Délibération n° 2016-60 du 18 mai 2016 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Télé-service de consultation des prestations HNP concernant des assurés de la CCSS à destination des praticiens » présenté par la Caisse de Compensation des Services Sociaux de Monaco
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la Convention franco-monégasque de sécurité sociale du 28 février 1952, modifiée, et, l’arrangement administratif relatif aux modalités d’application de cette convention, modifié ;
Vu l’ordonnance-loi n° 397 du 27 septembre 1944 portant création d’une Caisse de Compensation des Services Sociaux de la Principauté de Monaco, modifiée ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’ordonnance souveraine n° 92 du 7 novembre 1949 modifiant et codifiant les ordonnances d’application de l’ordonnance-loi n° 397 du 27 septembre 1944, modifiée, susvisée ;
Vu l’ordonnance souveraine n° 4.739 du 22 juin 1971 fixant le régime des prestations dues aux salariés, en vertu de l’ordonnance-loi n° 397 du 27 septembre 1944, en cas de maladie, accident, maternité, invalidité et décès ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’arrêté ministériel n° 84-688 du 30 novembre 1984 relatif à la nomenclature générale des actes professionnels des médecins, des chirurgiens-dentistes, des sages-femmes et des auxiliaires médicaux, modifié ;
Vu l’arrêté ministériel n° 94-365 du 1er septembre 1994 fixant les modalités de la suppression de la participation du bénéficiaire de prestations aux frais de traitement et d’examens, modifié ;
Vu l’arrêté ministériel n° 2005-210 du 5 avril 2005 portant application de l’article 29 de l’ordonnance souveraine n° 4.739 du 22 juin 1971 fixant le régime des prestations dues aux salariés en vertu de l’ordonnance-loi n° 397 du 27 septembre 1944 de maladie, accident, maternité, invalidité et décès, modifiée ;
Vu l’arrêté ministériel n° 2005-276 du 7 juin 2005 fixant les conditions de remboursement par les régimes d’assurance maladie des actes relevant de la Classification commune des actes médicaux, modifié ;
Vu l’arrêté ministériel n° 2010-638 du 23 décembre 2010 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu la Recommandation R(86) du Conseil de l’Europe du 23 janvier 1986 relative à la protection des données à caractère personnel utilisées à des fins de sécurité sociale ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu le traitement automatisé d’informations nominatives ayant pour finalité « Dématérialisation des demandes de remboursements de prestations médicales » des Caisses Sociales de Monaco, objet d’un récépissé de mise en œuvre le 8 mai 2007 ;
Vu le traitement automatisé d’informations nominatives ayant pour finalité « Gestion des prestations médicales » des Caisses Sociales de Monaco, objet d’un récépissé de mise en œuvre le 13 novembre 2007 ;
Vu la délibération n° 2013-104 du 16 juillet 2013 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre par Caisse de Compensation des Services Sociaux du traitement automatisé d’informations nominatives ayant pour finalité « Immatriculation des professionnels de santé » ;
Vu la délibération n° 2013-144 du 16 décembre 2013 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre par Caisse de Compensation des Services Sociaux du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des accès aux Systèmes d’information opérés par les Caisses Sociales » ;
Vu la délibération n° 2014-184 du 11 décembre 2014 portant avis de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre par Caisse de Compensation des Services Sociaux du traitement automatisé d’informations nominatives ayant pour finalité « Télé-service de consultation, par les praticiens, des avis de la CCSS portant sur les demandes d’accord préalable qu’ils ont soumises » ;
Vu la demande d’avis, reçue le 5 février 2016, concernant la mise en œuvre par la Caisse de Compensation des Services Sociaux d’un traitement automatisé ayant pour finalité «Télé-service à destination des praticiens » ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 1er avril 2016, conformément à l’article 19 l’ordonnance souveraine n° 2.230 du 19 juin 2009, susmentionnée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 18 mai 2016 portant analyse dudit traitement automatisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La Caisse de Compensation des Services Sociaux (CCSS), responsable de traitement, est un organisme de droit privé investi d’une mission d’intérêt général au sens de l’arrêté ministériel n° 2010-638 du 23 décembre 2010.
