[actus_l] Qui aura accès aux données de la carte vitale II ? L'Avis de la CNIL

[voir, tout en bas, l'avis relatif à la sécurité : 
"La fonctionnalité d'exportation mise en oeuvre dans le « logiciel VisuVitale
et les API de lecture » permet de copier les données figurant dans le
composant électronique de la carte Vitale 2 comme le NIR, le nom, la date de
naissance, l'adresse... « pour être intégrées dans un système de gestion
informatisée d'accueil des assurés ». La commission estime indispensable qu'il
ne soit pas techniquement possible de capter les données contenues dans la
carte en dehors d'un logiciel de prise en charge des soins."
Si quelqu'un a des précisions concernant les risques de captations de ces
données...]

http://www.legifrance.gouv.fr/WAspad/UnTexteDeJorf?numjo=CNIX0710163X

J.O n° 65 du 17 mars 2007
texte n° 86
Commission nationale de l'informatique et des libertés

Délibération n° 2007-036 du 20 février 2007 portant avis sur deux projets
d'arrêtés relatifs, d'une part, aux spécifications physiques et logiques de la
carte d'assurance maladie et aux données y étant contenues et, d'autre part,
aux conditions d'émission et de gestion des cartes d'assurance maladie

NOR: CNIX0710163X


La Commission nationale de l'informatique et des libertés,

Saisie, le 18 janvier 2007, par le ministre de la santé et des solidarités,
d'une part, d'un projet d'arrêté relatif aux spécifications physiques et
logiques de la carte d'assurance maladie et aux données contenues dans cette
carte et, d'autre part, d'un projet d'arrêté relatif aux conditions d'émission
et de gestion des cartes d'assurance maladie ;

Vu la convention n° 108 du 28 janvier 1981 du Conseil de l'Europe pour la
protection des personnes à l'égard du traitement automatisé des données à
caractère personnel ;

Vu la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du
Conseil relative à la protection des personnes physiques à l'égard du
traitement des données à caractère personnel et à la libre circulation de ces
données ;

Vu le code de la sécurité sociale, et notamment l'article L. 161-31 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux
fichiers et aux libertés ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi
n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux
libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;

Vu le décret n° 2007-199 du 14 février 2007 relatif à la carte d'assurance
maladie et modifiant le code de la sécurité sociale ;

Après avoir entendu M. Jean-Pierre de Longevialle, commissaire, en son rapport
et Mme Pascale Compagnie, commissaire du Gouvernement, en ses observations,

Emet l'avis suivant :



Le ministre de la santé et des solidarités a saisi pour avis la Commission
nationale de l'informatique et des libertés de deux projets d'arrêtés
relatifs, d'une part, aux spécifications physiques et logiques de la carte
d'assurance maladie et aux données contenues dans cette carte et, d'autre
part, aux conditions d'émission et de gestion des cartes d'assurance maladie.
Ces projets d'arrêtés sont accompagnés d'un dossier technique précisant les
adaptations du système SESAM Vitale à ce nouveau cadre réglementaire.



L'adaptation du système SESAM Vitale permettra la diffusion d'une nouvelle
carte Vitale d'une part contenant des données nouvelles, dont la photographie
du porteur de la carte, ainsi que des données liées à l'utilisation
facultative par ce dernier d'une zone de données personnelles, d'autre part
comportant une obligation de mise à jour régulière des données inscrites.

L'objectif est de remplacer les actuelles cartes Vitale par la nouvelle
génération de carte en quatre ans.


Sur le projet d'arrêté relatif aux spécifications physiques et logiques de la
carte d'assurance maladie

et aux données contenues dans cette carte


Ce projet d'arrêté détaille le contenu de la carte Vitale. Il prévoit
notamment l'insertion de l'adresse, de la photographie tant sur le visuel de
la carte que dans le composant électronique de la carte, des données relatives
au choix du médecin traitant ainsi que, le cas échéant, si le porteur le
décide, les coordonnées d'une personne à prévenir et la mention qu'il a pris
connaissance des dispositions légales sur le don d'organe.

Conformément à l'article R. 161-33-1 du code de la sécurité sociale issu du
décret du 14 février 2007 relatif à la carte d'assurance maladie, qui dispose
qu'un arrêté du ministre détermine les spécifications physiques et logiques de
la carte, il conviendrait de compléter comme suit l'article 1er :

« La carte d'assurance maladie mentionnée à l'article R. 161-33-1 du code de
la sécurité sociale est une carte à microprocesseur, conforme à la norme ISO
7816, de technologie réinscriptible et équipé d'un coprocesseur
cryptographique. »

L'écriture sur la carte des données relatives à « la personne à prévenir en
cas de nécessité » et la mention selon laquelle « le titulaire a eu
connaissance des dispositions de la réglementation sur le don d'organe »
nécessitent l'authentification du titulaire de la carte ou du médecin.

Dans la mesure où la carte ne comporte aucun dispositif permettant à son
titulaire de s'authentifier, la commission constate que l'écriture de ces
données dans le composant électronique de la carte ne pourra être réalisée par
l'intéressé qu'en présence de son médecin faisant usage de sa carte de
professionnel de santé.

La rédaction retenue au 8° de l'article 8 du projet d'arrêté, aux termes de
laquelle la carte comporte « éventuellement, la mention indiquant que le
titulaire a eu connaissance des dispositions de la réglementation sur le don
d'organe », est conforme à la rédaction proposée par la commission.

