Délibération n° 2016-22 du 24 février 2016 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Contrôle médical par le Service des Prestations Médicales de l’Etat », dénommé « Contrôle Médical - Médecin Conseil », présenté par le Ministre d’Etat
Vu la Constitution ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la Recommandation R(86) du Conseil de l’Europe du 23 janvier 1986 relative à la protection des données à caractère personnel utilisées à des fins de sécurité sociale ;
Vu la Convention franco-monégasque de sécurité sociale du 28 février 1952, modifiée, et l’arrangement administratif relatif aux modalités d’application de cette Convention, modifié ;
Vu la loi n° 486 du 17 juillet 1948 relative à l’octroi des allocations pour charges de famille, des prestations médicales, chirurgicales et pharmaceutiques aux fonctionnaires de l’État et de la Commune ;
Vu la loi n° 918 du 27 décembre 1971 sur les établissements publics ;
Vu la loi n° 975 du 12 juillet 1975 portant statut des fonctionnaires de l’Etat, modifiée, et les textes pris en son application ;
Vu la loi n° 1.096 du 7 août 1986 portant statut des fonctionnaires de la Commune, modifiée, et les textes pris en son application ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 3.387 du 22 janvier 1947 relative aux prestations médicales, chirurgicales et pharmaceutiques allouées aux fonctionnaires, agents et employés de l’ordre administratif ;
Vu l’ordonnance souveraine n° 14.532 du 17 juillet 2000 rendant exécutoire l’arrangement administratif particulier franco-monégasque concernant les modalités de remboursement des frais exposés dans les établissements de soins français et monégasques ;
Vu l’ordonnance souveraine n° 16.605 du 10 janvier 2005 portant organisation des Départements ministériels ;
Vu l’ordonnance souveraine n° 231 du 3 octobre 2005 portant création d’un Service des Prestations Médicales de l’Etat ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’ordonnance souveraine n° 3.122 du 11 février 2011 portant création de la Direction Informatique ;
Vu l’arrêté ministériel du 4 février 1947 portant règlement des prestations médicales, chirurgicales et pharmaceutiques allouées aux fonctionnaires ;
Vu l’arrêté ministériel n° 84-688 du 30 novembre 1984 relatif à la nomenclature générale des actes professionnels des médecins, des chirurgiens-dentistes, des sages-femmes et des auxiliaires médicaux, modifié ;
Vu l’arrêté ministériel n° 2005-276 du 7 juin 2005 fixant les conditions de remboursement par les régimes d’assurance maladie des actes relevant de la Classification commune des actes médicaux ;
Vu la délibération n° 2011-18 du 14 février 2011 portant avis favorable sur la demande, présentée par le Ministre d’Etat, relative à la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Immatriculation au Service des Prestations Médicales de l’Etat » du Service des Prestations Médicales de l’Etat ;
Vu la demande d’avis déposée par le Ministre d’Etat, le 5 janvier 2016, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité « Contrôle Médical par le Service des Prestations Médicales de l’Etat », dénommé « Contrôle Médical - Médecin Conseil » ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 24 févier 2016 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Les assurés sociaux et leurs ayants droit immatriculés auprès du Service des Prestations Médicales de l’Etat (SPME) peuvent bénéficier de prestations médicales, pharmaceutiques et chirurgicales sous certaines conditions.
La gestion de ces prestations et des contrôles préalables pouvant y être associés a été dévolue au Service des Prestations Médicales de l’Etat créé par l’ordonnance souveraine n° 231 du 3 octobre 2005.
Placé sous l’autorité du Conseiller de Gouvernement pour les Affaires Sociales et la Santé, ce service est amené, dans le cadre des missions qui lui sont conférées par ladite ordonnance, à traiter des informations nominatives. La mise en œuvre des traitements automatisés de ces informations est soumise à l’avis préalable de la Commission de Contrôle des Informations Nominatives, conformément à l’article 7 de la loi n° 1.165, susvisée.
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Contrôle Médical par le Service des Prestations Médicales de l’Etat ». Il est dénommé « Contrôle Médical - Médecin Conseil ».
Il concerne les personnes immatriculées auprès du SPME, leurs ayants droit, tels que définis dans le traitement ayant pour finalité « Immatriculation au Service des Prestations Médicales de l’Etat », susvisé, ainsi que les praticiens et prestataires de services sanitaires et de santé immatriculés.
Ce traitement concerne également les personnels du SPME ayant accès au traitement en modification.
Il a pour objectif de centraliser les informations relatives aux demandes préalables reçues par le SPME et les avis s’y rapportant émis par le Médecin Conseil du SPME. En outre, il lui permet d’exécuter ses missions, particulièrement de conseil auprès du SPME s’agissant de la prise en charge des prestations en nature (médicales, pharmaceutiques et chirurgicales) et des prestations en espèces (indemnités journalières), de contrôle de la justification et de la conformité des prestations demandées.
