Délibération n° 2017-45 du 19 avril 2017 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Accès accordé aux Professionnels de Santé et/ou aux Établissements de Soins tendant à la vérification de l'immatriculation et du taux de prise en charge des Bénéficiaires des Prestations servies par le SPME » du Service des Prestations Médicales de l'État présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la Convention franco-monégasque de sécurité sociale du 28 février 1952, modifiée, et l'arrangement administratif relatif aux modalités d'application de cette Convention, modifié ;
Vu la loi n° 486 du 17 juillet 1948 relative à l'octroi des allocations pour charges de famille, des prestations médicales, chirurgicales et pharmaceutiques aux fonctionnaires de l'État et de la Commune ;
Vu la loi n° 975 du 12 juillet 1975 portant statut des fonctionnaires de l'État, modifiée ;
Vu la loi n° 1.096 du 7 août 1986 portant statut des fonctionnaires de la Commune, modifiée, et les textes pris en son application ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l'Ordonnance Souveraine n° 3.387 du 22 janvier 1947 relative aux prestations médicales, chirurgicales et pharmaceutiques allouées aux fonctionnaires, agents et employés de l'ordre administratif, modifiée ;
Vu l'Ordonnance Souveraine n° 6.365 du 17 août 1978, modifiée, fixant les conditions d'application de la loi n° 975 du 12 juillet 1975, modifiée, susvisée ;
Vu l'Ordonnance Souveraine n° 14.532 du 17 juillet 2000 rendant exécutoire l'arrangement administratif particulier franco-monégasque concernant les modalités de remboursement des frais exposés dans les établissements de soins français et monégasques ;
Vu l'Ordonnance Souveraine n° 16.605 du 10 janvier 2005 portant organisation des Départements Ministériels, modifiée ;
Vu l'Ordonnance Souveraine n° 16.611 du 10 janvier 2005, modifiée, fixant les conditions d'applications de la loi n° 1.096 du 7 août 1986, modifiée, susvisée ;
Vu l'Ordonnance Souveraine n° 231 du 3 octobre 2005 portant création d'un Service des Prestations Médicales de l'État ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'arrêté ministériel du 4 février 1947 portant règlement des prestations médicales, chirurgicales et pharmaceutiques allouées aux fonctionnaires, modifié ;
Vu l'arrêté ministériel du 15 mars 1947 fixant le tarif maximum de responsabilité appliqué aux fonctionnaires agents et employés de l'État ;
Vu l'arrêté ministériel n° 84-688 du 30 novembre 1984 relatif à la nomenclature générale des actes professionnels des médecins, des chirurgiens-dentistes, des sages-femmes et des auxiliaires médicaux, modifié ;
Vu la circulaire n° 2016-02 du 6 juin 2016 relative à l'information des assurés relevant du Service des Prestations Médicales de l'État sur le respect de la protection des informations nominatives exploitées par ce service ;
Vu la Recommandation R(86) 1 du Comité des Ministres aux Etats membres du Conseil de l'Europe relative à la protection des données à caractère personnel utilisées à des fins de sécurité sociale du 23 janvier 1986 ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la demande d'avis reçue le 10 janvier 2017 concernant la mise en œuvre par le Service des Prestations Médicales de l'État d'un traitement automatisé ayant pour finalité « Fiabilisation des éléments de facturation reçus du professionnel de santé et/ou de l'établissement de soins, par la confirmation par le SPME des éléments administratifs » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 9 mars 2017, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 susmentionnée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 19 avril 2017 portant analyse dudit traitement automatisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Les assurés sociaux et leurs ayants droit immatriculés auprès du Service des Prestations Médicales de l'État (SPME) peuvent bénéficier de prestations médicales, pharmaceutiques et chirurgicales sous certaines conditions.
La gestion de ces prestations a été dévolue au Service des Prestations Médicales de l'État créé par l'Ordonnance Souveraine n° 231 du 3 octobre 2005\.
