Délibération n° 2016-52 en date du 20 avril 2016 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Dématérialisation des demandes de remboursement de prestations médicales», dénommé « F.S.E. : Feuilles de Soins Electroniques (application en mode Web) » du Service des Prestations Médicales de l’Etat, présenté par le Ministre d’Etat
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la Convention franco-monégasque de sécurité sociale du 28 février 1952, modifiée, et l’arrangement administratif relatif aux modalités d’application de cette Convention, modifié ;
Vu la loi n° 486 du 17 juillet 1948 relative à l’octroi des allocations pour charges de famille, des prestations médicales, chirurgicales et pharmaceutiques aux fonctionnaires de l’Etat et de la Commune ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 1.401 du 5 décembre 2013 relative à la prescription civile ;
Vu l’ordonnance n° 3.387 du 22 janvier 1947 relative aux prestations médicales, chirurgicales et pharmaceutiques allouées aux fonctionnaires, agents et employés de l’ordre administratif ;
Vu l’ordonnance souveraine n° 231 du 3 octobre 2005 portant création d’un Service des Prestations Médicales de l’Etat ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’ordonnance souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’Administration et l’administré ;
Vu l’arrêté ministériel du 4 février 1947 portant règlement des prestations médicales, chirurgicales et pharmaceutiques allouées aux fonctionnaires, modifié ;
Vu l’arrêté ministériel n° 84-688 du 30 novembre 1984 relatif à la nomenclature générale des actes professionnels des médecins, des chirurgiens-dentistes, des sages-femmes et des auxiliaires médicaux ;
Vu l’arrêté ministériel n° 96-209 du 2 mai 1996, modifié, relatif à la nomenclature générale des analyses et examens de laboratoire ;
Vu l’arrêté ministériel n° 2005-276 du 7 juin 2005 fixant les conditions de remboursement par les régimes d’assurance maladie des actes relevant de la Classification Commune des Actes Médicaux ;
Vu le Code civil ;
Vu la Recommandation R(86) du Conseil de l’Europe du 23 janvier 1986 relative à la protection des données à caractère personnel utilisées à des fins de sécurité sociale ;
Vu le traitement automatisé d’informations nominatives ayant pour finalité « Dématérialisation des demandes de remboursements de prestations médicales » des Caisses Sociales de Monaco ayant fait l’objet d’un récépissé de mise en œuvre le 8 mai 2007 ;
Vu la délibération n° 2011-18 du 14 février 2011 portant avis favorable sur la demande présentée par le Ministre d’Etat, relative à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Immatriculation au Service des Prestations Médicales de l’Etat » du Service des Prestations Médicales de l’Etat ;
Vu la délibération n° 2013-26 du 6 mars 2013 portant avis favorable sur la demande n° 150 présentée par le Ministre d’Etat, relative à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Décomptes - gestion et remboursement des prestations médicales en nature », dénommé « Décompte des prestations médicales en nature », du Service des Prestations Médicales de l’Etat ;
Vu la délibération n° 2013-104 du 16 juillet 2013 portant avis favorable à la mise en œuvre du traitement automatisé d’informations ayant pour finalité « Immatriculation des professionnels de santé » présenté par la Caisse de Compensation des Services Sociaux de Monaco ;
Vu la délibération n° 2013-27 du 6 mars 2013 portant avis défavorable sur la demande présentée par le Ministre d’Etat, relative à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Dématérialisation des demandes de remboursement de prestations médicales », dénommé « F.S.E. : Feuilles de Soins Electroniques (application en mode Web) » du Service des Prestations Médicales de l’Etat ;
Vu la demande d’avis, déposée par le Ministre d’Etat le 3 mars 2016, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité « Dématérialisation des demandes de remboursement de prestations médicales », dénommé « F.S.E. : feuilles de soins électroniques (application en mode Web) » du Service des Prestations Médicales de l’Etat ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 20 avril 2016 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Les assurés sociaux et leurs ayants droit immatriculés auprès du Service des Prestations Médicales de l’Etat (SPME) peuvent bénéficier de prestations médicales, pharmaceutiques et chirurgicales dans les conditions déterminées par voie réglementaire. Le présent traitement a pour objet de permettre aux professionnels de santé, conventionnés auprès des organismes gérant le risque maladie, de transmettre par voie électronique les feuilles de soins établies pour leurs patients au SPME.
La mise en œuvre du traitement automatisé d’informations nominatives induit est soumise à l’avis préalable de la Commission de Contrôle des Informations Nominatives, conformément à l’article 7 de la loi n° 1.165, susvisée.
I. Sur la finalité et la licéité du traitement
Le présent traitement a pour finalité « Dématérialisation des demandes de remboursement de prestations médicales ». Il est dénommé « F.S.E. : Feuilles de Soins Electroniques (application en mode Web) ».
Il concerne les personnes immatriculées auprès du SPME et leurs ayants droit, tels que définis dans le traitement ayant pour finalité « Immatriculation au Service des Prestations Médicales de l’Etat », susvisé, et les praticiens de santé conventionnés.
Ce traitement a pour objectif de « permettre aux professionnels de santé, conventionnés, abonnés au portail F.S.E. (Feuilles de Soins Electronique), exerçant une activité en secteur ville, d’éditer et de télétransmettre, grâce à une application Web, les éléments nécessaires à la procédure de remboursement des actes médicaux ». Il suppose ainsi au préalable que les praticiens soient conventionnés et abonnés au portail F.S.E. auprès des Caisses Sociales de Monaco.