Ses fonctionnalités sont les suivantes :
- Pour les demandes de prestations en nature sollicitées par les praticiens, les prestataires de matériels et les établissements de santé :
• Contrôler leur justification et leur conformité ;
• Emettre un avis relatif à ces demandes ;
• Assurer le suivi des prestations.
- Pour les prestations en espèces sollicitées par les assurés :
• Contrôler leur justification et leur conformité ;
• Emettre un avis relatif à ces demandes ;
• Assurer un suivi des prestations.
- Echanger des correspondances avec les assurés et les professionnels de santé ;
- Inscrire un assuré à la Commission médicale des congés de maladie et des invalidités, le cas échéant ;
- Etablir des statistiques par le biais de tableaux de type tableaux croisés ou tableau de fréquence ;
- Assurer la traçabilité des opérations effectuées.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité et la justification du traitement
• Sur la licéité du traitement
La Commission observe que l’ordonnance souveraine n° 231, susvisée, attribue au SPME la gestion des prestations objets du présent traitement.
Elle note, par ailleurs, que les modalités de remboursement des prestations en espèces ou en nature sont précisées par différents textes, tel que l’arrêté ministériel du 4 février 1947 susvisé s’agissant des fonctionnaires, agents et employés de l’Etat ou de la Commune.
La Commission considère que le traitement est licite conformément aux articles 10-1 et 12 de la loi n° 1.165, modifiée.
• Sur la justification du traitement
Le responsable de traitement indique que le traitement est justifié par le respect d’une obligation légale à laquelle il est soumis, particulièrement ses obligations de gérer les prestations accordées aux agents publics et à leurs ayants droit au titre de l’assurance maladie, et maternité, de l’assurance accident du travail, de l’assurance invalidité.
A ce titre, il met en exergue, notamment l’arrêté ministériel n° 84-688 du 30 novembre 1984 et l’arrêté ministériel n° 2005-276 du 7 juin 2005, susvisés, qui prévoient les conditions de participation aux frais résultant de certains actes par les caisses sociales impliquant que ceux-ci font l’objet d’un accord préalable du contrôle médical et ne sont pris en charge qu’à la condition d’avoir reçu l’avis favorable du contrôle médical, sous réserve que l’assuré remplisse les conditions légales d’attribution des prestations.
La Commission considère donc que ce traitement est justifié conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations nominatives traitées sont :
• Concernant l’assuré et ses ayants droit
Les informations nominatives traitées concernant l’assuré et ses ayants droits sont :
- identité : civilité, nom, prénom(s), sexe, date de naissance, nationalité ;
- situation de famille : qualité (assuré, conjoint, enfant) ;
- adresses et coordonnées (de l’assuré) : adresse postale et téléphone du domicile ou adresse professionnelle ;
- vie professionnelle : fonction publique, service de l’assuré, Code imputation comptable ;
- données d’identification électronique : numéro de matricule, fonction publique, service de l’assuré, Code imputation comptable ;
- données de sécurité sociale : date de début et de fin d’ouverture des droits ;
- données de santé :
• liées à une demande d’entente préalable : date de la prescription, nature de la demande, cadre de la prescription, code acte et coefficient proposés par le praticien, nombre d’actes proposé, avis des intervenants (avis du médecin conseil, avis de la commission médicale), mode d’examen, nature - coefficient de l’acte et nombre d’actes retenu par le médecin conseil, avis et observations du médecin conseil (date de l’avis, date d’effet, date d’échéance, date de fin), code CIM10 ;
• liées à une demande de prise en charge hospitalière : date et nature de la demande, cadre de la prescription, nom de l’établissement, avis des intervenants (avis du médecin conseil, avis de la commission médicale) ; mode d’examen, avis et observations du médecin conseil (date de l’avis, date d’effet, date d’échéance, date de fin), code CIM10 ;
• liées aux prestations en espèces : date de la prescription, date de début et de fin de l’arrêt, nature de la demande, cadre de la prescription, code CIM10, mode d’examen, avis et observations du médecin conseil (date de l’avis, date d’effet, date d’échéance, date de fin).
Les informations relatives à l’identité, la situation de famille, les adresses et coordonnées ont pour origine l’intéressé et/ou le praticien par le biais du formulaire de demande préalable ou d’arrêt de travail adressé au SPME, l’établissement de soins par le biais du bordereau de prise en charge de l’établissement de soins.
Les informations relatives à la vie professionnelle, à l’ouverture des droits et aux données d’identification électronique ont pour origine le traitement « Immatriculation au Service des Prestations Médicales de l’Etat », susvisé. La Commission observe que cette utilisation ultérieure des informations est compatible avec ledit traitement.
