icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2015-47 du 20 mai 2015 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre de la modification du traitement automatisé d’informations nominatives ayant pour finalité « Accès accordé au Professionnel de Santé et/ou à l’Etablissement de Soins tendant à la vérification de l’immatriculation et du taux de prise en charge des Bénéficiaires des Prestations servies par la CCSS » présentée par la Caisse de Compensation des Services Sociaux

  • N° journal 8233
  • Date de publication 10/07/2015
  • Qualité 97.32%
  • N° de page 1846
Vu la Constitution ;
Vu la Convention de sauvegarde des droits de l’homme et des libertés fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu l’ordonnance-loi n° 397 du 27 septembre 1944 portant création d’une Caisse de Compensation des Services Sociaux de la Principauté de Monaco, modifiée ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’ordonnance souveraine n° 4.739 du 22 juin 1971 fixant le régime des prestations dues aux salariés, en vertu de l’ordonnance-loi n° 397 du 27 septembre 1944, en cas de maladie, accident, maternité, invalidité et décès ;
Vu l’ordonnance souveraine n° 7.191 du 31 août 1981 relative aux opérations financières et comptables de la Caisse de Compensation des Services Sociaux, de la Caisse Autonome des Retraites et de la Caisse Autonome des Retraites des Travailleurs Indépendants ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’arrêté ministériel n° 94-365 du 1er septembre 1994 fixant les modalités de la suppression de la participation du bénéficiaire de prestation aux frais de traitement et d’examens, modifié ;
Vu l’arrêté ministériel n° 2010-638 du 23 décembre 2010 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu le traitement automatisé d’informations nominatives ayant pour finalité « Gestion des prestations médicales » des Caisses Sociales de Monaco ayant fait l’objet d’un récépissé de mise en œuvre initial le 31 octobre 2003, modifié le 13 novembre 2007 ;
Vu la délibération n° 2013-144 du 16 décembre 2013 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des accès aux systèmes d’informations opérés par les Caisses Sociales » présenté par la Caisse de Compensation des Services Sociaux de Monaco ;
Vu la délibération n° 2014-08 du 4 février 2014 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé ayant pour finalité « Accès accordé au CHPG tendant à la vérification des droits réels des bénéficiaires des prestations desservies par la CCSS » présenté par la Caisse de Compensation des Services Sociaux de Monaco ;
Vu la décision de mise en œuvre du Directeur de la Caisse de Compensation des Services Sociaux datée du 31 mars 2014, publiée au Journal de Monaco du 18 avril 2014, portant sur le traitement automatisé d’informations nominatives ayant pour finalité « Accès accordé au CHPG tendant à la vérification de l’immatriculation et du taux de prise en charge des bénéficiaires de prestations servies par la CCSS » ;
Vu la demande d’avis modificative déposée par la Caisse de Compensation des Services Sociaux, le 13 avril 2015, concernant la mise en œuvre du traitement automatisé ayant pour finalité « Fiabilisation des éléments des facturations reçus du professionnel de santé et/ou de l’établissement de soins par la confirmation, par la CCSS, des éléments administratifs » ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 20 mai 2015 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Le 18 avril 2014, la Caisse de Compensation des Services Sociaux (CCSS) a mis en œuvre un traitement automatisé d’informations nominatives ayant pour finalité « Accès accordé au CHPG tendant à la vérification de l’immatriculation et du taux de prise en charge des bénéficiaires de prestations servies par la CCSS », après avis favorable de la Commission de Contrôle des Informations Nominatives par la délibération n° 2014-08 du 4février 2014, susvisée.
• Les fonctionnalités du traitement
Le traitement tel que mis en œuvre a pour objet de permettre au CHPG de vérifier et de valider les données d’identification et le taux de prise en charge des assurés immatriculés auprès de la CCSS lors de leur enregistrement au CHPG ou préalablement à l’établissement d’une facturation de soins externes.
Il s’opère par le biais d’un service Web accessible par liaison sécurité via un applicatif accessible par les personnels habilités du CHPG. Lors de l’enregistrement des patients au secrétariat du CHPG ou au moment de l’émission de la facture dans les différents services de l’hôpital, ces personnels peuvent vérifier l’exactitude des informations fournies par l’assuré et, le cas échéant, corriger lesdites informations.
Le Webservice interroge les données hébergées par la Caisse et confirme les éléments d’ordre administratif utiles dans le cadre des opérations devant être effectuées par le CHPG.