Ainsi, le traitement automatisé d’informations nominatives objet de la présente délibération est soumis à l’avis de la Commission conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité « Télé-service à destination des praticiens ».
Il concerne les praticiens de santé conventionnés et abonnés au service FSE (Feuille de soins électronique), ou les praticiens de santé conventionnés non abonnés aux FSE mais souhaitant bénéficier des télé-services de la Caisse, ainsi que les assurés sociaux de la CCSS.
La demande d’avis en objet s’inscrit dans une démarche de dématérialisation des procédures visant à simplifier et à faciliter les formalités et les relations entre les praticiens de santé et la Caisse.
La Commission rappelle qu’aux termes de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993, « les informations nominatives doivent être (…) collectées pour une finalité déterminée, explicite et légitime ». Ainsi, les principes d’adéquation, de pertinence et de proportionnalité se rapportant aux données, ou le principe de proportionnalité se rapportant à leurs durées de conservation sont appréciés en tenant compte de la finalité pour laquelle les informations nominatives sont collectées.
Elle constate que deux des fonctionnalités exposées dans la demande d’avis correspondent à des traitements automatisés d’informations nominatives autonomes ayant fait l’objet de formalités de mise en œuvre préalables, conformément aux dispositions de la loi n° 1.165 du 23 décembre 1993.
Il s’agit de :
- l’établissement des FSE par les praticiens et de la consultation de leur historique, sous la finalité « Dématérialisation des demandes de remboursements de prestations médicales », susvisé ;
- la consultation des demandes d’entente préalable, sous la finalité « Télé-service de consultation, par les praticiens, des avis de la CCSS portant sur les demandes d’accord préalable qu’ils ont soumises », susvisé.
Elle observe ainsi que la Caisse a initié, en 2007, un processus de dématérialisation de ses relations avec les praticiens de santé en tenant compte des particularités associées à chaque procédure, comme le dépôt de feuilles de soins ou les demandes d’entente préalable.
Tenant compte de ces précédents, la Commission relève que la demande d’avis comporte, en sus des traitements précités, deux finalités distinctes, tenant compte, notamment, des personnes concernées, des dispositions juridiques qui encadrent les procédures visées, ou encore des services de la Caisse recevant communication des informations par le biais de formulaires ou à l’origine des informations diffusées concernant le praticien.
En conséquence, la Commission considère que la demande d’avis en objet expose deux traitements automatisés d’informations nominatives ayant respectivement pour objet le télé-service de consultation des prestations HNP (Honoraires Non Perçus) à destination des praticiens et le télé-service de dépôt de formalités préalables pour le compte de leurs patients assurés par la CCSS.
Elle estime donc que la demande d’avis doit faire l’objet de deux délibérations distinguant lesdits traitements.La présente porte ainsi sur le traitement automatisé associé au télé-service de consultation des prestations HNP à destination des praticiens.
Il a pour fonctionnalités :
- de permettre à la CCSS de mettre en ligne, de manière sécurisée, l’état des prestations réglées directement au praticien ayant souhaité bénéficier de ce service, dans le cadre de la procédure HNP ;
- de permettre aux praticiens de consulter l’état du règlement de prestations HNP.
Aussi, la Commission considère que la finalité du présent traitement doit être modifiée par « Télé-service de consultation des prestations HNP concernant des assurés de la CCSS à destination des praticiens ».
II. Sur la licéité et la justification du traitement
• Sur la licéité du traitement
La CCSS a été instituée par l’ordonnance-loi n° 397 du 27 septembre 1944 pour assurer le service des allocations, prestations et pensions visées à l’article 1er de ladite ordonnance-loi.
Aux termes de l’article 5 de cette ordonnance-loi, « les allocations, prestations et retraites sont dues aux salariés, à leurs conjoints ou à leurs enfants selon les modalités qui seront fixées par ordonnance souveraine ».
Par ailleurs, afin de mener à bien ses missions, dans le respect de la réglementation encadrant l’exercice de professions dans le domaine de la santé en Principauté et les conditions de prise en charge par les Caisses des prestations en nature ou en espèces des assurés, la CCSS dispose de conventions établies avec les praticiens.
L’adhésion à ces Conventions « est une démarche personnelle et volontaire du professionnel de santé qui exerce, à titre libéral, une activité médicale ou paramédicale. Seuls ceux installés à Monaco ou dans le département des Alpes-Maritimes peuvent [y] adhérer ».