Placé sous l'autorité du Conseiller de Gouvernement-Ministre des Affaires Sociales et de la Santé, ce service est amené, dans le cadre des missions qui lui sont conférées par ladite Ordonnance, à traiter des informations nominatives. La mise en œuvre des traitements automatisés de ces informations est soumise à l'avis préalable de la Commission de Contrôle des Informations Nominatives, conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité « Fiabilisation des éléments de facturation reçus du professionnel de santé et/ou de l'établissement de soins, par la confirmation par le SPME des éléments administratifs ».
Il concerne les personnes immatriculées auprès du SPME, leurs ayants droit, tels que définis dans le traitement ayant pour finalité « Immatriculation au Service des Prestations Médicales de l'État », ainsi que les professionnels de santé et établissements de soins immatriculés.
Ce traitement a pour objet de fiabiliser la procédure de facturation des actes pratiqués par les professionnels de santé ou établissements de soins immatriculés auprès du SPME afin de confirmer, vérifier et valider les données d'identification des bénéficiaires de soins et leur taux de prise en charge par ledit service lors de leur admission dans l'établissement de soin ou préalablement à l'établissement d'une facturation d'acte(s).
Ses fonctionnalités sont les suivantes :
- rapprocher les données d'identification des patients saisies par le professionnel de santé ou l'établissement de soins et les données d'identification des assurés immatriculés au SPME et de leurs ayants droit ;
- confirmer le taux de prise en charge d'un bénéficiaire de soins ou d'acte afin de veiller à la fiabilité des informations et des facturations émises.
La Commission relève que la fiabilisation des éléments de facturation évoqués dans la finalité consiste en la vérification des données d'identité d'un bénéficiaire afin de vérifier, d'une part, son affiliation au SPME, d'autre part, le taux de prise en charge. Aucun autre élément de facturation, qu'il soit de nature administrative ou révélateur de l'acte réalisé, n'est échangé s'agissant du présent traitement.
La Commission rappelle que la finalité d'un traitement doit être déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
Aussi afin d'éviter toute confusion quant au contenu des éléments échangés entre la CCSS et les professionnels de santé, elle modifie comme suit la finalité du traitement « Accès accordé aux Professionnels de Santé et/ou aux Établissements de Soins tendant à la vérification de l'immatriculation et du taux de prise en charge des Bénéficiaires des Prestations servies par le SPME ».
Sous le bénéfice de ce qui précède, la Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
II. Sur la licéité et la justification du traitement
- Sur la licéité du traitement
Aux termes de l'article 1er de l'Ordonnance Souveraine n° 3.387 du 22 janvier 1947, « Les fonctionnaires, agents et employés de l'État et de la commune, nommés dans leur emploi ou fonction par ordonnance souveraine, arrêté ministériel ou arrêté municipal, ont droit au remboursement des frais médicaux, chirurgicaux ou pharmaceutiques dans les limites du tarif de responsabilité » fixé par arrêté ministériel, notamment l'arrêté ministériel du 15 mars 1947, susvisé.
De manière générale, le SPME, créé par l'Ordonnance Souveraine n° 231 du 3 octobre 2005, est chargé de gérer « les prestations accordées par l'État au titre de l'assurance maladie, et maternité, de l'assurance accident du travail, de l'assurance invalidité, des prestations familiales et autres avantages sociaux y afférents », d'instruire pour le compte de la Commune les dossiers des prestations similaires accordées par celle-ci et « d'effectuer pour certains établissements publics, les décomptes de remboursement des prestations médicales en nature qu'ils attribuent ».
En application de la réglementation encadrant l'octroi et le remboursement des frais en la matière, le responsable de traitement précise que le SPME « gère l'information du taux de prise en charge pour les bénéficiaires des prestations médicales », ainsi que les mesures pouvant être mises en place afin de faciliter les procédures liées à l'exonération du ticket modérateur ou à l'application du « tiers payant ».
Le présent traitement n'a pas pour objet de dégager les assurés de leurs obligations, notamment de communiquer au professionnel de santé ou à l'établissement de soin les documents permettant de déterminer les conditions de prise en charge des actes. Il permet, d'une part, à l'établissement hospitalier ou au professionnel de santé de vérifier les informations sur les droits des bénéficiaires des soins afin de déterminer le montant des frais qu'ils devront acquitter tenant compte de la Convention signée entre le SPME, l'établissement de soins ou le professionnel de santé.