Les données de santé ont, selon le cas, pour origine le formulaire de demande préalable, le bordereau de prise en charge, l’arrêt de travail et le Médecin Conseil.
La demande d’avis précise que les informations en lien avec un arrêt de travail ou un accident du travail sont extraites d’autres traitements automatisés d’informations nominatives spécifiques en cours de régularisation.
La Commission relève, en conséquence, qu’elle n’est pas en mesure de vérifier la compatibilité des finalités des traitements. Aussi, elle demande que leur mise en conformité soit effectuée dans les plus brefs délais.
• Concernant le praticien prescripteur et/ou exécutant
- identité : civilité, nom, prénom, raison sociale de l’établissement de soins, numéro de matricule ;
- vie professionnelle : spécialité ;
- adresses et coordonnées : adresse postale professionnelle et/ou de l’établissement de soins ;
- données d’identification électronique : numéro de matricule ou numéro FINESS de l’établissement.
Les informations relatives à l’identité, à la profession, aux adresses et coordonnées ont pour origine le praticien par le biais du formulaire de demande préalable ou d’arrêt de travail adressé au SPME, l’établissement de soins par le biais du bordereau de prise en charge de l’établissement de soins.
Les données d’identification électronique correspondant au numéro de matricule du praticien ont, selon la demande d’avis, pour origine le traitement ayant pour finalité « Immatriculation au Service des Prestations Médicales de l’Etat », susvisé.
Cependant la Commission relève que cette immatriculation telle que soumise à son avis en 2011 ne portait que sur des établissements personnes morales sans lien avec les professionnels de santé.
Toutefois, elle observe que l’immatriculation des professionnels de santé est effectuée par la Caisse de Compensation des Services Sociaux, que le traitement associé est régulièrement mis en œuvre, enfin que le SPME est mentionné comme entité habilitée à avoir accès aux informations y exploitées.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
IV. Sur les droits des personnes concernées
• Sur l’information préalable des personnes concernées
La Commission relève que le présent traitement est mis en œuvre par un responsable de traitements visé à l’article 7 de la loi n° 1.165. Aussi, en application de l’article 13 de ladite loi, les personnes concernées ne disposent pas d’un droit d’opposition au traitement des informations qui les concernent.
Le responsable de traitement indique que leur information est effectuée par voie d’affichage et par la publication de la décision de mise en œuvre du traitement et de l’avis de la Commission au Journal de Monaco.
La Commission note que les observations formulées depuis 2011 quant à la qualité de la rédaction de l’information des personnes concernées ont été prises en compte par le responsable de traitement.
Tenant compte des modalités de contact des usagers auprès du SPME, la Commission rappelle toutefois, l’observation qu’elle avait formulée dans sa délibération n° 2013-26 du 6 mars 2013 concernant le traitement automatisé d’informations nominatives ayant pour finalité « Décomptes - gestion et remboursement des prestations médicales en nature », et dans sa délibération n° 2014-96 du 10 juin 2014 relative au traitement automatisé d’informations nominatives ayant pour finalité « Contrôle dentaire par le Service des Prestations Médicales de l’Etat », en matière d’information préalable des personnes concernées.
Ainsi afin de veiller à l’effectivité de l’information des personnes concernées, celle-ci devrait être complétée par une lettre circulaire reprenant les mentions obligatoires listées à l’article 14 de la loi n° 1.165 susvisée.
• Sur l’exercice du droit d’accès, de modification et de mise à jour
La Commission observe que le droit d’accès est exercé par voie postale ou sur place auprès du SPME. Le délai de réponse est de 30 jours.
Les droits de modification et de mise à jour des données sont exercés selon les mêmes modalités.
La Commission constate ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
• Sur les personnes ayant accès au traitement
Les personnes ayant accès au traitement sont :
- Le Médecin Conseil : en consultation, écriture, mises à jour et suppression de l’ensemble des informations. Il est également le seul à avoir accès aux modules permettant l’établissement de statistiques ;
- Le secrétariat du Médecin Conseil, sous la responsabilité de ce dernier : en consultation, écriture et mises à jours ces informations portant sur l’identification, la demande et l’avis ;
- Les contrôleurs du SPME : en consultation hors les informations d’ordre médical ;
- Les commis décompteurs du SPME : en consultation, hors les informations d’ordre médical et uniquement sur autorisation du Médecin Conseil afin de vérifier le sens de l’avis du Médecin Conseil lors des procédures de vérifications préalable au paiement.
La Commission observe que ces accès sont opérés de manière nominative dans le cadre d’habilitations strictes établies selon les missions et attributions de chacune des personnes ayant accès au traitement.
Elle relève cependant que les personnels de la Direction Informatique, les prestataires agissant pour son compte, sont susceptibles d’avoir accès au traitement au titre de leur mission de maintenance ou de développement.
