L’utilisation du NIR dans le champ de la santé

Sur la base de l’article 22 de la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée (« loi Informatique et Libertés « ou « LIL »), le décret n° 2019-341 du 19 avril 2019 relatif à la mise en œuvre de traitements comportant l’usage du numéro d’inscription au répertoire national d’identification (NIR : numéro d’identification unique de l’individu formé de 13 chiffres et plus communément dénommé numéro de sécurité sociale) des personnes physiques ou nécessitant la consultation de ce répertoire a été publié au Journal Officiel le 21 avril 2019 dernier.

Depuis la modification de la LIL par la Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles dans le but de mettre en conformité le droit français avec le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD »), ce décret était particulièrement attendu. En effet, le décret a pour objet :

  • de déterminer les finalités des traitements qui nécessitent l’utilisation du numéro d’inscription au RNIPP ou la consultation de celui-ci ;
  • et les catégories de responsables de traitement autorisés à l’utiliser dans ce cadre.

 

Le décret fait référence aux principaux secteurs dans le cadre desquels le NIR peut être traité (protection sociale, santé, travail, fiscalité, justice, éducation, logement, etc.) tout en précisant pour chacun de ces secteurs les organismes publics et privés qui peuvent utiliser le NIR dans le cadre de missions spécifiques et expressément visées.

En ce qui concerne le champ de la santé, le NIR peut être traité :

  • POUR l’opération de référencement des données de santé au moyen du numéro d’inscription au répertoire national d’identification des personnes physiques utilisé en tant qu’identifiant national de santé dans le cadre de la prise en charge des personnes à des fins sanitaires et médico-sociales PAR les professionnels mentionnés à l’article L. 1110-4 du code de la santé publique et les professionnels constituant une équipe de soins en application de l’article L. 1110-12 du même code intervenant dans la prise en charge sanitaire ou médico-sociale de la personne concernée, dans les conditions et selon les modalités fixées aux articles R. 1111-8-1 à R. 1111-8-7 du même code ;
  • POUR la mise en œuvre du dossier médical partagé prévu à l’article L. 1111-14 du code de la santé publique PAR la Caisse nationale de l’assurance maladie des travailleurs salariés ;
  • POUR la mise en œuvre du dossier pharmaceutique prévu à l’article L. 1111-23 du code de la santé publique PAR le Conseil national de l’ordre des pharmaciens ;
  • POUR les remontées d’informations nominatives vers les organismes d’assurance maladie PAR l’Agence technique de l’information sur l’hospitalisation prévue à l’article R. 6113-33 du code de la santé publique ;
  • POUR les opérations liées à la facturation et à la prise en charge financière des dépenses de santé PAR les professionnels, institutions, structures ou établissements, ainsi que leurs groupements, qui dispensent à des assurés sociaux ou à leurs ayants droit des actes ou prestations pris totalement ou partiellement en charge par l’assurance maladie, y compris les comptables publics attachés le cas échéant à ces établissements ;
  • POUR les opérations liées à la facturation et à la prise en charge financière de dépenses relatives aux actes de télémédecine tels que définis à l’article L. 6316-1 du code de la santé publique PAR outre les acteurs mentionnés à l’alinéa précédent, toute personne concourant à cette activité et à laquelle s’impose en raison de ses fonctions l’obligation de secret professionnel prévue par l’article 226-13 du code pénal ;
  • POUR la constitution de fichiers de personnes invitées aux programmes de dépistage des cancers et pour la gestion de ceux-ci PAR les caisses d’assurance maladies participantes ;
  • POUR l’identification des professionnels intervenant dans le système de santé aux fins de fiabiliser, par consultation du répertoire national d’identification des personnes physiques, les données du répertoire partagé de ces professionnels PAR le groupement d’intérêt public chargé du développement des systèmes d’information de santé partagés prévu à l’article L. 1111-24 du code de la santé publique ;
  • POUR sa mission de centralisation, d’exploitation et de conservation des informations relatives à la surveillance de l’exposition des travailleurs aux rayonnements ionisants et à leur suivi médical PAR l’Institut de radioprotection et de sûreté nucléaire mentionné à l’article L. 592-45 du code de l’environnement ;
  • POUR la gestion et le suivi des alertes sanitaires PAR l’Agence nationale de santé publique mentionnée à l’article L. 1413-1 du code de la santé publique, ainsi que les organismes ou les services chargés d’une mission de service public figurant sur une liste fixée par arrêté conjoint des ministres chargés de la santé et de la sécurité sociale, pris après avis de la Commission nationale de l’informatique et des libertés.

 

Ainsi, dans le champ de la santé, nous constatons que l’utilisation du NIR est particulièrement encadrée comme cela a toujours été le cas. La nouvelle version de la LIL et le décret d’utilisation du NIR qui en découle ne changent pas la donne sur ce sujet. Cela tient au fait que le NIR est unique à chaque personne, particulièrement identifiant et signifiant. Son utilisation présente donc un risque important pour les personnes concernées. Il doit donc être, selon le législateur, utilisé avec parcimonie.

Précisons tout de même, que toujours s’agissant du champ de la santé, la CNIL avait estimé, dans sa Délibération n° 2019-029 du 14 mars 2019 portant avis sur le décret objet de notre attention, « que le recensement extrêmement détaillé auquel procède le présent projet s’agissant de certains traitements mis en œuvre dans le domaine de la santé, qui est au demeurant susceptible d’entrainer une modification de l’acte réglementaire à chaque évolution des conditions de mise en œuvre des traitements concernés, nuit à la lisibilité globale du projet de décret dans la mesure où ces cas spécifiques sont par ailleurs susceptibles d’être englobés dans des cas plus généraux figurant à d’autres alinéas ».

La CNIL a-t-elle été entendue par le pouvoir réglementaire ? Telle est la question…