Il a pour fonctionnalités :
- Pour les praticiens :
• d’établir et de télétransmettre les F.S.E. au SPME ;
• de permettre au praticien de consulter l’historique des F.S.E. élaborées sur les douze derniers mois ;
• de constituer une « bibliothèque d’acte » reprenant la nomenclature des actes ;
• d’effectuer des demandes de renseignements concernant les remboursements des F.S.E. émises.
- Pour le SPME :
• de permettre la gestion des abonnements à la procédure F.S.E. par les praticiens intéressés ;
• de consulter l’ensemble des F.S.E. élaborées et télétransmises par les praticiens.
- Pour le Contrôle Général des Dépenses :
• Contrôle des décomptes.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité et la justification du traitement
• Sur la licéité du traitement
La Commission relève qu’aux termes de l’article 1er de la loi n° 486 susvisée, « Les fonctionnaires, agents et employés de l’Etat et de la commune bénéficient d’allocations pour charges de famille, de prestations diverses en cas de maladie, maternité, accident ou décès ». En outre, elle dispose que « les (…) prestations sont dues aux [fonctionnaires, agents et employés de l’Etat et de la Commune], à leurs conjoints et à leurs enfants selon les modalités qui seront déterminées par ordonnances souveraines prises après avis de la Commission de la fonction publique, le Conseil d’Etat entendu ».
Dans ce sens, l’article 5 de l’ordonnance n° 3.387 du 22 janvier 1947, susvisée, dispose que « les formes et conditions du remboursement seront fixées par un règlement intérieur dont les dispositions seront opposables aux bénéficiaires des prestations. En cas d’inobservation des dispositions dudit règlement, le service des prestations pourra être immédiatement suspendu ou refusé ».
La Commission observe que ledit règlement a été établi par l’arrêté ministériel du 4 février 1947, susvisé. Son article 6, modifié par l’arrêté ministériel n° 2016-59 du 28 janvier 2016, précise qu’« en cas de maladie ou d’accident survenant soit au fonctionnaire, à l’agent ou à l’employé, soit à un membre de sa famille bénéficiant des dispositions du présent règlement, la constatation des soins et l’ouverture des droits au remboursement des prestations médicales, chirurgicales et pharmaceutiques sont subordonnées à la production d’une feuille de soins. Celle-ci peut être établie sur support papier ou au moyen d’une feuille de soins électronique, dite « F.S.E. », mentionnant les actes effectués et les prestations servies.
Dans tous les cas, la feuille doit être dûment remplie.
Le fonctionnaire, l’agent ou l’employé de l’Etat ou de la Commune a l’obligation de jouir sans abus ni fraude des avantages auxquels il peut prétendre. À défaut, le service des prestations peut être immédiatement suspendu ou refusé ».
La Commission prend acte de la modification de cet arrêté ministériel qui répond aux observations formulées dans sa délibération n° 2013-27 du 6 mars 2013, susvisée.
En outre, en tant que Service de l’Etat chargé de gérer les prestations accordées par l’Etat, la Commune et certains établissements publics au titre de l’assurance maladie, et maternité, de l’assurance accident du travail, de l’assurance invalidité, des prestations familiales et autres avantages sociaux y afférents, le SPME est amené à traiter des informations relatives à la santé conformément à l’article 12 de la loi n° 1.165, susvisée.
La Commission considère que le traitement est licite conformément aux articles 10-1 et 12 de la loi n° 1.165, modifiée.
• Sur la justification du traitement
Le responsable de traitement indique que le traitement est justifié par le respect d’une obligation légale à laquelle il est soumis, particulièrement ses obligations de gérer les prestations accordées aux Agents publics et à leurs ayants droit au titre de l’assurance maladie, et maternité, de l’assurance accident du travail, de l’assurance invalidité.
À ce titre il met en exergue, l’ordonnance souveraine n° 231 du 3 octobre 2005, susvisée, qui expose les missions du SPME. Aux termes de son article 2, ce Service « est chargé :
- de gérer les prestations accordées par l’Etat au titre de l’assurance maladie, et maternité, de l’assurance accident du travail, de l’assurance invalidité, des prestations familiales et autres avantages sociaux y afférents ;
- d’instruire pour le compte de la Commune les dossiers des prestations accordées par celle-ci au titre de l’assurance maladie, et maternité, de l’assurance invalidité, des prestations familiales et autres avantages sociaux y afférents ;
- d’assurer le secrétariat des commissions médicales de l’Etat et de la Commune ;
- d’effectuer pour certains établissements publics, les décomptes de remboursement des prestations médicales en nature qu’ils attribuent ».
En outre, les modifications de l’arrêté ministériel du 4 février 1947 par l’arrêté ministériel n° 2016-59 du 28 janvier 2016 ont intégré l’instauration des feuilles de soins électroniques et encadré les modalités pratiques des dépôts de feuilles de soin telles qu’opposables aux personnes concernées.