Le présent traitement a pour objet de permettre aux praticiens qui le souhaitent de dématérialiser certaines formalités en mettant à disposition « un canal de transmission direct et sécurisé » et de contribuer « à améliorer la qualité du service rendu par la Caisse à ses assurés, en raccourcissant, notamment, les délais de transmission et par conséquent de traitement de ces demandes ».
La procédure HNP dont s’agit est encadrée par les Conventions signées avec les praticiens de santé, comme à l’article 14 de la Convention du 1er février 2006 entre la CCSS, la CAMTI (Caisse d’Assurance accident, Maladie, et maternité des Travailleurs indépendants) et l’Ordre des Médecins de Monaco, modifiée.
Les alinéas 1 et 2 de cet article prévoient ainsi que « Lorsque l’assuré se trouve dans l’incapacité de faire l’avance des honoraires médicaux, le praticien a la possibilité de demander le règlement direct aux Caisses Sociales de la part remboursable de ceux-ci, en portant sur la feuille de soins, aux lieu et place du montant des honoraires facturés la mention HNP pour « honoraires non perçus ».
Dans cette hypothèse, il ne peut percevoir directement auprès du patient que la part d’honoraires correspondant à la différence entre le tarif conventionnel applicable aux assurés de catégorie « verte » et la part remboursable réglée par les Caisses Sociales, à charge pour lui de ristourner au patient les sommes perçues en sus, du fait notamment de la méconnaissance d’une situation d’exonération du ticket modérateur ».
Les informations permettant la consultation d’un état des prestations réglées directement au praticien, dans le cadre de la procédure HNP, proviennent d’une extraction de données issues du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des prestations médicales » ayant fait l’objet de récépissés de mise en œuvre de la Commission en 2003 et 2007.
Le présent traitement permet ainsi une mise à disposition d’informations de nature comptable offrant au praticien la faculté de disposer d’un état des prestations qui lui ont été directement réglées par la Caisse en application de la réglementation en vigueur.
• Sur la justification du traitement
Le traitement est justifié par la réalisation d’un intérêt légitime de la Caisse de disposer d’un outil ayant pour objet de faciliter l’accès des praticiens aux formalités effectuées auprès des Caisses concernant le remboursement de leurs honoraires ou la réalisation de démarches administratives afin de permettre à l’assuré de bénéficier de prestations particulières, prévues par la réglementation.
La Commission considère que ce traitement est conforme aux dispositions des articles 10 et 10-1 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations traitées et leur origine
Les informations nominatives traitées sont :
- identité du bénéficiaire des soins : nom, prénom, matricule Caisse, lien familial avec l’assuré ;
- identité du praticien : nom, prénom ;
- données d’identification électronique du bénéficiaire : matricule Caisse, lien familial avec l’assuré ;
- données de facturation (pour les HNP) : type de prestation, date de début et de fin des soins, date de traitement du décompte, montant
facturé (0) / remboursé, numéro de feuille de soins, date de transmission de la feuille.
Les informations ont pour origine le traitement automatisé d’informations nominatives précité, ayant pour finalité « Gestion des prestations médicales », mis en œuvre le 13 novembre 2007.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
• Sur l’information des personnes concernées
L’information préalable des personnes concernées est assurée par une rubrique propre à la protection des données accessibles en ligne sur le site internet des Caisses Sociales de Monaco.
Le responsable de traitement précise que les praticiens doivent également délivrer une information auprès des assurés lorsqu’ils recueillent le code FSE sur la carte d’immatriculation.
• Sur l’exercice du droit d’accès, de modification et de mise à jour
La Commission relève qu’aux termes de l’article 13 de la loi n° 1.165 du 23 décembre 1993, s’agissant d’un traitement mis en œuvre par un organisme de droit privé investi d’une mission d’intérêt général, les personnes concernées par le présent traitement ne disposent pas du droit de s’opposer au traitement de leurs informations.
Les personnes concernées par le traitement peuvent exercer leur droit d’accès et de rectification auprès du « correspondant CCIN » ou des personnes chargées de leur accueil.
