ;
- assurer les paiements des décomptes ;
- disposer d’un historique sur les décomptes pour chaque assuré et pour chaque praticien ou prestataire de services sanitaires et de santé immatriculé ;
- établir des statistiques globales liées aux dépenses de santé ;
- établir des statistiques nominatives se rapportant à l’activité des décompteurs.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité et la justification du traitement
• Sur la licéité du traitement
La Commission observe que l’ordonnance souveraine n° 231, susvisée, attribue au SPME la gestion des prestations objets du présent traitement.
Elle note, par ailleurs, que les modalités de remboursement des prestations médicales, chirurgicales et pharmaceutiques sont précisées par différents textes, tel que l’arrêté ministériel du 4 février 1947 susvisé s’agissant des fonctionnaires, agents et employés de l’Etat ou de la Commune.
La Commission considère que le traitement est licite conformément à l’article 11-1 de la loi n° 1.165, modifiée.
• Sur la justification du traitement
Le responsable de traitement indique que le traitement est justifié par le respect d’une obligation légale à laquelle il est soumis, particulièrement ses obligations de gérer les prestations accordées aux agents publics et à leurs ayants droit au titre de l’assurance maladie, et maternité, de l’assurance accident du travail, de l’assurance invalidité.
Par ailleurs, il est justifié, conformément aux dispositions de l’ordonnance souveraine n° 1.972 du 24 mars 1959, susvisée, par la nécessité de veiller au respect des règles applicables aux remboursements de prestations et des règles de comptabilité publique.
A cet égard, la Commission constate que ce traitement comporte des informations permettant d’assurer la traçabilité logique des opérations réalisées par les décompteurs du SPME et par les vérificateurs du CGD.
La Commission considère donc que ce traitement est justifié conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations nominatives objets du présent traitement sont :
• Concernant l’assuré et ses ayants droit
- identité : nom, nom marital, prénom, nationalité, date et lieu de naissance, sexe, qualité de bénéficiaire ou d’ayant droit, numéro de matricule ;
- situation de famille : lien familial entre les assurés distinguant le bénéficiaire de ses ayants droit ;
- adresses et coordonnées : adresses postales du domicile et du service d’affectation ;
- vie professionnelle : code profession de l’assuré, code imputation comptable, code fonction publique, code service ;
- donnée d’identification électronique : numéro de matricule ;
- données de santé : éléments permettant au travers de la classification commune des actes, détermination des produits pharmaceutiques, actes médicaux et dentaires, séjours hospitaliers ou en clinique, suivi d’une grossesse, précision des actes liés à un accident du travail ou à un accident de droit commun au travers d’une codification interne ;
- caractéristiques financières : référence de facture, numéro de décompte, montants facturés, taux de prise en charge, montants remboursés, coordonnées bancaires de type IBAN, date de paiement.
• Concernant le praticien
- identité : nom, prénom, ou, raison sociale de la société ou de l’établissement prestataire de services sanitaires ou de santé pour le tiers payant, numéro de matricule ;
- adresses et coordonnées : adresse postale professionnelle ;
- donnée d’identification électronique : numéro de matricule ou numéro FINESS.
Les informations relatives à l’identité, la situation de famille, les adresses et coordonnées, la donnée d’identification électronique et les données de santé sont issues des feuilles de soins, réglementairement appelées «feuilles de maladie».
Les informations relatives à la santé permettent au SPME de s’assurer des prestations effectuées tenant compte de la classification commune des actes médicaux et des taux de remboursement à appliquer selon le bénéficiaire. Le traitement de ces données s’inscrit dans le cadre des missions du SPME, il est donc conforme aux dispositions de l’article 12 de la loi n° 1.165.
Les informations relatives aux assurées font l’objet d’un rapprochement avec les données exploitées dans le traitement ayant pour finalité «Immatriculation au Service des Prestations Médicales de l’Etat», susvisé, à des fins de vérification, notamment, de l’identité, de l’adresse, du numéro d’immatriculation et des droits ouverts pour les bénéficiaires. La Commission relève que le traitement ultérieur des informations nominatives dont s’agit est compatible avec ce premier traitement.