La Commission considère donc que ce traitement est justifié conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations nominatives traitées sont :
• Concernant l’assuré et ses ayants droit
Les informations nominatives traitées concernant l’assuré et ses ayants droit sont :
- identité : nom, prénom, sexe, date de naissance, âge, numéro de matricule, qualité (bénéficiaire / ayant droit) ;
- situation de famille : lien entre le bénéficiaire des soins et l’assuré (conjoint/enfant) ;
- données d’identification électronique : numéro de matricule, Code F.S.E. ;
- caractéristiques financières : montant facturé, montants remboursés à l’assuré, montant remboursé au praticien (dans le cadre du tiers payant ou d’un HNP) ;
- données de sécurité sociale : taux de prise en charge de l’assuré et de ses ayants droit ;
- données de santé : conditions de prise en charge, identification des actes conformément à la réglementation en vigueur, avis du médecin-conseil si l’acte est soumis à accord préalable ;
- données d’authentification : nom, prénom de l’assuré, date et heure de la télétransmission, numéro de référence de la F.S.E..
Les informations relatives à l’identité, à la situation de famille, aux taux de prise en charge ont pour origine le traitement « Immatriculation au Service des Prestations Médicales de l’Etat », susvisé. La Commission observe que cette utilisation ultérieure des informations est compatible avec ledit traitement.
Les informations relatives à la santé et aux montants facturés ont pour origine le praticien.
Les montants remboursés à l’assuré ou au praticien ont pour origine le traitement ayant pour finalité « Décomptes - gestion et remboursement des prestations médicales en nature », susvisé.
Les informations relatives aux données d’identification électronique ont pour origine le traitement « Immatriculation au Service des Prestations Médicales de l’Etat », susvisé.
• Concernant le praticien prescripteur et/ou exécutant
- identité : nom, numéro de matricule ;
- adresses et coordonnées : adresse électronique ;
- données d’identification électronique : numéro de matricule, Code CPS du professionnel de santé ;
- données liées à l’abonnement F.S.E. : dates de validité de l’abonnement.
Les informations relatives à l’identité, aux données d’identification électronique ont pour origine le traitement ayant pour finalité « Immatriculation des professionnels de santé », susvisé, mis en œuvre par la Caisse de Compensation des Services Sociaux de Monaco.
Les informations relatives au Code d’identification et aux dates d’abonnement du praticien de santé ont pour origine les Caisses Sociales de Monaco dans le cadre du traitement ayant pour finalité « Immatriculation des professionnels de santé » et « Dématérialisation des demandes de remboursements de prestations médicales ».
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
IV. Sur les droits des personnes concernées
La Commission relève que le présent traitement est mis en œuvre par un responsable de traitements visé à l’article 7 de la loi n° 1.165. Aussi, en application de l’article 13 de ladite loi, les personnes concernées ne disposent pas d’un droit d’opposition au traitement des informations qui les concernent.
• Sur l’information préalable des personnes concernées
Le responsable de traitement indique que l’information des personnes concernées est effectuée par voie d’affichage, par un document spécifique et par la publication de la décision de mise en œuvre du traitement et de l’avis de la Commission au Journal de Monaco.
Tenant compte des modalités de contact des usagers auprès du SPME, la Commission rappelle toutefois l’observation qu’elle avait formulée dans ses délibérations n° 2013-26 du 6 mars 2013, susvisée, n° 2014-96 du 10 juin 2014 relative au traitement automatisé d’informations nominatives ayant pour finalité « Contrôle dentaire par le Service des Prestations Médicales de l’Etat » et n° 2016-22 du 24 février 2016 relative au traitement ayant pour finalité « Contrôle médical - Médecin Conseil » en matière d’information préalable des personnes concernées.
Ainsi, afin de veiller à l’effectivité de l’information des personnes concernées, celle-ci devrait être complétée par une lettre circulaire reprenant les mentions obligatoires listées à l’article 14 de la loi n° 1.165 susvisée.
S’agissant des professionnels de santé, les droits d’accès sont exercés auprès du Service « Relations avec les Professionnels de Santé » de la Caisse de Compensation des Services Sociaux agissant en qualité d’organisme référent. L’information des personnes concernées est réalisée par le biais du contrat d’adhésion au service F.S.E. signé par le professionnel de santé conventionné par les Caisses.
• Sur l’exercice du droit d’accès, de modification et de mise à jour
Le droit d’accès est exercé par voie postale ou sur place auprès du SPME. Le délai de réponse est de 30 jours.
Les droits de modification et de mise à jour des données sont exercés selon les mêmes modalités.
La Commission constate ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
• Sur les personnes ayant accès au traitement
Les personnes ayant accès au traitement sont :
- les professionnels de santé : en création, modification (après validation de la F.S.E.) et consultation aux F.S.E. qu’ils ont émises, la consultation des F.S.E. par un praticien étant active sur les 12 derniers mois ;
- les Agents accrédités du SPME : en consultation ;
- les Agents habilités du Contrôle Général des Dépenses : en consultation dans le cadre des missions qui leurs sont conférés ;
- les Agents des Caisses Sociales de Monaco habilités : accès au module destiné à valider l’abonnement des professionnels de santé après signature des conventions préalables.
La Commission observe que ces accès sont opérés de manière nominative dans le cadre d’habilitations strictes établies selon les missions et attributions de chacune des personnes ayant accès au traitement.
Elle relève cependant que les personnels de la Direction Informatique, les prestataires agissant pour son compte, ainsi que les personnels des Caisses Sociales agissant en tant que prestataires sont susceptibles d’avoir accès au traitement au titre de leurs missions.
Elle considère que ces dernières ne doivent en aucun cas avoir accès en clair aux données des assurés, données qui doivent, de par leur nature, faire l’objet de mesures de sécurité et de confidentialité renforcées.