Le praticien peut exercer ses droits par un accès en ligne à son dossier, par courrier électronique, par voie postale ou sur place.
La réponse à toute demande est réalisée dans les 15 jours suivant la réception. En cas de demande de modification ou de mise à jour des informations, une réponse sera apportée à l’intéressé par courrier électronique, par voie postale ou sur place.
La Commission considère que les modalités d’exercice des droits d’accès et de rectification sont conformes aux dispositions de la loi n° 1.165 du 23 décembre 1993.
V. Sur les destinataires et les personnes ayant accès au traitement
Les personnes ayant accès au traitement sont les praticiens de santé, en consultation.
Le traitement est interne à la Caisse.
VI. Sur les rapprochements et interconnexions avec d’autres traitements
Le responsable de traitement met en évidence un rapprochement et une interconnexion avec le traitement ayant pour finalité « Gestion des prestations médicales », susvisé, afin de permettre l’accès en consultation des décomptes et remboursements effectués selon la procédure de HNP.
La Commission observe que ce traitement est également mis en relation avec les traitements suivants :
- « Gestion des accès aux Systèmes d’information opérés par les Caisses Sociales », ayant fait l’objet d’un avis favorable de la Commission par délibération n° 2013-144 du 16 décembre 2013 ;
- « Immatriculation des professionnels de santé » ayant fait l’objet d’un avis favorable de la Commission délibération n° 2013-104 du 16 juillet 2013.
La Commission relève que ces mises en relation sont conformes au principe de compatibilité de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement appellent les observations suivantes de la Commission.
Elle relève, particulièrement, la mise en place d’un procédé d’authentification forte des praticiens pour l’accès au télé-service.
Elle souligne en outre la conclusion de convention particulière, portant notamment sur la sécurité et la confidentialité des traitements et des données, entre la Caisse et les praticiens souhaitant bénéficier des télé-services proposés par la Caisse.
La Commission précise néanmoins que l’architecture technique repose sur des équipements de raccordements (switchs, routeurs, pare-feu) de serveurs et périphériques qui doivent être protégés par un login et un mot de passe réputé fort et que les ports non utilisés doivent être désactivés.
Elle rappelle que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
Les informations sont conservées dans le présent traitement sur une période lissée de 12 mois permettant la consultation des historiques pendant cette durée.
La Commission considère que la durée de conservation est conforme aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
Après en avoir délibéré, la Commission :
Constate que :
- la Caisse a initié, en 2007, les processus de dématérialisation de ses relations avec les praticiens de santé en tenant compte des particularités associées à chaque procédure, tels le dépôt de feuilles de soins ou les demandes d’entente préalable ;
- les fonctionnalités exposées dans la demande d’avis portant sur l’établissement des FSE par les praticiens et la consultation de leur historique, ainsi que la consultation des demandes d’entente préalable correspondent à deux traitements automatisés d’informations nominatives autonomes ayant fait l’objet de formalités de mise en œuvre préalables, conformément aux dispositions de la loi n° 1.165 du 23 décembre 1993 ;
- la demande d’avis comporte, en sus des traitements précités, deux finalités distinctes, ayant respectivement pour objet le télé-service de consultation des prestations HNP à destination des praticiens et le télé-service de dépôt de formalités préalables pour le compte de leurs patients ;
- conformément à l’article 10-1 de la loi n° 1.165 du 23 décembre 1993, et dans le droit fil des formalités antérieures soumises à la Commission, ces deux finalités caractérisent deux traitements automatisés d’informations nominatives distincts.
En conséquence modifie comme suit la finalité du présent traitement : « Télé-service de consultation des prestations HNP concernant des assurés de la CCSS à destination des praticiens ».
Rappelle que les serveurs et périphériques doivent être protégés par un login et un mot de passe réputé fort et que les ports non utilisés doivent être désactivés.
Précise que la présente délibération porte sur la mise en œuvre des opérations automatisées inhérentes au télé-service permettant aux praticiens de santé de consulter l’état de règlement des prestations ayant fait l’objet d’une procédure HNP.
A la condition de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par la Caisse de Compensation des Services Sociaux (CCSS) du traitement automatisé d’informations nominatives ayant pour finalité « Télé-service de consultation des prestations HNP concernant des assurés de la CCSS à destination des praticiens ».