Selon la demande d’avis, les informations relatives aux praticiens, professionnels de santé et établissements de soins font l’objet d’un rapprochement avec deux traitements de la Caisse de Compensation de Services Sociaux afin de vérifier l’immatriculation, les coordonnées et le conventionnement des praticiens ou des établissements de santé.
Ces traitements concernent :
- l’immatriculation des établissements de services sanitaires sous un «numéro FINESS», issu du «Fichier National des Etablissements Sanitaires et Sociaux» ;
- l’immatriculation des praticiens.
La Commission observe que ces immatriculations sont issues d’un traitement exploité par les Caisses Sociales de Monaco sous la finalité «Gestion des prestations sociales», mis en œuvre le 13 novembre 2007. Elle relève que ce traitement a été déclaré auprès d’elle sous l’empire des dispositions de la loi n° 1.165, non modifiée.
Considérant les modifications intervenues depuis lors, notamment des principes relatifs à la qualité des informations nominatives et aux conditions de licéité des traitements, des accès dévolus au SPME et de la diffusion desdites informations sur le site Internet des Caisses Sociales de Monaco, la Commission estime que l’immatriculation des professionnels de santé devrait faire l’objet de formalités distinctes à soumettre à la Commission.
• Concernant les décompteurs du SPME
- identité : nom, prénom, numéro et initiales de décompteur ;
- données d’identification électronique : numéro de décompteur et clé d’identification ;
- élément de traçabilité : date de chaque décompte, numéro de lot et de feuille de soin.
Ces informations ont pour origine le SPME.
La Commission considère que les informations collectées sont «adéquates, pertinentes et non excessives» au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
IV. Sur les droits des personnes concernées
• Sur l’information préalable des personnes concernées
La Commission relève qu’en application de l’article 13 de la loi n° 1.165, susvisée, s’agissant d’un traitement mis en œuvre par un responsable de traitements visé à l’article 7 de la loi n° 1.165, susvisée, dans le cadre des missions d’intérêt général du SPME, les personnes concernées ne disposent pas d’un droit d’opposition à ce que les informations qui les concernent fassent l’objet d’un traitement.
Elle considère que l’information effectuée par voie d’affichage devra être complétée par une lettre circulaire et que l’ensemble des mentions obligatoires listées à l’article 14 de la loi n° 1.165 susvisée devra y figurer. En outre, le responsable de traitement devra vérifier que sont informés tant les assurés que les agents publics en charge du traitement des données.
En outre, la Direction Informatique disposant d’accès spécifiques dans le cadre de ses missions, ne devra pas être mentionnée comme destinataire des informations au sens de la loi n° 1.165.
• Sur l’exercice du droit d’accès, de modification et de mise à jour
La Commission observe que le droit d’accès est exercé par voie postale ou sur place auprès du SPME. Le délai de réponse est de 30 jours.
Les droits de modification et de mise à jour des données sont exercés selon les mêmes modalités.
La Commission constate ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
• Sur les personnes ayant accès au traitement
Les personnes ayant accès au traitement sont :
- les agents publics accrédités du SPME et du CGD : tout accès ;
- les personnels accrédités des Caisses Sociales de Monaco, en qualité de prestataire de service : accès en consultation ;
- les personnels accrédités de la Direction Informatique de l’Etat, dans le cadre des missions qui lui sont conférées par l’ordonnance souveraine n° 3.122 du 11 février 2011, susvisée : accès en consultation.
La Commission observe que ces accès sont opérés de manière nominative dans le cadre d’habilitations strictes établies selon les missions et attributions de chacune des personnes ayant accès au traitement.
• Sur les destinataires des informations
Les destinataires des informations sont :
- les personnels du CGD dans le cadre de leurs missions de contrôle de l’engagement, de l’ordonnancement et du paiement des dépenses publiques afin de leur permettre de vérifier les décomptes des remboursements maladies effectués par le SPME ;
- le personnel de la Trésorerie Générale des Finances, pour les seules informations nécessaires au paiement, expurgées de toutes données de santé.