Aussi, la Commission demande que des outils de chiffrement soient mis en place afin d’y veiller.
Il en sera de même pour la sauvegarde de ces informations.
• Sur les destinataires des informations
Les informations sont internes au SPME.
VI. Sur les rapprochements et interconnexions avec d’autres traitements
Le traitement fait l’objet de rapprochements avec :
- le traitement ayant pour finalité « Immatriculation au Service de Prestations Médicales de l’Etat », susvisé ;
- le traitement ayant pour finalité « Immatriculation des professionnels de santé » de la Caisse de Compensation des Services Sociaux, susvisé ;
- le traitement ayant pour finalité « Dématérialisation des demandes de remboursements de prestations médicales » des Caisses Sociales de Monaco, susvisé ;
- le traitement ayant pour finalité « Décomptes - gestion et remboursement des prestations médicales en nature » du Service des Prestations Médicales de l’Etat, susvisé ;
- le traitement « Téléservice de consultation, par les praticiens, des avis du SPME portant sur les demandes d’accord préalable qu’ils ont soumises » qui sera soumis à la Commission préalablement à sa mise en œuvre.
La Commission rappelle que ce dernier rapprochement ne pourra être activé que lorsque ce traitement sera légalement mis en œuvre.
La Commission observe que les rapprochements sont justifiés.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient appellent les observations suivantes.
Tout d’abord, la Commission relève que l’exploitation et les communications d’informations dites sensibles, au sens de l’article 12 de la loi n° 1.165, doivent faire l’objet de mesures de sécurité renforcées.
Aussi, elle rappelle l’observation formulée au point V s’agissant des personnes ayant accès au traitement.
Elle observe que l’architecture technique du traitement repose sur des équipements de raccordements (switchs, routeurs, pare-feu) de serveurs et périphériques qui doivent être protégés par un login et mot de passe réputé fort et que les ports non utilisés doivent être désactivés.
La Commission rappelle en outre que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
La durée de conservation des informations est fixée à 5 ans après le décès de l’assuré.
La Commission relève que cette durée de conservation tient en partie compte de la demande qu’elle avait formulée dans la délibération n° 2013-26 du 6 mars 2013 ayant pour finalité « Décomptes - gestion et remboursement des prestations médicales en nature » du Service des Prestations Médicales de l’Etat, susvisé. En effet, tenant compte des délais de prescription alors en vigueur, la Commission avait demandé « que la durée de conservation des informations soit limitée dans le temps à 30 ans à compter de la fin de l’année comptable au cours de laquelle le paiement ou refus de paiement aura été réalisé ».
Aussi, les informations devaient être supprimées en prenant en considération leur finalité comptable pour le SPME, non la date du décès de l’assuré.
La Commission relève que, postérieurement à ladite délibération, la loi n° 1.401 du 5 décembre 2013 relative à la prescription civile a diminué le délai de prescription des actions réelles mobilières et des actions personnelles à 5 ans « à compter du jour où le titulaire d’un droit a connu ou aurait dû connaître les faits lui permettant de les exercer » (art. 2044 du Code civil).
En conséquence, elle demande que la durée de conservation des informations traitées soit fixée à 5 ans à compter de la fin de l’année comptable au cours de laquelle le paiement ou refus de paiement aura été réalisé.
Elle observe, cependant, qu’une fois ce délai expiré les informations pourraient faire l’objet d’un archivage « pour des raisons statistiques et historiques ». Elle considère qu’il s’agit là d’un traitement ultérieur des informations susceptible d’impliquer d’autres Services de l’Administration, comme le Service Central des Archives et de la Documentation Administrative, aux termes des articles 29 et suivants de l’ordonnance souveraine n° 3.413 du 29 août 2011, susvisée.
Elle invite donc le responsable de traitement à déposer une demande d’avis permettant une gestion des archives définitives du SPME conforme à la loi n° 1.165.
Après en avoir délibéré, la Commission :
Prends acte de la modification de l’arrêté ministériel du 4 février 1947 portant règlement des prestations médicales, chirurgicales et pharmaceutiques allouées aux fonctionnaires, modifié.
Rappelle que :
- les rapprochements ne peuvent avoir lieu qu’entre traitements légalement mis en œuvre ;
- les serveurs périphériques doivent être protégés par un login et un mot de passe réputé fort et que les ports non utilisés doivent être désactivés.
Demande que :
- l’information des personnes concernées soit réalisée par voie de lettre circulaire ;
- la durée de conservation des informations soit limitée dans le temps à 5 ans à compter de la fin de l’année comptable au cours de laquelle le paiement ou refus de paiement aura été réalisé, afin de tenir compte des modifications introduites par la loi n° 1.401 du 5 décembre 2013 relative à la prescription civile ;
- des outils de chiffrement adaptés soient mis en place afin que des personnes non habilitées ne puissent pas avoir accès en clair aux informations.
Suggère qu’une réflexion soit menée sur les durées de conservation des informations nominatives traitées par le SPME dans le cadre, par exemple, du programme d’archivage en cours des documents de l’Administration.
A la condition de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par le Ministre d’Etat du traitement automatisé d’informations nominatives ayant pour finalité « Dématérialisation des demandes de remboursement de prestations médicales », dénommé « F.S.E. : Feuilles de Soins Electroniques (application en mode Web) » du Service des Prestations Médicales de l’Etat.