• La justification du traitement
Le traitement est justifié par la réalisation d’un intérêt légitime poursuivi par la Caisse et le destinataire des informations qui ne méconnaît ni l’intérêt, ni les droits et libertés fondamentaux des personnes concernées. Dans ce sens, il a pour intérêt, d’une part, de permettre à l’assuré de pouvoir se faire rembourser les prestations médicales payées, d’autre part, de permettre au CHPG de mettre en place des procédures de tiers payant dans l’intérêt des patients : le CHPG « avance » alors les frais des prestations dans la limite du taux de remboursement de l’assuré puis se les fait rembourser par la Caisse.
Ainsi, par le biais de ce traitement, le CHPG et la Caisse apportent des mesures préventives afin d’éviter les retours de la Caisse, les refus de paiement pour des assurés non connus des services, ou des assurés en fin de droits, ainsi que les litiges et contentieux avec les patients pouvant en résulter. Tant dans l’intérêt des patients que de ceux du CHPG et de la Caisse, cette procédure de « tiers payant » nécessite la possibilité de pouvoir s’assurer de l’exactitude des éléments fournis par les patients.
• Les informations traitées, leur origine et durée de conservation
Dans ce cadre, les informations nominatives des assurés faisant l’objet du traitement sont l’identité (nom, prénom, date de naissance de l’assuré et de ses ayants-droit), l’identification de l’assuré (numéro de matricule, caisse de rattachement), les éléments de suivi administratif (date de soins, taux de prise en charge, date de fin du taux de prise en charge à 100%).
L’interrogation du CHPG est basée sur les triplets suivants identification de la Caisse/numéro de matricule/date de naissance ou identification de la caisse/nom et prénom/date de naissance.
Aussi celle-ci présuppose une communication d’informations préalable de la part de l’assuré ou du bénéficiaire des droits.
Dans le cadre du traitement, les données ne font l’objet d’aucune conservation. Toutefois, les logs de connexion aux applicatifs sont conservés 120 jours dans le traitement automatisé d’informations nominatives ayant pour finalité « Gestion des accès aux systèmes d’informations opérés par les Caisses Sociales », susvisé.
La Commission avait par ailleurs relevé que les données de connexion des équipements du CHPG devaient faire l’objet d’une conservation à des fins de sécurité du système d’information, du traitement et des données accessibles.
• L’information des personnes concernées
L’information préalable des personnes concernées, assurées auprès de la Caisse, est réalisée par une rubrique propre à la protection des informations nominatives accessible sur le site internet des Caisses Sociales de Monaco.
Aux termes de l’article 13 de la loi n° 1.165, s’agissant d’un traitement mis en œuvre par un organisme de droit privé investi d’une mission d’intérêt général, les personnes concernées par le présent traitement ne disposent pas du droit de s’opposer au traitement de leurs informations. Elles peuvent toutefois exercer leur droit d’accès et de rectification auprès du « correspondant CCIN » ou des personnes chargées de l’accueil physique des personnes au siège de la Caisse.
La Commission avait donc émis un avis favorable sous le bénéfice des observations suivantes :
- « que la CCSS, responsable de traitement, veille au respect des principes de sécurité et de confidentialité des informations et des traitements consacrés à l’article 17 de la loi n° 1.165 ;
- que la finalité du traitement soit modifiée par « Accès accordé au CHPG tendant à la vérification des droits réels des bénéficiaires des prestations desservies par la CCSS » ;
- que les données de connexion des équipements du CHPG fassent l’objet d’une procédure de traçabilité adaptée et soient conservées par la CCSS ;
- que le CHPG mette en place des mesures techniques et organisationnelles qui permettront de fournir, sous 24 heures, la liste nominative des personnes habilitées à avoir accès au présent traitement et les journaux de connexion associés à ces accès avec une antériorité de 3 mois, avec communication des éléments à toute demande de la CCSS ou des autorités compétentes ;
- que la Convention en projet soit complétée par une clause dans ce sens ;
- que préalablement à toute mise en œuvre du traitement, le CHPG soumette les opérations automatisées réalisées par ses services à l’aide des informations obtenues par ce traitement aux formalités de mises en œuvre des traitements automatisés d’informations nominatives conformément à l’article 7 de la loi n° 1.165 ».
La CCSS souhaite aujourd’hui étendre le champ d’application des opérations mises en place avec le Centre Hospitalier Princesse Grace (CHPG) aux professionnels de santé et aux établissements de soins signataires d’un Protocole d’accord relatif à la télétransmission des factures.