Le Président de la Commission
de Contrôle des Informations Nominatives.
Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la Convention franco-monégasque de sécurité sociale du 28 février 1952, modifiée, et, l’arrangement administratif relatif aux modalités d’application de cette convention, modifié ;
Vu l’ordonnance-loi n° 397 du 27 septembre 1944 portant création d’une Caisse de Compensation des Services Sociaux de la Principauté de Monaco, modifiée ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’ordonnance souveraine n° 92 du 7 novembre 1949 modifiant et codifiant les ordonnances d’application de l’ordonnance-loi n° 397 du 27 septembre 1944, modifiée, susvisée ;
Vu l’ordonnance souveraine n° 4.739 du 22 juin 1971 fixant le régime des prestations dues aux salariés, en vertu de l’ordonnance-loi n° 397 du 27 septembre 1944, en cas de maladie, accident, maternité, invalidité et décès ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’arrêté ministériel n° 84-688 du 30 novembre 1984 relatif à la nomenclature générale des actes professionnels des médecins, des chirurgiens-dentistes, des sages-femmes et des auxiliaires médicaux, modifié ;
Vu l’arrêté ministériel n° 94-365 du 1er septembre 1994 fixant les modalités de la suppression de la participation du bénéficiaire de prestations aux frais de traitement et d’examens, modifié ;
Vu l’arrêté ministériel n° 2005-210 du 5 avril 2005 portant application de l’article 29 de l’ordonnance souveraine n° 4.739 du 22 juin 1971 fixant le régime des prestations dues aux salariés en vertu de l’ordonnance-loi n° 397 du 27 septembre 1944 de maladie, accident, maternité, invalidité et décès, modifiée ;
Vu l’arrêté ministériel n° 2005-276 du 7 juin 2005 fixant les conditions de remboursement par les régimes d’assurance maladie des actes relevant de la Classification commune des actes médicaux, modifié ;
Vu l’arrêté ministériel n° 2010-638 du 23 décembre 2010 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu la Recommandation R(86) du Conseil de l’Europe du 23 janvier 1986 relative à la protection des données à caractère personnel utilisées à des fins de sécurité sociale ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu le traitement automatisé d’informations nominatives ayant pour finalité « Dématérialisation des demandes de remboursements de prestations médicales » des Caisses Sociales de Monaco, objet d’un récépissé de mise en œuvre le 8 mai 2007 ;
Vu le traitement automatisé d’informations nominatives ayant pour finalité « Gestion des prestations médicales » des Caisses Sociales de Monaco, objet d’un récépissé de mise en œuvre le 13 novembre 2007 ;
Vu la délibération n° 2013-104 du 16 juillet 2013 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre par Caisse de Compensation des Services Sociaux du traitement automatisé d’informations nominatives ayant pour finalité « Immatriculation des professionnels de santé » ;
Vu la délibération n° 2013-144 du 16 décembre 2013 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre par Caisse de Compensation des Services Sociaux du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des accès aux Systèmes d’information opérés par les Caisses Sociales » ;
Vu la délibération n° 2014-184 du 11 décembre 2014 portant avis de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre par Caisse de Compensation des Services Sociaux du traitement automatisé d’informations nominatives ayant pour finalité « Télé-service de consultation, par les praticiens, des avis de la CCSS portant sur les demandes d’accord préalable qu’ils ont soumises » ;
Vu la demande d’avis, reçue le 5 février 2016, concernant la mise en œuvre par la Caisse de Compensation des Services Sociaux d’un traitement automatisé ayant pour finalité «Télé-service à destination des praticiens » ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 1er avril 2016, conformément à l’article 19 l’ordonnance souveraine n° 2.230 du 19 juin 2009, susmentionnée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 18 mai 2016 portant analyse dudit traitement automatisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La Caisse de Compensation des Services Sociaux (CCSS), responsable de traitement, est un organisme de droit privé investi d’une mission d’intérêt général au sens de l’arrêté ministériel n° 2010-638 du 23 décembre 2010.
Ainsi, le traitement automatisé d’informations nominatives objet de la présente délibération est soumis à l’avis de la Commission conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité « Télé-service à destination des praticiens ».