Elle considère que ces dernières ne doivent en aucun cas avoir accès en clair à ces données qui doivent de par leur nature faire l’objet de mesure de sécurité et de confidentialité renforcées.
Aussi, la Commission demande que des outils de chiffrement soient mis en place afin d’y veiller.
Il en sera de même pour la sauvegarde de ces informations.
• Sur les destinataires des informations
Les informations sont internes au SPME.
VI. Sur les rapprochements et interconnexions avec d’autres traitements
Le traitement fait l’objet de rapprochements avec :
- le traitement ayant pour finalité « Immatriculation au Service de Prestations Médicales de l’Etat », légalement mis en œuvre, aux fins d’extraction des données d’identification de l’assuré et de son ou ses ayants droits, comme ;
- le traitement ayant pour finalité « Immatriculation des professionnels de santé » de la Caisse de Compensation des Services Sociaux, légalement mis en œuvre ;
- un traitement concernant la saisie des arrêts maladie et des accidents du travail, dont la mise en conformité est en cours.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient appellent les observations suivantes.
Tout d’abord, la Commission relève que l’exploitation et les communications d’informations dites sensibles, au sens de l’article 12 de la loi n° 1.165, doivent faire l’objet de mesures de sécurité renforcées.
Aussi, elle rappelle l’observation formulée au point V s’agissant des personnes ayant accès au traitement.
Elle observe que l’architecture technique du traitement repose sur des équipements de raccordements (switchs, routeurs, pare feux) de serveurs et périphériques qui doivent être protégés par un login et mot de passe réputé fort et que les ports non utilisés doivent être désactivés.
La Commission rappelle en outre que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
Le responsable de traitement prévoit de supprimer les informations 5 ans après le décès de l’assuré sans justification particulière.
La Commission relève que ce délai est similaire au délai présenté dans la demande d’avis relative au Contrôle dentaire par le SPME telle que soumise en juin 2014.
Elle observe cependant que les avis du Médecin Conseil portent sur des demandes très différentes comme des cures thermales, des hospitalisations, des exonérations de ticket modérateur, mais également sur des consolidations après accident du travail, des actes de chimiothérapies, des placements en établissement socio-médicaux…
En outre, la demande d’avis indique que certaines demandes sont archivées et d’autres pas, sans plus de précision.
Elle considère que, selon la demande ou les demandes liées, la durée de conservation des informations peut être excessive et ne présenter que peu d’intérêt.
Par ailleurs, elle relève que l’assuré est susceptible, dans certains cas, de ne plus relever du SPME qui ne serait alors pas informé de son décès. Ce peut être l’hypothèse des agents de l’Etat retraités non domiciliés en Principauté de Monaco.
Aussi, tenant compte du programme d’archivage des documents de l’administration diligenté par le Gouvernement en cours, la Commission suggère que les Services en charge s’intéressent à la conservation des documents et informations exploités par le SPME afin d’établir des durées adaptées à la finalité de leur traitement.
Après en avoir délibéré la Commission :
Observe que les demandes formulées par la Commission concernant la qualité de la rédaction de l’information des personnes concernées ont été prises en compte par le responsable de traitement ;
Rappelle, toutefois, l’observation formulée par la CCIN dans sa délibération n° 2013-26 du 6 mars 2013 concernant le traitement automatisé d’informations nominatives ayant pour finalité « Décomptes - gestion et remboursement des prestations médicales en nature », et dans sa délibération n° 2014-96 du 10 juin 2014 relative au traitement automatisé d’informations nominatives ayant pour finalité « Contrôle dentaire par le Service des Prestations Médicales de l’Etat », en matière d’information préalable des personnes concernées ;
Demande que :
- l’information des personnes concernées soit effectuée par lettre circulaire ;
- les traitements automatisés d’informations nominatives permettant la gestion des arrêts de travail et celles des accidents du travail soient régularisés dans les plus brefs délais ;
- des outils de chiffrement adaptés soient mis en place afin que des personnes non habilitées ne puissent pas avoir accès en clair aux informations, notamment les personnels de la Direction Informatique ou les prestataires agissant pour son compte ;
- les serveurs périphériques soient protégés par un login et un mot de passe réputé fort et que les ports non utilisés soient désactivés.
Suggère qu’une réflexion soit menée sur les durées de conservation des informations nominatives afin de veiller à leur adéquation selon les demandes préalables adressées au Médecin Conseil et/ou la situation de l’assuré dans le cadre, par exemple, du programme d’archivage des documents de l’administration en cours.
A la condition de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’Etat, du traitement automatisé d’informations nominatives ayant pour finalité « Contrôle Médical du Service des Prestations Médicales de l’Etat », dénommé « Contrôle Médical - Médecin Conseil ».