Conformément aux dispositions de l’article 9 alinéa 1 de la loi n° 1.165, susvisée, la CCSS a communiqué à l’attention de la Commission une demande d’avis modificative du traitement précité.
Les fonctionnalités, la justification, les informations nominatives traitées, la durée de conservation et l’information des personnes concernées telles que décrites ci-dessus sont inchangées.
I. Sur la finalité du traitement
La finalité du traitement en objet est modifiée afin de tenir compte de l’extension des opérations à l’ensemble des professionnels de santé ou établissements de soins.
La Commission relève toutefois que dans sa délibération n° 2014-08 précitée, afin d’éviter toute confusion quant au contenu des éléments échangés entre la CCSS et le CHPG, elle avait demandé que la finalité du traitement soit précisée. Elle observe que la décision de mise en œuvre de la CCSS avait tenu compte de la demande de la Commission.
Dans un même souci de clarté du contenu des échanges entre les parties et de transparence vis-à-vis des personnes concernées, c’est-à-dire les assurés sociaux, la Commission réitère son observation et demande que la finalité du traitement soit modifiée par « Accès accordé aux Professionnels de Santé et/ou aux Etablissements de Soins tendant à la vérification de l’immatriculation et du taux de prise en charge des Bénéficiaires des Prestations servies par la CCSS », afin d’être semblable à celle du traitement initialement mis en œuvre.
II. Sur les destinataires et les personnes ayant accès au traitement
Les personnes habilitées à avoir accès aux informations sont le professionnel de santé ou le personnel de l’établissement de soins, ayant signé un Protocole avec la CCSS, en charge de la facturation des soins.
A cet égard, la Commission relève que les droits et habilitations des personnes ayant accès aux informations sont gérés à la fois par la CCSS, s’agissant de l’accès au Webservice, et par le professionnel de santé et/ou l’établissement de soins s’agissant des opérations de vérification pouvant être réalisées par lui-même ou en son nom.
En l’absence de précisions sur le sujet, elle demande au responsable de traitement de lui préciser comment s’effectuent ces habilitations et quel type d’habilitations a été mis en place.
La Commission constate, par ailleurs, que la demande d’avis modificative ne mentionne pas la conservation des données de connexion du personnel habilité à avoir accès au traitement. Elle note toutefois que le Protocole d’accord prévoit que ces données de connexion seront enregistrées par la CCSS dans un fichier journal conservé pendant une durée de 120 jours.
Enfin, conformément aux demandes formulées dans sa délibération n° 2014-08 précitée, la Commission relève que ledit Protocole a été complété par des mesures techniques et organisationnelles permettant d’en assurer le respect.
III. Sur la sécurité du traitement et des informations
Au vu des éléments fournis, il appert que la sécurité du traitement est correctement assurée, conformément aux dispositions de l’article 17 de la loi n° 1.165, modifiée.
Les modifications techniques concernent principalement les accès au traitement qui sont sécurisés.
Cependant, concernant les habilitations et la traçabilité des données du traitement, il convient de rappeler les principes de sécurité et de confidentialité des informations et du traitement consacrés à l’article 17 de la loi, susmentionnée.
Après en avoir délibéré, la Commission
Rappelle que :
- la CCSS, responsable de traitement, doit veiller au respect des principes de sécurité et de confidentialité des informations et des traitements fixés à l’article 17 de la loi n° 1.165 ;
- le délai de conservation des données de connexion est de 120jours maximum ;
Demande que :
- la finalité du traitement soit modifiée par « Accès accordé aux Professionnels de Santé et/ou aux Etablissements de Soins tendant à la vérification de l’immatriculation et du taux de prise en charge des Bénéficiaires des Prestations servies par la CCSS » ;
- les mesures techniques et d’organisation relatives à la gestion des habilitations et à la confidentialité des informations et du traitement lui soient communiquées ;
Sous le bénéfice de la prise en compte des éléments qui précèdent,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la modification par la Caisse de Compensation des Services Sociaux (CCSS) du traitement automatisé d’informations nominatives ayant pour finalité « Accès accordé aux Professionnels de Santé et/ou aux Etablissements de Soins tendant à la vérification de l’immatriculation et du taux de prise en charge des Bénéficiaires des Prestations servies par la CCSS ».


Le Président de la Commission de Contrôle des Informations Nominatives.
Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14