Il concerne les praticiens de santé conventionnés et abonnés au service FSE (Feuille de soins électronique), ou les praticiens de santé conventionnés non abonnés aux FSE mais souhaitant bénéficier des télé-services de la Caisse, ainsi que les assurés sociaux de la CCSS.
La demande d’avis en objet s’inscrit dans une démarche de dématérialisation des procédures visant à simplifier et à faciliter les formalités et les relations entre les praticiens de santé et la Caisse.
La Commission rappelle qu’aux termes de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993, « les informations nominatives doivent être (…) collectées pour une finalité déterminée, explicite et légitime ». Ainsi, les principes d’adéquation, de pertinence et de proportionnalité se rapportant aux données, ou le principe de proportionnalité se rapportant à leurs durées de conservation sont appréciés en tenant compte de la finalité pour laquelle les informations nominatives sont collectées.
Elle constate que deux des fonctionnalités exposées dans la demande d’avis correspondent à des traitements automatisés d’informations nominatives autonomes ayant fait l’objet de formalités de mise en œuvre préalables, conformément aux dispositions de la loi n° 1.165 du 23 décembre 1993.
Il s’agit de :
- l’établissement des FSE par les praticiens et de la consultation de leur historique, sous la finalité « Dématérialisation des demandes de remboursements de prestations médicales », susvisé ;
- la consultation des demandes d’entente préalable, sous la finalité « Télé-service de consultation, par les praticiens, des avis de la CCSS portant sur les demandes d’accord préalable qu’ils ont soumises », susvisé.
Elle observe ainsi que la Caisse a initié, en 2007, un processus de dématérialisation de ses relations avec les praticiens de santé en tenant compte des particularités associées à chaque procédure, comme le dépôt de feuilles de soins ou les demandes d’entente préalable.
Tenant compte de ces précédents, la Commission relève que la demande d’avis comporte, en sus des traitements précités, deux finalités distinctes, tenant compte, notamment, des personnes concernées, des dispositions juridiques qui encadrent les procédures visées, ou encore des services de la Caisse recevant communication des informations par le biais de formulaires ou à l’origine des informations diffusées concernant le praticien.
En conséquence, la Commission considère que la demande d’avis en objet expose deux traitements automatisés d’informations nominatives ayant respectivement pour objet le télé-service de consultation des prestations HNP (Honoraires Non Perçus) à destination des praticiens et le télé-service de dépôt de formalités préalables pour le compte de leurs patients assurés par la CCSS.
Elle estime donc que la demande d’avis doit faire l’objet de deux délibérations distinguant lesdits traitements.La présente porte ainsi sur le traitement automatisé associé au télé-service de consultation des prestations HNP à destination des praticiens.
Il a pour fonctionnalités :
- de permettre à la CCSS de mettre en ligne, de manière sécurisée, l’état des prestations réglées directement au praticien ayant souhaité bénéficier de ce service, dans le cadre de la procédure HNP ;
- de permettre aux praticiens de consulter l’état du règlement de prestations HNP.
Aussi, la Commission considère que la finalité du présent traitement doit être modifiée par « Télé-service de consultation des prestations HNP concernant des assurés de la CCSS à destination des praticiens ».
II. Sur la licéité et la justification du traitement
• Sur la licéité du traitement
La CCSS a été instituée par l’ordonnance-loi n° 397 du 27 septembre 1944 pour assurer le service des allocations, prestations et pensions visées à l’article 1er de ladite ordonnance-loi.
Aux termes de l’article 5 de cette ordonnance-loi, « les allocations, prestations et retraites sont dues aux salariés, à leurs conjoints ou à leurs enfants selon les modalités qui seront fixées par ordonnance souveraine ».
Par ailleurs, afin de mener à bien ses missions, dans le respect de la réglementation encadrant l’exercice de professions dans le domaine de la santé en Principauté et les conditions de prise en charge par les Caisses des prestations en nature ou en espèces des assurés, la CCSS dispose de conventions établies avec les praticiens.
L’adhésion à ces Conventions « est une démarche personnelle et volontaire du professionnel de santé qui exerce, à titre libéral, une activité médicale ou paramédicale. Seuls ceux installés à Monaco ou dans le département des Alpes-Maritimes peuvent [y] adhérer ».