Le Président de la Commission
de Contrôle des Informations Nominatives.
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la Recommandation R(86) du Conseil de l’Europe du 23 janvier 1986 relative à la protection des données à caractère personnel utilisées à des fins de sécurité sociale ;
Vu la Convention franco-monégasque de sécurité sociale du 28 février 1952, modifiée, et l’arrangement administratif relatif aux modalités d’application de cette Convention, modifié ;
Vu la loi n° 486 du 17 juillet 1948 relative à l’octroi des allocations pour charges de famille, des prestations médicales, chirurgicales et pharmaceutiques aux fonctionnaires de l’État et de la Commune ;
Vu la loi n° 918 du 27 décembre 1971 sur les établissements publics ;
Vu la loi n° 975 du 12 juillet 1975 portant statut des fonctionnaires de l’Etat, modifiée, et les textes pris en son application ;
Vu la loi n° 1.096 du 7 août 1986 portant statut des fonctionnaires de la Commune, modifiée, et les textes pris en son application ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 3.387 du 22 janvier 1947 relative aux prestations médicales, chirurgicales et pharmaceutiques allouées aux fonctionnaires, agents et employés de l’ordre administratif ;
Vu l’ordonnance souveraine n° 14.532 du 17 juillet 2000 rendant exécutoire l’arrangement administratif particulier franco-monégasque concernant les modalités de remboursement des frais exposés dans les établissements de soins français et monégasques ;
Vu l’ordonnance souveraine n° 16.605 du 10 janvier 2005 portant organisation des Départements ministériels ;
Vu l’ordonnance souveraine n° 231 du 3 octobre 2005 portant création d’un Service des Prestations Médicales de l’Etat ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’ordonnance souveraine n° 3.122 du 11 février 2011 portant création de la Direction Informatique ;
Vu l’arrêté ministériel du 4 février 1947 portant règlement des prestations médicales, chirurgicales et pharmaceutiques allouées aux fonctionnaires ;
Vu l’arrêté ministériel n° 84-688 du 30 novembre 1984 relatif à la nomenclature générale des actes professionnels des médecins, des chirurgiens-dentistes, des sages-femmes et des auxiliaires médicaux, modifié ;
Vu l’arrêté ministériel n° 2005-276 du 7 juin 2005 fixant les conditions de remboursement par les régimes d’assurance maladie des actes relevant de la Classification commune des actes médicaux ;
Vu la délibération n° 2011-18 du 14 février 2011 portant avis favorable sur la demande, présentée par le Ministre d’Etat, relative à la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Immatriculation au Service des Prestations Médicales de l’Etat » du Service des Prestations Médicales de l’Etat ;
Vu la demande d’avis déposée par le Ministre d’Etat, le 5 janvier 2016, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité « Contrôle Médical par le Service des Prestations Médicales de l’Etat », dénommé « Contrôle Médical - Médecin Conseil » ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 24 févier 2016 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Les assurés sociaux et leurs ayants droit immatriculés auprès du Service des Prestations Médicales de l’Etat (SPME) peuvent bénéficier de prestations médicales, pharmaceutiques et chirurgicales sous certaines conditions.
La gestion de ces prestations et des contrôles préalables pouvant y être associés a été dévolue au Service des Prestations Médicales de l’Etat créé par l’ordonnance souveraine n° 231 du 3 octobre 2005.
Placé sous l’autorité du Conseiller de Gouvernement pour les Affaires Sociales et la Santé, ce service est amené, dans le cadre des missions qui lui sont conférées par ladite ordonnance, à traiter des informations nominatives. La mise en œuvre des traitements automatisés de ces informations est soumise à l’avis préalable de la Commission de Contrôle des Informations Nominatives, conformément à l’article 7 de la loi n° 1.165, susvisée.
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Contrôle Médical par le Service des Prestations Médicales de l’Etat ». Il est dénommé « Contrôle Médical - Médecin Conseil ».
Il concerne les personnes immatriculées auprès du SPME, leurs ayants droit, tels que définis dans le traitement ayant pour finalité « Immatriculation au Service des Prestations Médicales de l’Etat », susvisé, ainsi que les praticiens et prestataires de services sanitaires et de santé immatriculés.
Ce traitement concerne également les personnels du SPME ayant accès au traitement en modification.
Il a pour objectif de centraliser les informations relatives aux demandes préalables reçues par le SPME et les avis s’y rapportant émis par le Médecin Conseil du SPME. En outre, il lui permet d’exécuter ses missions, particulièrement de conseil auprès du SPME s’agissant de la prise en charge des prestations en nature (médicales, pharmaceutiques et chirurgicales) et des prestations en espèces (indemnités journalières), de contrôle de la justification et de la conformité des prestations demandées.