La Commission considère que les destinataires des informations sont habilités à recevoir communication des données, conformément à l’article 8 de la loi n° 1.165.
VI. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation.
La Commission rappelle néanmoins que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VII. Sur la durée de conservation
La Commission relève que les informations nominatives collectées seront conservées 30 ans après le décès du dernier ayant droit, tenant compte des délais de prescriptions trentenaires des actions en la matière.
Elle considère que ce délai est excessif en considération de la finalité du traitement. Elle estime qu’il doit être limité à 30 ans à compter de la fin de l’année comptable au cours de laquelle le paiement ou refus de paiement aura été réalisé.
Elle observe qu’une fois ce délai expiré les informations font l’objet d’un archivage «pour des raisons statistiques et historiques». Elle considère qu’il s’agit là d’un traitement ultérieur des informations susceptible d’impliquer d’autres services de l’administration, comme le Service Central des Archives et de la Documentation Administrative, aux termes des articles 29 et suivants de l’ordonnance souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’Administration et l’administré.
Elle invite donc le responsable de traitement à déposer une demande d’avis permettant une gestion des archives définitives du SPME conforme à la loi n° 1.165.
Après en avoir délibéré,
Recommande que la Caisse de Compensation des Services Sociaux, agissant en tant que prestataire du SPME, soumette à la Commission une demande d’avis spécifique au traitement permettant l’immatriculation des professionnels de santé afin de tenir compte des évolutions légales intervenues en matière de protection des informations nominatives depuis le 1er avril 2009 ;
Demande :
- que l’information des personnes concernées soit modifiée afin de tenir compte de l’article 14 de la loi n° 1.165 et qu’elle soit réalisée par voie d’affichage et par lettre circulaire ;
- que la durée de conservation des informations soit limitée dans le temps à 30 ans à compter de la fin de l’année comptable au cours de laquelle le paiement ou refus de paiement aura été réalisé ;
Invite le responsable de traitement à lui soumettre une demande d’avis portant sur gestion des archives définitives du SPME ;
A la condition de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’Etat, du traitement automatisé d’informations nominatives ayant pour finalité «Décomptes - Gestion et remboursement des prestations médicales en nature», dénommé «Décompte des prestations médicales en nature», du Service des Prestations Médicales de l’Etat.
Le Président de la Commission
de Contrôle des Informations Nominatives.
Vu l’ordonnance souveraine n° 14.532 du 17 juillet 2000 rendant exécutoire l’arrangement administratif particulier franco-monégasque concernant les modalités de remboursement des frais exposés dans les établissements de soins français et monégasques ;
Vu l’ordonnance souveraine n° 16.605 du 10 janvier 2005 portant organisation des Départements ministériels ;
Vu l’ordonnance souveraine n° 231 du 3 octobre 2005 portant création d’un Service des Prestations Médicales de l’Etat ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’ordonnance souveraine n° 3.122 du 11 février 2011 portant création de la Direction Informatique ;
Vu l’arrêté ministériel du 4 février 1947 portant règlement des prestations médicales, chirurgicales et pharmaceutiques allouées aux fonctionnaires ;
Vu l’arrêté ministériel du 15 mars 1947 fixant le tarif maximum de responsabilité appliqué aux fonctionnaires agents et employés de l’Etat ;
Vu la délibération n° 2011-18 du 14 février 2011 portant avis favorable sur la demande, présentée par le Ministre d’Etat, relative à la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité «Immatriculation au Service des Prestations Médicales de l’Etat» du Service des Prestations Médicales de l’Etat ;
Vu la demande d’avis déposée par le Ministre d’Etat, le 7 janvier 2013, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité «Décomptes - gestion et remboursement des prestations médicales en nature », dénommé «Décompte des prestations médicales en nature» du Service des Prestations Médicales de l’Etat ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Les assurés sociaux et leurs ayants droit immatriculés auprès du Service des Prestations Médicales de l’Etat (SPME) peuvent bénéficier de prestations médicales, pharmaceutiques et chirurgicales.
La gestion de ces prestations a été dévolue au Service des Prestations Médicales de l’Etat créé par l’ordonnance souveraine n° 231 du 3 octobre 2005.