Le Président de la Commission
de Contrôle des Informations Nominatives.
Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la Convention franco-monégasque de sécurité sociale du 28 février 1952, modifiée, et l’arrangement administratif relatif aux modalités d’application de cette Convention, modifié ;
Vu la loi n° 486 du 17 juillet 1948 relative à l’octroi des allocations pour charges de famille, des prestations médicales, chirurgicales et pharmaceutiques aux fonctionnaires de l’Etat et de la Commune ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 1.401 du 5 décembre 2013 relative à la prescription civile ;
Vu l’ordonnance n° 3.387 du 22 janvier 1947 relative aux prestations médicales, chirurgicales et pharmaceutiques allouées aux fonctionnaires, agents et employés de l’ordre administratif ;
Vu l’ordonnance souveraine n° 231 du 3 octobre 2005 portant création d’un Service des Prestations Médicales de l’Etat ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’ordonnance souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’Administration et l’administré ;
Vu l’arrêté ministériel du 4 février 1947 portant règlement des prestations médicales, chirurgicales et pharmaceutiques allouées aux fonctionnaires, modifié ;
Vu l’arrêté ministériel n° 84-688 du 30 novembre 1984 relatif à la nomenclature générale des actes professionnels des médecins, des chirurgiens-dentistes, des sages-femmes et des auxiliaires médicaux ;
Vu l’arrêté ministériel n° 96-209 du 2 mai 1996, modifié, relatif à la nomenclature générale des analyses et examens de laboratoire ;
Vu l’arrêté ministériel n° 2005-276 du 7 juin 2005 fixant les conditions de remboursement par les régimes d’assurance maladie des actes relevant de la Classification Commune des Actes Médicaux ;
Vu le Code civil ;
Vu la Recommandation R(86) du Conseil de l’Europe du 23 janvier 1986 relative à la protection des données à caractère personnel utilisées à des fins de sécurité sociale ;
Vu le traitement automatisé d’informations nominatives ayant pour finalité « Dématérialisation des demandes de remboursements de prestations médicales » des Caisses Sociales de Monaco ayant fait l’objet d’un récépissé de mise en œuvre le 8 mai 2007 ;
Vu la délibération n° 2011-18 du 14 février 2011 portant avis favorable sur la demande présentée par le Ministre d’Etat, relative à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Immatriculation au Service des Prestations Médicales de l’Etat » du Service des Prestations Médicales de l’Etat ;
Vu la délibération n° 2013-26 du 6 mars 2013 portant avis favorable sur la demande n° 150 présentée par le Ministre d’Etat, relative à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Décomptes - gestion et remboursement des prestations médicales en nature », dénommé « Décompte des prestations médicales en nature », du Service des Prestations Médicales de l’Etat ;
Vu la délibération n° 2013-104 du 16 juillet 2013 portant avis favorable à la mise en œuvre du traitement automatisé d’informations ayant pour finalité « Immatriculation des professionnels de santé » présenté par la Caisse de Compensation des Services Sociaux de Monaco ;
Vu la délibération n° 2013-27 du 6 mars 2013 portant avis défavorable sur la demande présentée par le Ministre d’Etat, relative à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Dématérialisation des demandes de remboursement de prestations médicales », dénommé « F.S.E. : Feuilles de Soins Electroniques (application en mode Web) » du Service des Prestations Médicales de l’Etat ;
Vu la demande d’avis, déposée par le Ministre d’Etat le 3 mars 2016, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité « Dématérialisation des demandes de remboursement de prestations médicales », dénommé « F.S.E. : feuilles de soins électroniques (application en mode Web) » du Service des Prestations Médicales de l’Etat ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 20 avril 2016 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Les assurés sociaux et leurs ayants droit immatriculés auprès du Service des Prestations Médicales de l’Etat (SPME) peuvent bénéficier de prestations médicales, pharmaceutiques et chirurgicales dans les conditions déterminées par voie réglementaire. Le présent traitement a pour objet de permettre aux professionnels de santé, conventionnés auprès des organismes gérant le risque maladie, de transmettre par voie électronique les feuilles de soins établies pour leurs patients au SPME.
La mise en œuvre du traitement automatisé d’informations nominatives induit est soumise à l’avis préalable de la Commission de Contrôle des Informations Nominatives, conformément à l’article 7 de la loi n° 1.165, susvisée.
I. Sur la finalité et la licéité du traitement
Le présent traitement a pour finalité « Dématérialisation des demandes de remboursement de prestations médicales ». Il est dénommé « F.S.E. : Feuilles de Soins Electroniques (application en mode Web) ».
Il concerne les personnes immatriculées auprès du SPME et leurs ayants droit, tels que définis dans le traitement ayant pour finalité « Immatriculation au Service des Prestations Médicales de l’Etat », susvisé, et les praticiens de santé conventionnés.
Ce traitement a pour objectif de « permettre aux professionnels de santé, conventionnés, abonnés au portail F.S.E. (Feuilles de Soins Electronique), exerçant une activité en secteur ville, d’éditer et de télétransmettre, grâce à une application Web, les éléments nécessaires à la procédure de remboursement des actes médicaux ». Il suppose ainsi au préalable que les praticiens soient conventionnés et abonnés au portail F.S.E. auprès des Caisses Sociales de Monaco.