Le traitement implique l'exploitation de données de santé limitées au strict minimum dans le cadre des objectifs recherchés et des exceptions fixées à l'article 12 de la loi n° 1.165 du 23 décembre 1993.
La Commission considère que le traitement est licite conformément aux articles 10-1 et 12 de la loi n° 1.165 du 23 décembre 1993.
- Sur la justification du traitement
Le traitement est justifié, d'une part, par le respect d'une obligation légale du responsable de traitement, d'autre part, par la réalisation d'un intérêt légitime poursuivi par le responsable de traitement et le destinataire des informations qui ne méconnaît ni l'intérêt, ni les droits et libertés fondamentaux des personnes concernées.
À l'appui de ces justifications, le responsable de traitement met en évidence les objectifs du traitement qui permettra :
- de « fiabiliser les éléments de la facturation des soins, d'accélérer les délais de remboursements et de limiter ainsi les interventions liées à la régularisation d'erreurs de facturation », améliorant les procédures de facturations des professionnels de santé et des établissements de soin, et, par voie de conséquence, celles des remboursements du SPME ;
- de « faciliter la procédure de remboursement des frais de santé exposés par les assurés, notamment en mode de facturation « tiers payant » » ;
- de prévenir, ou à défaut, de limiter les erreurs de facturation, des paiements injustifiés, de régularisations postérieures concernant le responsable de traitement, les professionnels de santé, les établissements de soins ou les assurés sociaux ;
- de tenir compte des situations spécifiques ou des cas prévus par les textes qui limitent ou suppriment la participation des bénéficiaires de prestations aux frais de traitement.
Ainsi, ce traitement ne méconnaît pas l'intérêt des personnes concernées puisqu'il permettra aux bénéficiaires de prestations d'être pris en charge en tenant compte de leur situation au moment des soins.
La Commission observe, d'une part, que les informations relatives à l'identité du bénéficiaire des soins, ses noms, prénoms, numéro d'assuré social, caisse d'assurance maladie, sa qualité d'assuré ou de bénéficiaire et le lien avec le bénéficiaire doivent être communiquées au professionnel de santé ou à l'établissement de soin, notamment au moyen de la carte d'assuré social remise chaque année par le SPME, d'autre part, que de ces éléments découlent les procédures de facturation des soins et prestations.
La Commission considère donc que ce traitement est justifié conformément aux dispositions de l'article 10-2 de la loi n° 1.165 du 23 décembre 1993\.
III. Sur les informations traitées et leur origine
- Sur le détail des informations traitées
Les informations nominatives objets du traitement sont :
- identité : nom, prénom, date de naissance de l'assuré et de ses ayants droit ;
- identification de l'assuré : numéro de matricule, caisse de rattachement (SPME) ;
- suivi administratif : date de soins/du jour, taux de prise en charge, date de fin du taux de prise en charge à 100%.
L'interrogation du traitement sera basée sur des triplets reprenant les données précédentes ; par exemple : identification de la Caisse/numéro de matricule/date de naissance ou identification de la caisse/nom et prénom/date de naissance.
Aussi celle-ci présuppose une communication d'informations préalable de la part de l'assuré ou du bénéficiaire des droits au praticien ou à l'établissement de santé.
Par ailleurs, la Commission relève que les logs de connexion aux applicatifs des personnes habilitées à avoir accès au traitement sont également traités.
- Sur l'origine des informations
Les informations ont pour origine les traitements automatisés d'informations nominatives ayant pour finalité « Immatriculation au Service de Prestations Médicales de l'État », susvisé.
La Commission observe que les informations relatives aux logs de connexions des personnes habilitées ont pour origine le traitement « Gestion des accès aux systèmes d'informations opérés par les Caisses Sociales », susvisé.
La Commission considère que les informations traitées sont adéquates, pertinentes et non excessives au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
- Sur l'information des personnes concernées
L'information préalable des personnes concernées est réalisée par une circulaire administrative, établie afin de répondre aux obligations de l'article 14 de la loi n° 1.165 du 23 décembre 1993.