Le présent traitement a pour objet de permettre aux praticiens qui le souhaitent de dématérialiser certaines formalités en mettant à disposition « un canal de transmission direct et sécurisé » et de contribuer « à améliorer la qualité du service rendu par la Caisse à ses assurés, en raccourcissant, notamment, les délais de transmission et par conséquent de traitement de ces demandes ».
La procédure HNP dont s’agit est encadrée par les Conventions signées avec les praticiens de santé, comme à l’article 14 de la Convention du 1er février 2006 entre la CCSS, la CAMTI (Caisse d’Assurance accident, Maladie, et maternité des Travailleurs indépendants) et l’Ordre des Médecins de Monaco, modifiée.
Les alinéas 1 et 2 de cet article prévoient ainsi que « Lorsque l’assuré se trouve dans l’incapacité de faire l’avance des honoraires médicaux, le praticien a la possibilité de demander le règlement direct aux Caisses Sociales de la part remboursable de ceux-ci, en portant sur la feuille de soins, aux lieu et place du montant des honoraires facturés la mention HNP pour « honoraires non perçus ».
Dans cette hypothèse, il ne peut percevoir directement auprès du patient que la part d’honoraires correspondant à la différence entre le tarif conventionnel applicable aux assurés de catégorie « verte » et la part remboursable réglée par les Caisses Sociales, à charge pour lui de ristourner au patient les sommes perçues en sus, du fait notamment de la méconnaissance d’une situation d’exonération du ticket modérateur ».
Les informations permettant la consultation d’un état des prestations réglées directement au praticien, dans le cadre de la procédure HNP, proviennent d’une extraction de données issues du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des prestations médicales » ayant fait l’objet de récépissés de mise en œuvre de la Commission en 2003 et 2007.
Le présent traitement permet ainsi une mise à disposition d’informations de nature comptable offrant au praticien la faculté de disposer d’un état des prestations qui lui ont été directement réglées par la Caisse en application de la réglementation en vigueur.
• Sur la justification du traitement
Le traitement est justifié par la réalisation d’un intérêt légitime de la Caisse de disposer d’un outil ayant pour objet de faciliter l’accès des praticiens aux formalités effectuées auprès des Caisses concernant le remboursement de leurs honoraires ou la réalisation de démarches administratives afin de permettre à l’assuré de bénéficier de prestations particulières, prévues par la réglementation.
La Commission considère que ce traitement est conforme aux dispositions des articles 10 et 10-1 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations traitées et leur origine
Les informations nominatives traitées sont :
- identité du bénéficiaire des soins : nom, prénom, matricule Caisse, lien familial avec l’assuré ;
- identité du praticien : nom, prénom ;
- données d’identification électronique du bénéficiaire : matricule Caisse, lien familial avec l’assuré ;
- données de facturation (pour les HNP) : type de prestation, date de début et de fin des soins, date de traitement du décompte, montant
facturé (0) / remboursé, numéro de feuille de soins, date de transmission de la feuille.
Les informations ont pour origine le traitement automatisé d’informations nominatives précité, ayant pour finalité « Gestion des prestations médicales », mis en œuvre le 13 novembre 2007.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
• Sur l’information des personnes concernées
L’information préalable des personnes concernées est assurée par une rubrique propre à la protection des données accessibles en ligne sur le site internet des Caisses Sociales de Monaco.
Le responsable de traitement précise que les praticiens doivent également délivrer une information auprès des assurés lorsqu’ils recueillent le code FSE sur la carte d’immatriculation.
• Sur l’exercice du droit d’accès, de modification et de mise à jour
La Commission relève qu’aux termes de l’article 13 de la loi n° 1.165 du 23 décembre 1993, s’agissant d’un traitement mis en œuvre par un organisme de droit privé investi d’une mission d’intérêt général, les personnes concernées par le présent traitement ne disposent pas du droit de s’opposer au traitement de leurs informations.
Les personnes concernées par le traitement peuvent exercer leur droit d’accès et de rectification auprès du « correspondant CCIN » ou des personnes chargées de leur accueil.
Le praticien peut exercer ses droits par un accès en ligne à son dossier, par courrier électronique, par voie postale ou sur place.
