Le décret n° 2012-1249 du 9 novembre 2012 autorise la création de traitements de données à caractère personnel pour la mise en œuvre de programmes de prévention et d’accompagnement en santé des assurés sociaux prévus par les dispositions de l’article L. 162-1-11 du code de la sécurité sociale.
Les traitements autorisés par l’article 1er du décret peuvent porter sur les catégories de données suivantes :
1° En ce qui concerne les assurés sociaux et leurs ayants droit, éligibles à ces programmes :
a) Les données d’identification, notamment le nom de famille, le nom d’usage, les prénoms, le sexe, la date et le lieu de naissance ;
b) Le numéro d’inscription au répertoire national d’identification des personnes physiques (NIR) ;
c) L’adresse postale, les numéros de téléphone et l’adresse électronique ;
d) L’organisme de rattachement ;
e) Les informations relatives à l’étendue des droits au remboursement de soins ainsi que, le cas échéant, au bénéfice de l’exonération du ticket modérateur, de la couverture maladie universelle ou de la couverture maladie universelle complémentaire ;
f) Les données relatives à la santé, à la consommation de médicaments ou de produits de santé ainsi qu’aux hospitalisations et aux soins en établissements de santé, dans la mesure strictement nécessaire à la mise en œuvre des dispositions du 1° de l’article 1er du présent décret ;
2° En ce qui concerne les personnes ayant adhéré à l’un des programmes de prévention et d’accompagnement mentionnés à l’article 1er du présent décret, les données mentionnées aux a à e du 1° du présent article ainsi que :
a) Les données d’identification du médecin traitant, son adresse postale, ses numéros de téléphone et son adresse électronique ;
b) Les données relatives à la situation familiale ;
c) Les données relatives à la situation professionnelle ;
d) Les données relatives aux habitudes de vie ;
e) Les données relatives à la santé, à la consommation de médicaments ou de produits de santé ainsi qu’aux hospitalisations et aux soins en établissements de santé ;
f) Les données relatives aux actions mises en œuvre dans le cadre des programmes mentionnés à l’article 1er du présent décret ;
3° Les données d’identification des professionnels de santé intervenant dans le cadre des programmes mentionnés à l’article 1er du présent décret qui peuvent comporter :
a) Les données d’identification ;
b) L’adresse postale, les numéros de téléphone et l’adresse électronique ;
c) La profession et, le cas échéant, la spécialité ;
d) Les programmes dans le cadre desquels ils interviennent.
La délibération de la Commission nationale de l’informatique et des libertés n° 2012-261 du 19 juillet 2012 (demande d’avis n° 1202167) apporte un éclairage intéressant sur la constitution de tels traitements de données à caractère personnel.
Ainsi :
– les données recueillies et conservées doivent être pertinentes au regard de la finalité poursuivie ;
– les destinataires habilités à recevoir communication de ces données ne peuvent qu’être limités : au cas d’espèce, seuls les praticiens-conseils des organismes d’assurance maladie et les personnels placés sous leur autorité sont habilités à accéder aux données de santé identifiantes des personnes.
– le consentement de la personnne "éligible" doit être préalable, éclairé et explicite : la CNIL a ainsi estimé nécessaire que le projet de décret soit complété afin que le caractère exprès du consentement soit indiqué.
– en ce qui concerne les droits d’accès, de rectification et d’opposition prévus aux articles 38 à 40 de la loi du 6 janvier 1978 modifiés, la commission a considèré que le caractère discrétionnaire du droit d’opposition devait être précisé et complété d’une mention rappelant qu’il sera « sans conséquence sur les droits à remboursement ».
– en tout état de cause, les traitements mis en œuvre sur la base du décret publié doivent être soumis aux formalités préalables prévues par la loi du 6 janvier 1978 modifiée.