Il a pour fonctionnalités :
- Pour les praticiens :
• d’établir et de télétransmettre les F.S.E. au SPME ;
• de permettre au praticien de consulter l’historique des F.S.E. élaborées sur les douze derniers mois ;
• de constituer une « bibliothèque d’acte » reprenant la nomenclature des actes ;
• d’effectuer des demandes de renseignements concernant les remboursements des F.S.E. émises.
- Pour le SPME :
• de permettre la gestion des abonnements à la procédure F.S.E. par les praticiens intéressés ;
• de consulter l’ensemble des F.S.E. élaborées et télétransmises par les praticiens.
- Pour le Contrôle Général des Dépenses :
• Contrôle des décomptes.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité et la justification du traitement
• Sur la licéité du traitement
La Commission relève qu’aux termes de l’article 1er de la loi n° 486 susvisée, « Les fonctionnaires, agents et employés de l’Etat et de la commune bénéficient d’allocations pour charges de famille, de prestations diverses en cas de maladie, maternité, accident ou décès ». En outre, elle dispose que « les (…) prestations sont dues aux [fonctionnaires, agents et employés de l’Etat et de la Commune], à leurs conjoints et à leurs enfants selon les modalités qui seront déterminées par ordonnances souveraines prises après avis de la Commission de la fonction publique, le Conseil d’Etat entendu ».
Dans ce sens, l’article 5 de l’ordonnance n° 3.387 du 22 janvier 1947, susvisée, dispose que « les formes et conditions du remboursement seront fixées par un règlement intérieur dont les dispositions seront opposables aux bénéficiaires des prestations. En cas d’inobservation des dispositions dudit règlement, le service des prestations pourra être immédiatement suspendu ou refusé ».
La Commission observe que ledit règlement a été établi par l’arrêté ministériel du 4 février 1947, susvisé. Son article 6, modifié par l’arrêté ministériel n° 2016-59 du 28 janvier 2016, précise qu’« en cas de maladie ou d’accident survenant soit au fonctionnaire, à l’agent ou à l’employé, soit à un membre de sa famille bénéficiant des dispositions du présent règlement, la constatation des soins et l’ouverture des droits au remboursement des prestations médicales, chirurgicales et pharmaceutiques sont subordonnées à la production d’une feuille de soins. Celle-ci peut être établie sur support papier ou au moyen d’une feuille de soins électronique, dite « F.S.E. », mentionnant les actes effectués et les prestations servies.
Dans tous les cas, la feuille doit être dûment remplie.
Le fonctionnaire, l’agent ou l’employé de l’Etat ou de la Commune a l’obligation de jouir sans abus ni fraude des avantages auxquels il peut prétendre. À défaut, le service des prestations peut être immédiatement suspendu ou refusé ».
La Commission prend acte de la modification de cet arrêté ministériel qui répond aux observations formulées dans sa délibération n° 2013-27 du 6 mars 2013, susvisée.
En outre, en tant que Service de l’Etat chargé de gérer les prestations accordées par l’Etat, la Commune et certains établissements publics au titre de l’assurance maladie, et maternité, de l’assurance accident du travail, de l’assurance invalidité, des prestations familiales et autres avantages sociaux y afférents, le SPME est amené à traiter des informations relatives à la santé conformément à l’article 12 de la loi n° 1.165, susvisée.
La Commission considère que le traitement est licite conformément aux articles 10-1 et 12 de la loi n° 1.165, modifiée.
• Sur la justification du traitement
Le responsable de traitement indique que le traitement est justifié par le respect d’une obligation légale à laquelle il est soumis, particulièrement ses obligations de gérer les prestations accordées aux Agents publics et à leurs ayants droit au titre de l’assurance maladie, et maternité, de l’assurance accident du travail, de l’assurance invalidité.
À ce titre il met en exergue, l’ordonnance souveraine n° 231 du 3 octobre 2005, susvisée, qui expose les missions du SPME. Aux termes de son article 2, ce Service « est chargé :
- de gérer les prestations accordées par l’Etat au titre de l’assurance maladie, et maternité, de l’assurance accident du travail, de l’assurance invalidité, des prestations familiales et autres avantages sociaux y afférents ;
- d’instruire pour le compte de la Commune les dossiers des prestations accordées par celle-ci au titre de l’assurance maladie, et maternité, de l’assurance invalidité, des prestations familiales et autres avantages sociaux y afférents ;
- d’assurer le secrétariat des commissions médicales de l’Etat et de la Commune ;
- d’effectuer pour certains établissements publics, les décomptes de remboursement des prestations médicales en nature qu’ils attribuent ».
En outre, les modifications de l’arrêté ministériel du 4 février 1947 par l’arrêté ministériel n° 2016-59 du 28 janvier 2016 ont intégré l’instauration des feuilles de soins électroniques et encadré les modalités pratiques des dépôts de feuilles de soin telles qu’opposables aux personnes concernées.