La réponse à toute demande est réalisée dans les 15 jours suivant la réception. En cas de demande de modification ou de mise à jour des informations, une réponse sera apportée à l’intéressé par courrier électronique, par voie postale ou sur place.
La Commission considère que les modalités d’exercice des droits d’accès et de rectification sont conformes aux dispositions de la loi n° 1.165 du 23 décembre 1993.
V. Sur les destinataires et les personnes ayant accès au traitement
Les personnes ayant accès au traitement sont les praticiens de santé, en consultation.
Le traitement est interne à la Caisse.
VI. Sur les rapprochements et interconnexions avec d’autres traitements
Le responsable de traitement met en évidence un rapprochement et une interconnexion avec le traitement ayant pour finalité « Gestion des prestations médicales », susvisé, afin de permettre l’accès en consultation des décomptes et remboursements effectués selon la procédure de HNP.
La Commission observe que ce traitement est également mis en relation avec les traitements suivants :
- « Gestion des accès aux Systèmes d’information opérés par les Caisses Sociales », ayant fait l’objet d’un avis favorable de la Commission par délibération n° 2013-144 du 16 décembre 2013 ;
- « Immatriculation des professionnels de santé » ayant fait l’objet d’un avis favorable de la Commission délibération n° 2013-104 du 16 juillet 2013.
La Commission relève que ces mises en relation sont conformes au principe de compatibilité de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement appellent les observations suivantes de la Commission.
Elle relève, particulièrement, la mise en place d’un procédé d’authentification forte des praticiens pour l’accès au télé-service.
Elle souligne en outre la conclusion de convention particulière, portant notamment sur la sécurité et la confidentialité des traitements et des données, entre la Caisse et les praticiens souhaitant bénéficier des télé-services proposés par la Caisse.
La Commission précise néanmoins que l’architecture technique repose sur des équipements de raccordements (switchs, routeurs, pare-feu) de serveurs et périphériques qui doivent être protégés par un login et un mot de passe réputé fort et que les ports non utilisés doivent être désactivés.
Elle rappelle que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
Les informations sont conservées dans le présent traitement sur une période lissée de 12 mois permettant la consultation des historiques pendant cette durée.
La Commission considère que la durée de conservation est conforme aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
Après en avoir délibéré, la Commission :
Constate que :
- la Caisse a initié, en 2007, les processus de dématérialisation de ses relations avec les praticiens de santé en tenant compte des particularités associées à chaque procédure, tels le dépôt de feuilles de soins ou les demandes d’entente préalable ;
- les fonctionnalités exposées dans la demande d’avis portant sur l’établissement des FSE par les praticiens et la consultation de leur historique, ainsi que la consultation des demandes d’entente préalable correspondent à deux traitements automatisés d’informations nominatives autonomes ayant fait l’objet de formalités de mise en œuvre préalables, conformément aux dispositions de la loi n° 1.165 du 23 décembre 1993 ;
- la demande d’avis comporte, en sus des traitements précités, deux finalités distinctes, ayant respectivement pour objet le télé-service de consultation des prestations HNP à destination des praticiens et le télé-service de dépôt de formalités préalables pour le compte de leurs patients ;
- conformément à l’article 10-1 de la loi n° 1.165 du 23 décembre 1993, et dans le droit fil des formalités antérieures soumises à la Commission, ces deux finalités caractérisent deux traitements automatisés d’informations nominatives distincts.
En conséquence modifie comme suit la finalité du présent traitement : « Télé-service de consultation des prestations HNP concernant des assurés de la CCSS à destination des praticiens ».
Rappelle que les serveurs et périphériques doivent être protégés par un login et un mot de passe réputé fort et que les ports non utilisés doivent être désactivés.
Précise que la présente délibération porte sur la mise en œuvre des opérations automatisées inhérentes au télé-service permettant aux praticiens de santé de consulter l’état de règlement des prestations ayant fait l’objet d’une procédure HNP.
A la condition de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par la Caisse de Compensation des Services Sociaux (CCSS) du traitement automatisé d’informations nominatives ayant pour finalité « Télé-service de consultation des prestations HNP concernant des assurés de la CCSS à destination des praticiens ».
Le Président de la Commission
de Contrôle des Informations Nominatives.