Placé sous l’autorité du Conseiller de Gouvernement pour les Affaires Sociales et la Santé, ce service est amené, dans le cadre des missions qui lui sont conférées par ladite ordonnance, à traiter des informations nominatives. La mise en œuvre des traitements automatisés de ces informations induits est soumise à l’avis préalable de la Commission de Contrôle des Informations Nominatives, conformément à l’article 7 de la loi n° 1.165, susvisée.
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité «Décomptes - gestion et remboursement des prestations médicales en nature». Il est dénommé «Décompte des prestations médicales en nature».
Il concerne les personnes immatriculées auprès du SPME, leurs ayants droit, ainsi que les praticiens et prestataires de services sanitaires et de santé immatriculés, tels que définis dans le traitement ayant pour finalité «Immatriculation au Service des Prestations Médicales de l’Etat», susvisé.
Ce traitement concerne également les personnels du SPME ayant la fonction de décompteur, ainsi que les personnels du Service du Contrôle Général des Dépenses (CGD) ayant la fonction de vérificateur.
Il a pour objectif de décompter et de rembourser la participation aux frais de traitement engagés par les bénéficiaires des prestations desservies par le SPME, auprès des praticiens, des prestataires de services sanitaires et de santé, et des établissements de santé.
Ses fonctionnalités sont les suivantes :
- assurer la sécurité du présent traitement par l’attribution des droits d’accès spécifiques aux seules personnes accréditées par le SPME ;
- saisir les éléments nécessaires aux remboursements des prestations «maladie en nature» ;
- vérifier les droits ouverts concernant le bénéficiaire des soins ;
- effectuer les opérations de contrôle des éléments saisis par les décompteurs, préalablement à tout remboursement ;
- assurer les paiements des décomptes ;
- disposer d’un historique sur les décomptes pour chaque assuré et pour chaque praticien ou prestataire de services sanitaires et de santé immatriculé ;
- établir des statistiques globales liées aux dépenses de santé ;
- établir des statistiques nominatives se rapportant à l’activité des décompteurs.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité et la justification du traitement
• Sur la licéité du traitement
La Commission observe que l’ordonnance souveraine n° 231, susvisée, attribue au SPME la gestion des prestations objets du présent traitement.
Elle note, par ailleurs, que les modalités de remboursement des prestations médicales, chirurgicales et pharmaceutiques sont précisées par différents textes, tel que l’arrêté ministériel du 4 février 1947 susvisé s’agissant des fonctionnaires, agents et employés de l’Etat ou de la Commune.
La Commission considère que le traitement est licite conformément à l’article 11-1 de la loi n° 1.165, modifiée.
• Sur la justification du traitement
Le responsable de traitement indique que le traitement est justifié par le respect d’une obligation légale à laquelle il est soumis, particulièrement ses obligations de gérer les prestations accordées aux agents publics et à leurs ayants droit au titre de l’assurance maladie, et maternité, de l’assurance accident du travail, de l’assurance invalidité.
Par ailleurs, il est justifié, conformément aux dispositions de l’ordonnance souveraine n° 1.972 du 24 mars 1959, susvisée, par la nécessité de veiller au respect des règles applicables aux remboursements de prestations et des règles de comptabilité publique.
A cet égard, la Commission constate que ce traitement comporte des informations permettant d’assurer la traçabilité logique des opérations réalisées par les décompteurs du SPME et par les vérificateurs du CGD.
La Commission considère donc que ce traitement est justifié conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations nominatives objets du présent traitement sont :
• Concernant l’assuré et ses ayants droit
- identité : nom, nom marital, prénom, nationalité, date et lieu de naissance, sexe, qualité de bénéficiaire ou d’ayant droit, numéro de matricule ;
- situation de famille : lien familial entre les assurés distinguant le bénéficiaire de ses ayants droit ;
- adresses et coordonnées : adresses postales du domicile et du service d’affectation ;
- vie professionnelle : code profession de l’assuré, code imputation comptable, code fonction publique, code service ;
- donnée d’identification électronique : numéro de matricule ;
- données de santé : éléments permettant au travers de la classification commune des actes, détermination des produits pharmaceutiques, actes médicaux et dentaires, séjours hospitaliers ou en clinique, suivi d’une grossesse, précision des actes liés à un accident du travail ou à un accident de droit commun au travers d’une codification interne ;
- caractéristiques financières : référence de facture, numéro de décompte, montants facturés, taux de prise en charge, montants remboursés, coordonnées bancaires de type IBAN, date de paiement.