La Commission considère donc que ce traitement est justifié conformément aux dispositions de l’article 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations nominatives traitées sont :
• Concernant l’assuré et ses ayants droit
Les informations nominatives traitées concernant l’assuré et ses ayants droit sont :
- identité : nom, prénom, sexe, date de naissance, âge, numéro de matricule, qualité (bénéficiaire / ayant droit) ;
- situation de famille : lien entre le bénéficiaire des soins et l’assuré (conjoint/enfant) ;
- données d’identification électronique : numéro de matricule, Code F.S.E. ;
- caractéristiques financières : montant facturé, montants remboursés à l’assuré, montant remboursé au praticien (dans le cadre du tiers payant ou d’un HNP) ;
- données de sécurité sociale : taux de prise en charge de l’assuré et de ses ayants droit ;
- données de santé : conditions de prise en charge, identification des actes conformément à la réglementation en vigueur, avis du médecin-conseil si l’acte est soumis à accord préalable ;
- données d’authentification : nom, prénom de l’assuré, date et heure de la télétransmission, numéro de référence de la F.S.E..
Les informations relatives à l’identité, à la situation de famille, aux taux de prise en charge ont pour origine le traitement « Immatriculation au Service des Prestations Médicales de l’Etat », susvisé. La Commission observe que cette utilisation ultérieure des informations est compatible avec ledit traitement.
Les informations relatives à la santé et aux montants facturés ont pour origine le praticien.
Les montants remboursés à l’assuré ou au praticien ont pour origine le traitement ayant pour finalité « Décomptes - gestion et remboursement des prestations médicales en nature », susvisé.
Les informations relatives aux données d’identification électronique ont pour origine le traitement « Immatriculation au Service des Prestations Médicales de l’Etat », susvisé.
• Concernant le praticien prescripteur et/ou exécutant
- identité : nom, numéro de matricule ;
- adresses et coordonnées : adresse électronique ;
- données d’identification électronique : numéro de matricule, Code CPS du professionnel de santé ;
- données liées à l’abonnement F.S.E. : dates de validité de l’abonnement.
Les informations relatives à l’identité, aux données d’identification électronique ont pour origine le traitement ayant pour finalité « Immatriculation des professionnels de santé », susvisé, mis en œuvre par la Caisse de Compensation des Services Sociaux de Monaco.
Les informations relatives au Code d’identification et aux dates d’abonnement du praticien de santé ont pour origine les Caisses Sociales de Monaco dans le cadre du traitement ayant pour finalité « Immatriculation des professionnels de santé » et « Dématérialisation des demandes de remboursements de prestations médicales ».
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée.
IV. Sur les droits des personnes concernées
La Commission relève que le présent traitement est mis en œuvre par un responsable de traitements visé à l’article 7 de la loi n° 1.165. Aussi, en application de l’article 13 de ladite loi, les personnes concernées ne disposent pas d’un droit d’opposition au traitement des informations qui les concernent.
• Sur l’information préalable des personnes concernées
Le responsable de traitement indique que l’information des personnes concernées est effectuée par voie d’affichage, par un document spécifique et par la publication de la décision de mise en œuvre du traitement et de l’avis de la Commission au Journal de Monaco.
Tenant compte des modalités de contact des usagers auprès du SPME, la Commission rappelle toutefois l’observation qu’elle avait formulée dans ses délibérations n° 2013-26 du 6 mars 2013, susvisée, n° 2014-96 du 10 juin 2014 relative au traitement automatisé d’informations nominatives ayant pour finalité « Contrôle dentaire par le Service des Prestations Médicales de l’Etat » et n° 2016-22 du 24 février 2016 relative au traitement ayant pour finalité « Contrôle médical - Médecin Conseil » en matière d’information préalable des personnes concernées.
Ainsi, afin de veiller à l’effectivité de l’information des personnes concernées, celle-ci devrait être complétée par une lettre circulaire reprenant les mentions obligatoires listées à l’article 14 de la loi n° 1.165 susvisée.
S’agissant des professionnels de santé, les droits d’accès sont exercés auprès du Service « Relations avec les Professionnels de Santé » de la Caisse de Compensation des Services Sociaux agissant en qualité d’organisme référent. L’information des personnes concernées est réalisée par le biais du contrat d’adhésion au service F.S.E. signé par le professionnel de santé conventionné par les Caisses.
• Sur l’exercice du droit d’accès, de modification et de mise à jour
Le droit d’accès est exercé par voie postale ou sur place auprès du SPME. Le délai de réponse est de 30 jours.
Les droits de modification et de mise à jour des données sont exercés selon les mêmes modalités.
La Commission constate ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
• Sur les personnes ayant accès au traitement
Les personnes ayant accès au traitement sont :
- les professionnels de santé : en création, modification (après validation de la F.S.E.) et consultation aux F.S.E. qu’ils ont émises, la consultation des F.S.E. par un praticien étant active sur les 12 derniers mois ;
- les Agents accrédités du SPME : en consultation ;
- les Agents habilités du Contrôle Général des Dépenses : en consultation dans le cadre des missions qui leurs sont conférés ;
- les Agents des Caisses Sociales de Monaco habilités : accès au module destiné à valider l’abonnement des professionnels de santé après signature des conventions préalables.
La Commission observe que ces accès sont opérés de manière nominative dans le cadre d’habilitations strictes établies selon les missions et attributions de chacune des personnes ayant accès au traitement.
Elle relève cependant que les personnels de la Direction Informatique, les prestataires agissant pour son compte, ainsi que les personnels des Caisses Sociales agissant en tant que prestataires sont susceptibles d’avoir accès au traitement au titre de leurs missions.
Elle considère que ces dernières ne doivent en aucun cas avoir accès en clair aux données des assurés, données qui doivent, de par leur nature, faire l’objet de mesures de sécurité et de confidentialité renforcées.