La Commission rappelle que cette circulaire devra être mise à jour afin d'intégrer dans la liste des traitements exploités par le SPME le traitement en objet.
- Sur l'exercice du droit d'accès, de modification et de mise à jour
La Commission relève que le présent traitement est mis en œuvre par un responsable de traitement visé à l'article 7 de la loi n° 1.165 du 23 décembre 1993\. Aussi, en application de l'article 13 de ladite loi, les personnes concernées ne disposent pas d'un droit d'opposition au traitement des informations qui les concernent.
La Commission observe que le droit d'accès est exercé par voie postale, par courrier électronique ou sur place auprès du SPME. Le délai de réponse est de trente jours.
S'agissant de l'exercice du droit d'accès par voie électronique, la Commission considère qu'une procédure devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d'un document d'identité était demandée, la transmission et le traitement de ce document devront faire l'objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-116 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d'identité officiels.
Les droits de modification et de mise à jour des données sont exercés selon les mêmes modalités.
La Commission constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 la loi n° 1.165 du 23 décembre 1993.
V. Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès aux informations sont les professionnels de santé ou le personnel de l'établissement de soins, conventionnés, en charge de la facturation des soins. Certains sont localisés en France, Pays disposant d'un niveau de protection adéquat.
A cet égard, la Commission relève que les droits et habilitations des personnes ayant accès aux informations sont gérés par le prestataire du SPME, s'agissant de l'accès au Webservice, et par le professionnel de santé et/ou l'établissement de soins s'agissant des opérations de vérification pouvant être réalisées par lui-même ou en son nom.
VI. Sur les rapprochements et interconnexions avec d'autres traitements
Le traitement fait l'objet d'interconnexions avec :
- le traitement ayant pour finalité « Immatriculation au Service de Prestations Médicales de l'État », s'agissant des données d'identification de l'assuré et de son ou ses ayants droit ;
- le traitement ayant pour finalité « Immatriculation des professionnels de santé » de la Caisse de Compensation des Services Sociaux ;
- le traitement ayant pour finalité « Gestion des accès aux systèmes d'informations opérés par les Caisses Sociales » de la Caisse de Compensation des Services Sociaux de Monaco.
La Commission constate que ces traitements ont été légalement mis en œuvre et que les opérations réalisées sont compatibles avec les finalités initiales des traitements dans le respect de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
VII. Sur la sécurité du traitement et des informations
Les mesures techniques prises pour assurer la sécurité et la confidentialité du traitement n'appellent pas d'observation de la Commission.
Elle rappelle toutefois que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.
La Commission rappelle également que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VIII. Sur la durée de conservation
Le responsable de traitement indique que les données ne font l'objet d'aucune conservation dans le cadre du présent traitement.
La Commission relève, toutefois, que les logs de connexion aux applicatifs des personnes habilitées à avoir accès au traitement sont conservés 120 jours.
Après en avoir délibéré, la Commission :
Modifie la finalité du traitement comme suit « Accès accordé aux Professionnels de Santé et/ou aux Établissements de Soins tendant à la vérification de l'immatriculation et du taux de prise en charge des Bénéficiaires des Prestations servies par le SPME ».
Rappelle que :
- les rapprochements ne peuvent avoir lieu qu'entre traitements légalement mis en œuvre ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort ;
- la circulaire n° 2016-02 du 6 juin 2016 devra être modifiée, afin d'y intégrer le présent traitement une fois mis en œuvre, conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993.
Considère qu'une procédure relative au droit d'accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations.
Sous le bénéfice de la prise en compte de ce qui précède,
La Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État, du traitement automatisé d'informations nominatives ayant pour finalité « Accès accordé aux Professionnels de Santé et/ou aux Établissements de Soins tendant à la vérification de l'immatriculation et du taux de prise en charge des Bénéficiaires des Prestations servies par le SPME » du Service des Prestations Médicales de l'État.
Le Président de la Commission
de Contrôle des Informations
Nominatives.