• Concernant le praticien
- identité : nom, prénom, ou, raison sociale de la société ou de l’établissement prestataire de services sanitaires ou de santé pour le tiers payant, numéro de matricule ;
- adresses et coordonnées : adresse postale professionnelle ;
- donnée d’identification électronique : numéro de matricule ou numéro FINESS.
Les informations relatives à l’identité, la situation de famille, les adresses et coordonnées, la donnée d’identification électronique et les données de santé sont issues des feuilles de soins, réglementairement appelées «feuilles de maladie».
Les informations relatives à la santé permettent au SPME de s’assurer des prestations effectuées tenant compte de la classification commune des actes médicaux et des taux de remboursement à appliquer selon le bénéficiaire. Le traitement de ces données s’inscrit dans le cadre des missions du SPME, il est donc conforme aux dispositions de l’article 12 de la loi n° 1.165.
Les informations relatives aux assurées font l’objet d’un rapprochement avec les données exploitées dans le traitement ayant pour finalité «Immatriculation au Service des Prestations Médicales de l’Etat», susvisé, à des fins de vérification, notamment, de l’identité, de l’adresse, du numéro d’immatriculation et des droits ouverts pour les bénéficiaires. La Commission relève que le traitement ultérieur des informations nominatives dont s’agit est compatible avec ce premier traitement.
Selon la demande d’avis, les informations relatives aux praticiens, professionnels de santé et établissements de soins font l’objet d’un rapprochement avec deux traitements de la Caisse de Compensation de Services Sociaux afin de vérifier l’immatriculation, les coordonnées et le conventionnement des praticiens ou des établissements de santé.
Ces traitements concernent :
- l’immatriculation des établissements de services sanitaires sous un «numéro FINESS», issu du «Fichier National des Etablissements Sanitaires et Sociaux» ;
- l’immatriculation des praticiens.
La Commission observe que ces immatriculations sont issues d’un traitement exploité par les Caisses Sociales de Monaco sous la finalité «Gestion des prestations sociales», mis en œuvre le 13 novembre 2007. Elle relève que ce traitement a été déclaré auprès d’elle sous l’empire des dispositions de la loi n° 1.165, non modifiée.
Considérant les modifications intervenues depuis lors, notamment des principes relatifs à la qualité des informations nominatives et aux conditions de licéité des traitements, des accès dévolus au SPME et de la diffusion desdites informations sur le site Internet des Caisses Sociales de Monaco, la Commission estime que l’immatriculation des professionnels de santé devrait faire l’objet de formalités distinctes à soumettre à la Commission.
• Concernant les décompteurs du SPME
- identité : nom, prénom, numéro et initiales de décompteur ;
- données d’identification électronique : numéro de décompteur et clé d’identification ;
- élément de traçabilité : date de chaque décompte, numéro de lot et de feuille de soin.
Ces informations ont pour origine le SPME.
La Commission considère que les informations collectées sont «adéquates, pertinentes et non excessives» au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
IV. Sur les droits des personnes concernées
• Sur l’information préalable des personnes concernées
La Commission relève qu’en application de l’article 13 de la loi n° 1.165, susvisée, s’agissant d’un traitement mis en œuvre par un responsable de traitements visé à l’article 7 de la loi n° 1.165, susvisée, dans le cadre des missions d’intérêt général du SPME, les personnes concernées ne disposent pas d’un droit d’opposition à ce que les informations qui les concernent fassent l’objet d’un traitement.