Aussi, la Commission demande que des outils de chiffrement soient mis en place afin d’y veiller.
Il en sera de même pour la sauvegarde de ces informations.
• Sur les destinataires des informations
Les informations sont internes au SPME.
VI. Sur les rapprochements et interconnexions avec d’autres traitements
Le traitement fait l’objet de rapprochements avec :
- le traitement ayant pour finalité « Immatriculation au Service de Prestations Médicales de l’Etat », susvisé ;
- le traitement ayant pour finalité « Immatriculation des professionnels de santé » de la Caisse de Compensation des Services Sociaux, susvisé ;
- le traitement ayant pour finalité « Dématérialisation des demandes de remboursements de prestations médicales » des Caisses Sociales de Monaco, susvisé ;
- le traitement ayant pour finalité « Décomptes - gestion et remboursement des prestations médicales en nature » du Service des Prestations Médicales de l’Etat, susvisé ;
- le traitement « Téléservice de consultation, par les praticiens, des avis du SPME portant sur les demandes d’accord préalable qu’ils ont soumises » qui sera soumis à la Commission préalablement à sa mise en œuvre.
La Commission rappelle que ce dernier rapprochement ne pourra être activé que lorsque ce traitement sera légalement mis en œuvre.
La Commission observe que les rapprochements sont justifiés.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient appellent les observations suivantes.
Tout d’abord, la Commission relève que l’exploitation et les communications d’informations dites sensibles, au sens de l’article 12 de la loi n° 1.165, doivent faire l’objet de mesures de sécurité renforcées.
Aussi, elle rappelle l’observation formulée au point V s’agissant des personnes ayant accès au traitement.
Elle observe que l’architecture technique du traitement repose sur des équipements de raccordements (switchs, routeurs, pare-feu) de serveurs et périphériques qui doivent être protégés par un login et mot de passe réputé fort et que les ports non utilisés doivent être désactivés.
La Commission rappelle en outre que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
La durée de conservation des informations est fixée à 5 ans après le décès de l’assuré.
La Commission relève que cette durée de conservation tient en partie compte de la demande qu’elle avait formulée dans la délibération n° 2013-26 du 6 mars 2013 ayant pour finalité « Décomptes - gestion et remboursement des prestations médicales en nature » du Service des Prestations Médicales de l’Etat, susvisé. En effet, tenant compte des délais de prescription alors en vigueur, la Commission avait demandé « que la durée de conservation des informations soit limitée dans le temps à 30 ans à compter de la fin de l’année comptable au cours de laquelle le paiement ou refus de paiement aura été réalisé ».
Aussi, les informations devaient être supprimées en prenant en considération leur finalité comptable pour le SPME, non la date du décès de l’assuré.
La Commission relève que, postérieurement à ladite délibération, la loi n° 1.401 du 5 décembre 2013 relative à la prescription civile a diminué le délai de prescription des actions réelles mobilières et des actions personnelles à 5 ans « à compter du jour où le titulaire d’un droit a connu ou aurait dû connaître les faits lui permettant de les exercer » (art. 2044 du Code civil).
En conséquence, elle demande que la durée de conservation des informations traitées soit fixée à 5 ans à compter de la fin de l’année comptable au cours de laquelle le paiement ou refus de paiement aura été réalisé.
Elle observe, cependant, qu’une fois ce délai expiré les informations pourraient faire l’objet d’un archivage « pour des raisons statistiques et historiques ». Elle considère qu’il s’agit là d’un traitement ultérieur des informations susceptible d’impliquer d’autres Services de l’Administration, comme le Service Central des Archives et de la Documentation Administrative, aux termes des articles 29 et suivants de l’ordonnance souveraine n° 3.413 du 29 août 2011, susvisée.
Elle invite donc le responsable de traitement à déposer une demande d’avis permettant une gestion des archives définitives du SPME conforme à la loi n° 1.165.
Après en avoir délibéré, la Commission :
Prends acte de la modification de l’arrêté ministériel du 4 février 1947 portant règlement des prestations médicales, chirurgicales et pharmaceutiques allouées aux fonctionnaires, modifié.
Rappelle que :
- les rapprochements ne peuvent avoir lieu qu’entre traitements légalement mis en œuvre ;
- les serveurs périphériques doivent être protégés par un login et un mot de passe réputé fort et que les ports non utilisés doivent être désactivés.
Demande que :
- l’information des personnes concernées soit réalisée par voie de lettre circulaire ;
- la durée de conservation des informations soit limitée dans le temps à 5 ans à compter de la fin de l’année comptable au cours de laquelle le paiement ou refus de paiement aura été réalisé, afin de tenir compte des modifications introduites par la loi n° 1.401 du 5 décembre 2013 relative à la prescription civile ;
- des outils de chiffrement adaptés soient mis en place afin que des personnes non habilitées ne puissent pas avoir accès en clair aux informations.
Suggère qu’une réflexion soit menée sur les durées de conservation des informations nominatives traitées par le SPME dans le cadre, par exemple, du programme d’archivage en cours des documents de l’Administration.
A la condition de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par le Ministre d’Etat du traitement automatisé d’informations nominatives ayant pour finalité « Dématérialisation des demandes de remboursement de prestations médicales », dénommé « F.S.E. : Feuilles de Soins Electroniques (application en mode Web) » du Service des Prestations Médicales de l’Etat.
Le Président de la Commission
de Contrôle des Informations Nominatives.