Ses fonctionnalités sont les suivantes :
- Pour les demandes de prestations en nature sollicitées par les praticiens, les prestataires de matériels et les établissements de santé :
• Contrôler leur justification et leur conformité ;
• Emettre un avis relatif à ces demandes ;
• Assurer le suivi des prestations.
- Pour les prestations en espèces sollicitées par les assurés :
• Contrôler leur justification et leur conformité ;
• Emettre un avis relatif à ces demandes ;
• Assurer un suivi des prestations.
- Echanger des correspondances avec les assurés et les professionnels de santé ;
- Inscrire un assuré à la Commission médicale des congés de maladie et des invalidités, le cas échéant ;
- Etablir des statistiques par le biais de tableaux de type tableaux croisés ou tableau de fréquence ;
- Assurer la traçabilité des opérations effectuées.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité et la justification du traitement
• Sur la licéité du traitement
La Commission observe que l’ordonnance souveraine n° 231, susvisée, attribue au SPME la gestion des prestations objets du présent traitement.
Elle note, par ailleurs, que les modalités de remboursement des prestations en espèces ou en nature sont précisées par différents textes, tel que l’arrêté ministériel du 4 février 1947 susvisé s’agissant des fonctionnaires, agents et employés de l’Etat ou de la Commune.
La Commission considère que le traitement est licite conformément aux articles 10-1 et 12 de la loi n° 1.165, modifiée.
• Sur la justification du traitement
Le responsable de traitement indique que le traitement est justifié par le respect d’une obligation légale à laquelle il est soumis, particulièrement ses obligations de gérer les prestations accordées aux agents publics et à leurs ayants droit au titre de l’assurance maladie, et maternité, de l’assurance accident du travail, de l’assurance invalidité.
A ce titre, il met en exergue, notamment l’arrêté ministériel n° 84-688 du 30 novembre 1984 et l’arrêté ministériel n° 2005-276 du 7 juin 2005, susvisés, qui prévoient les conditions de participation aux frais résultant de certains actes par les caisses sociales impliquant que ceux-ci font l’objet d’un accord préalable du contrôle médical et ne sont pris en charge qu’à la condition d’avoir reçu l’avis favorable du contrôle médical, sous réserve que l’assuré remplisse les conditions légales d’attribution des prestations.
La Commission considère donc que ce traitement est justifié conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations nominatives traitées sont :
• Concernant l’assuré et ses ayants droit
Les informations nominatives traitées concernant l’assuré et ses ayants droits sont :
- identité : civilité, nom, prénom(s), sexe, date de naissance, nationalité ;
- situation de famille : qualité (assuré, conjoint, enfant) ;
- adresses et coordonnées (de l’assuré) : adresse postale et téléphone du domicile ou adresse professionnelle ;
- vie professionnelle : fonction publique, service de l’assuré, Code imputation comptable ;
- données d’identification électronique : numéro de matricule, fonction publique, service de l’assuré, Code imputation comptable ;
- données de sécurité sociale : date de début et de fin d’ouverture des droits ;
- données de santé :
• liées à une demande d’entente préalable : date de la prescription, nature de la demande, cadre de la prescription, code acte et coefficient proposés par le praticien, nombre d’actes proposé, avis des intervenants (avis du médecin conseil, avis de la commission médicale), mode d’examen, nature - coefficient de l’acte et nombre d’actes retenu par le médecin conseil, avis et observations du médecin conseil (date de l’avis, date d’effet, date d’échéance, date de fin), code CIM10 ;
• liées à une demande de prise en charge hospitalière : date et nature de la demande, cadre de la prescription, nom de l’établissement, avis des intervenants (avis du médecin conseil, avis de la commission médicale) ; mode d’examen, avis et observations du médecin conseil (date de l’avis, date d’effet, date d’échéance, date de fin), code CIM10 ;
• liées aux prestations en espèces : date de la prescription, date de début et de fin de l’arrêt, nature de la demande, cadre de la prescription, code CIM10, mode d’examen, avis et observations du médecin conseil (date de l’avis, date d’effet, date d’échéance, date de fin).
Les informations relatives à l’identité, la situation de famille, les adresses et coordonnées ont pour origine l’intéressé et/ou le praticien par le biais du formulaire de demande préalable ou d’arrêt de travail adressé au SPME, l’établissement de soins par le biais du bordereau de prise en charge de l’établissement de soins.
Les informations relatives à la vie professionnelle, à l’ouverture des droits et aux données d’identification électronique ont pour origine le traitement « Immatriculation au Service des Prestations Médicales de l’Etat », susvisé. La Commission observe que cette utilisation ultérieure des informations est compatible avec ledit traitement.