Elle considère que l’information effectuée par voie d’affichage devra être complétée par une lettre circulaire et que l’ensemble des mentions obligatoires listées à l’article 14 de la loi n° 1.165 susvisée devra y figurer. En outre, le responsable de traitement devra vérifier que sont informés tant les assurés que les agents publics en charge du traitement des données.
En outre, la Direction Informatique disposant d’accès spécifiques dans le cadre de ses missions, ne devra pas être mentionnée comme destinataire des informations au sens de la loi n° 1.165.
• Sur l’exercice du droit d’accès, de modification et de mise à jour
La Commission observe que le droit d’accès est exercé par voie postale ou sur place auprès du SPME. Le délai de réponse est de 30 jours.
Les droits de modification et de mise à jour des données sont exercés selon les mêmes modalités.
La Commission constate ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
• Sur les personnes ayant accès au traitement
Les personnes ayant accès au traitement sont :
- les agents publics accrédités du SPME et du CGD : tout accès ;
- les personnels accrédités des Caisses Sociales de Monaco, en qualité de prestataire de service : accès en consultation ;
- les personnels accrédités de la Direction Informatique de l’Etat, dans le cadre des missions qui lui sont conférées par l’ordonnance souveraine n° 3.122 du 11 février 2011, susvisée : accès en consultation.
La Commission observe que ces accès sont opérés de manière nominative dans le cadre d’habilitations strictes établies selon les missions et attributions de chacune des personnes ayant accès au traitement.
• Sur les destinataires des informations
Les destinataires des informations sont :
- les personnels du CGD dans le cadre de leurs missions de contrôle de l’engagement, de l’ordonnancement et du paiement des dépenses publiques afin de leur permettre de vérifier les décomptes des remboursements maladies effectués par le SPME ;
- le personnel de la Trésorerie Générale des Finances, pour les seules informations nécessaires au paiement, expurgées de toutes données de santé.
La Commission considère que les destinataires des informations sont habilités à recevoir communication des données, conformément à l’article 8 de la loi n° 1.165.
VI. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation.
La Commission rappelle néanmoins que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VII. Sur la durée de conservation
La Commission relève que les informations nominatives collectées seront conservées 30 ans après le décès du dernier ayant droit, tenant compte des délais de prescriptions trentenaires des actions en la matière.
Elle considère que ce délai est excessif en considération de la finalité du traitement. Elle estime qu’il doit être limité à 30 ans à compter de la fin de l’année comptable au cours de laquelle le paiement ou refus de paiement aura été réalisé.
Elle observe qu’une fois ce délai expiré les informations font l’objet d’un archivage «pour des raisons statistiques et historiques». Elle considère qu’il s’agit là d’un traitement ultérieur des informations susceptible d’impliquer d’autres services de l’administration, comme le Service Central des Archives et de la Documentation Administrative, aux termes des articles 29 et suivants de l’ordonnance souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’Administration et l’administré.
Elle invite donc le responsable de traitement à déposer une demande d’avis permettant une gestion des archives définitives du SPME conforme à la loi n° 1.165.
Après en avoir délibéré,
Recommande que la Caisse de Compensation des Services Sociaux, agissant en tant que prestataire du SPME, soumette à la Commission une demande d’avis spécifique au traitement permettant l’immatriculation des professionnels de santé afin de tenir compte des évolutions légales intervenues en matière de protection des informations nominatives depuis le 1er avril 2009 ;
Demande :
- que l’information des personnes concernées soit modifiée afin de tenir compte de l’article 14 de la loi n° 1.165 et qu’elle soit réalisée par voie d’affichage et par lettre circulaire ;
- que la durée de conservation des informations soit limitée dans le temps à 30 ans à compter de la fin de l’année comptable au cours de laquelle le paiement ou refus de paiement aura été réalisé ;
Invite le responsable de traitement à lui soumettre une demande d’avis portant sur gestion des archives définitives du SPME ;
A la condition de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’Etat, du traitement automatisé d’informations nominatives ayant pour finalité «Décomptes - Gestion et remboursement des prestations médicales en nature», dénommé «Décompte des prestations médicales en nature», du Service des Prestations Médicales de l’Etat.
Le Président de la Commission
de Contrôle des Informations Nominatives.