Les données de santé ont, selon le cas, pour origine le formulaire de demande préalable, le bordereau de prise en charge, l’arrêt de travail et le Médecin Conseil.
La demande d’avis précise que les informations en lien avec un arrêt de travail ou un accident du travail sont extraites d’autres traitements automatisés d’informations nominatives spécifiques en cours de régularisation.
La Commission relève, en conséquence, qu’elle n’est pas en mesure de vérifier la compatibilité des finalités des traitements. Aussi, elle demande que leur mise en conformité soit effectuée dans les plus brefs délais.
• Concernant le praticien prescripteur et/ou exécutant
- identité : civilité, nom, prénom, raison sociale de l’établissement de soins, numéro de matricule ;
- vie professionnelle : spécialité ;
- adresses et coordonnées : adresse postale professionnelle et/ou de l’établissement de soins ;
- données d’identification électronique : numéro de matricule ou numéro FINESS de l’établissement.
Les informations relatives à l’identité, à la profession, aux adresses et coordonnées ont pour origine le praticien par le biais du formulaire de demande préalable ou d’arrêt de travail adressé au SPME, l’établissement de soins par le biais du bordereau de prise en charge de l’établissement de soins.
Les données d’identification électronique correspondant au numéro de matricule du praticien ont, selon la demande d’avis, pour origine le traitement ayant pour finalité « Immatriculation au Service des Prestations Médicales de l’Etat », susvisé.
Cependant la Commission relève que cette immatriculation telle que soumise à son avis en 2011 ne portait que sur des établissements personnes morales sans lien avec les professionnels de santé.
Toutefois, elle observe que l’immatriculation des professionnels de santé est effectuée par la Caisse de Compensation des Services Sociaux, que le traitement associé est régulièrement mis en œuvre, enfin que le SPME est mentionné comme entité habilitée à avoir accès aux informations y exploitées.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
IV. Sur les droits des personnes concernées
• Sur l’information préalable des personnes concernées
La Commission relève que le présent traitement est mis en œuvre par un responsable de traitements visé à l’article 7 de la loi n° 1.165. Aussi, en application de l’article 13 de ladite loi, les personnes concernées ne disposent pas d’un droit d’opposition au traitement des informations qui les concernent.
Le responsable de traitement indique que leur information est effectuée par voie d’affichage et par la publication de la décision de mise en œuvre du traitement et de l’avis de la Commission au Journal de Monaco.
La Commission note que les observations formulées depuis 2011 quant à la qualité de la rédaction de l’information des personnes concernées ont été prises en compte par le responsable de traitement.
Tenant compte des modalités de contact des usagers auprès du SPME, la Commission rappelle toutefois, l’observation qu’elle avait formulée dans sa délibération n° 2013-26 du 6 mars 2013 concernant le traitement automatisé d’informations nominatives ayant pour finalité « Décomptes - gestion et remboursement des prestations médicales en nature », et dans sa délibération n° 2014-96 du 10 juin 2014 relative au traitement automatisé d’informations nominatives ayant pour finalité « Contrôle dentaire par le Service des Prestations Médicales de l’Etat », en matière d’information préalable des personnes concernées.
Ainsi afin de veiller à l’effectivité de l’information des personnes concernées, celle-ci devrait être complétée par une lettre circulaire reprenant les mentions obligatoires listées à l’article 14 de la loi n° 1.165 susvisée.
• Sur l’exercice du droit d’accès, de modification et de mise à jour
La Commission observe que le droit d’accès est exercé par voie postale ou sur place auprès du SPME. Le délai de réponse est de 30 jours.
Les droits de modification et de mise à jour des données sont exercés selon les mêmes modalités.
La Commission constate ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
• Sur les personnes ayant accès au traitement
Les personnes ayant accès au traitement sont :
- Le Médecin Conseil : en consultation, écriture, mises à jour et suppression de l’ensemble des informations. Il est également le seul à avoir accès aux modules permettant l’établissement de statistiques ;
- Le secrétariat du Médecin Conseil, sous la responsabilité de ce dernier : en consultation, écriture et mises à jours ces informations portant sur l’identification, la demande et l’avis ;
- Les contrôleurs du SPME : en consultation hors les informations d’ordre médical ;
- Les commis décompteurs du SPME : en consultation, hors les informations d’ordre médical et uniquement sur autorisation du Médecin Conseil afin de vérifier le sens de l’avis du Médecin Conseil lors des procédures de vérifications préalable au paiement.
La Commission observe que ces accès sont opérés de manière nominative dans le cadre d’habilitations strictes établies selon les missions et attributions de chacune des personnes ayant accès au traitement.
Elle relève cependant que les personnels de la Direction Informatique, les prestataires agissant pour son compte, sont susceptibles d’avoir accès au traitement au titre de leur mission de maintenance ou de développement.
Elle considère que ces dernières ne doivent en aucun cas avoir accès en clair à ces données qui doivent de par leur nature faire l’objet de mesure de sécurité et de confidentialité renforcées.
Aussi, la Commission demande que des outils de chiffrement soient mis en place afin d’y veiller.
Il en sera de même pour la sauvegarde de ces informations.
• Sur les destinataires des informations
Les informations sont internes au SPME.
VI. Sur les rapprochements et interconnexions avec d’autres traitements
Le traitement fait l’objet de rapprochements avec :
- le traitement ayant pour finalité « Immatriculation au Service de Prestations Médicales de l’Etat », légalement mis en œuvre, aux fins d’extraction des données d’identification de l’assuré et de son ou ses ayants droits, comme ;
- le traitement ayant pour finalité « Immatriculation des professionnels de santé » de la Caisse de Compensation des Services Sociaux, légalement mis en œuvre ;
- un traitement concernant la saisie des arrêts maladie et des accidents du travail, dont la mise en conformité est en cours.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient appellent les observations suivantes.
Tout d’abord, la Commission relève que l’exploitation et les communications d’informations dites sensibles, au sens de l’article 12 de la loi n° 1.165, doivent faire l’objet de mesures de sécurité renforcées.
Aussi, elle rappelle l’observation formulée au point V s’agissant des personnes ayant accès au traitement.
Elle observe que l’architecture technique du traitement repose sur des équipements de raccordements (switchs, routeurs, pare feux) de serveurs et périphériques qui doivent être protégés par un login et mot de passe réputé fort et que les ports non utilisés doivent être désactivés.
La Commission rappelle en outre que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
Le responsable de traitement prévoit de supprimer les informations 5 ans après le décès de l’assuré sans justification particulière.
La Commission relève que ce délai est similaire au délai présenté dans la demande d’avis relative au Contrôle dentaire par le SPME telle que soumise en juin 2014.
Elle observe cependant que les avis du Médecin Conseil portent sur des demandes très différentes comme des cures thermales, des hospitalisations, des exonérations de ticket modérateur, mais également sur des consolidations après accident du travail, des actes de chimiothérapies, des placements en établissement socio-médicaux…
En outre, la demande d’avis indique que certaines demandes sont archivées et d’autres pas, sans plus de précision.
Elle considère que, selon la demande ou les demandes liées, la durée de conservation des informations peut être excessive et ne présenter que peu d’intérêt.
Par ailleurs, elle relève que l’assuré est susceptible, dans certains cas, de ne plus relever du SPME qui ne serait alors pas informé de son décès. Ce peut être l’hypothèse des agents de l’Etat retraités non domiciliés en Principauté de Monaco.
Aussi, tenant compte du programme d’archivage des documents de l’administration diligenté par le Gouvernement en cours, la Commission suggère que les Services en charge s’intéressent à la conservation des documents et informations exploités par le SPME afin d’établir des durées adaptées à la finalité de leur traitement.
Après en avoir délibéré la Commission :
Observe que les demandes formulées par la Commission concernant la qualité de la rédaction de l’information des personnes concernées ont été prises en compte par le responsable de traitement ;
Rappelle, toutefois, l’observation formulée par la CCIN dans sa délibération n° 2013-26 du 6 mars 2013 concernant le traitement automatisé d’informations nominatives ayant pour finalité « Décomptes - gestion et remboursement des prestations médicales en nature », et dans sa délibération n° 2014-96 du 10 juin 2014 relative au traitement automatisé d’informations nominatives ayant pour finalité « Contrôle dentaire par le Service des Prestations Médicales de l’Etat », en matière d’information préalable des personnes concernées ;
Demande que :
- l’information des personnes concernées soit effectuée par lettre circulaire ;
- les traitements automatisés d’informations nominatives permettant la gestion des arrêts de travail et celles des accidents du travail soient régularisés dans les plus brefs délais ;
- des outils de chiffrement adaptés soient mis en place afin que des personnes non habilitées ne puissent pas avoir accès en clair aux informations, notamment les personnels de la Direction Informatique ou les prestataires agissant pour son compte ;
- les serveurs périphériques soient protégés par un login et un mot de passe réputé fort et que les ports non utilisés soient désactivés.
Suggère qu’une réflexion soit menée sur les durées de conservation des informations nominatives afin de veiller à leur adéquation selon les demandes préalables adressées au Médecin Conseil et/ou la situation de l’assuré dans le cadre, par exemple, du programme d’archivage des documents de l’administration en cours.
A la condition de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’Etat, du traitement automatisé d’informations nominatives ayant pour finalité « Contrôle Médical du Service des Prestations Médicales de l’Etat », dénommé « Contrôle Médical - Médecin Conseil ».
Le Président de la Commission
de Contrôle des Informations Nominatives.