La commission prend acte que le projet d'article 3 (2°, e) prévoit que la
photographie devra comporter des caractéristiques techniques empêchant une
utilisation à des fins de contrôle biométrique et qu'un dispositif de
protection empêchera toute copie.

Sur le projet d'arrêté relatif aux conditions d'émission et de gestion des
cartes d'assurance maladie

Le projet d'arrêté détaille les modalités de délivrance des cartes, et en
particulier les moyens mis en oeuvre pour recueillir la photographie.



Le titulaire bénéficiera par ailleurs d'un droit d'accès aux données figurant
dans la carte à partir des bornes de lecture des cartes ou auprès des caisses
d'assurance maladie. L'assuré pourra demander une copie papier des données
contenues dans la carte ; une fiche « reflet » lui sera alors remise. Cette
fiche « reflet », distincte de l'attestation de droits, a uniquement pour
finalité de permettre au bénéficiaire de connaître l'ensemble du contenu de sa
carte. Son usage sera strictement personnel. La commission estime en
conséquence que cette distinction devrait figurer à la suite du dernier alinéa
de l'article 7 du projet d'arrêté selon la rédaction suivante :

« Cette fiche reflet, dont l'usage est strictement personnel, est distincte de
l'attestation de droits utilisée dans les rapports avec les tiers et dont le
contenu peut être expurgé, à la demande du titulaire, des informations
relatives à la suppression ou la limitation de la participation de l'assuré. »

Le titulaire de la carte sera tenu de mettre à jour la carte Vitale après tout
changement des données figurant sur ou dans la carte d'assurance maladie. Il
disposera d'un délai d'un mois pour effectuer cette mise à jour lorsqu'il aura
été informé par l'organisme lui servant les prestations de la prise en compte
de son changement de situation. A défaut de mise à jour des données relatives
aux droits aux prestations et aux accidents du travail ou aux maladies
professionnelles, la carte sera temporairement inutilisable.

Même en l'absence de changement de situation, le titulaire de la carte devra
mettre à jour sa carte selon une fréquence annuelle à compter de la date
d'émission de celle-ci. A défaut, il ne pourra pas bénéficier de la dispense
d'avance de frais.

Afin de faire apparaître de façon précise les diligences qui incombent au
titulaire de la carte une nouvelle rédaction de l'article 8 est proposée en
concertation avec les services du ministère :

« Le titulaire de la carte d'assurance maladie est tenu d'effectuer ou de
faire effectuer sa mise à jour en cas de changement des données mentionnées à
l'article R. 161-33-1. A cette fin, il utilise les dispositifs techniques mis
à sa disposition ou se rend au guichet de sa caisse. Lorsqu'il a été informé
par l'organisme lui servant les prestations de la prise en compte de son
changement de situation, il dispose d'un délai d'un mois pour effectuer cette
mise à jour. A défaut de mise à jour des informations mentionnées aux b et e
du 2° de l'article R. 161-33-1, la carte ne peut plus être, temporairement,
utilisée.

Tout titulaire d'une carte d'assurance maladie est tenu de mettre à jour sa
carte selon une fréquence annuelle à compter de la date d'émission de
celle-ci. A défaut, il ne peut plus, temporairement, bénéficier de la dispense
d'avance des frais pour les prestations en nature de l'assurance maladie.
Toutefois, le titulaire qui, durant l'une des périodes de référence prévue
pour cette mise à jour, a déjà effectué une mise à jour en application du
précédent alinéa est dispensé d'effectuer la mise à jour annuelle au titre de
la période considérée. »



Sur les sécurités du dispositif SESAM Vitale :

Lors de la télétransmission des feuilles de soins électroniques, certaines des
données transmises bénéficient en principe d'un chiffrement fort. Ainsi le
code des médicaments (code CIP), les actes de biologie, le code LLP (liste des
produits et prestations), la classification commune des actes médicaux (CCAM),
le code justificatif d'exonération du ticket modérateur ainsi que le numéro du
prescripteur sont normalement chiffrés par un algorithme TDES. Par ailleurs,
le cahier des charges SESAM Vitale recommande un chiffrement du transport des
données (chiffrement SMTP S/MIME).

Toutefois, le fonctionnement de l'algorithme TDES et du chiffrement du
transport suppose l'installation sur le poste de travail du professionnel de
santé d'un logiciel SESAM Vitale 1.40 et la migration du lecteur de carte en
version 1.40.

Dans le cas contraire, les données sensibles sont simplement brouillées et le
chiffrement du transport n'est pas assuré.

La commission rappelle, de nouveau, que le simple brouillage des données ne
peut être admis et elle considère que l'intégration de la CCAM dans les
feuilles de soins électroniques renforce encore la nécessité d'un chiffrement
fort des données de santé.

Par ailleurs, si le chiffrement de transport n'est pas assuré, la commission
estime que la nouvelle version de SESAM Vitale doit prévoir un chiffrement du
numéro de sécurité sociale.

La fonctionnalité d'exportation mise en oeuvre dans le « logiciel VisuVitale
et les API de lecture » permet de copier les données figurant dans le
composant électronique de la carte Vitale 2 comme le NIR, le nom, la date de
naissance, l'adresse... « pour être intégrées dans un système de gestion
informatisée d'accueil des assurés ». La commission estime indispensable qu'il
ne soit pas techniquement possible de capter les données contenues dans la
carte en dehors d'un logiciel de prise en charge des soins.



Le président,

A. Türk


_____
Liste de diffusion d'informations relatives à l'informatique et aux libertés
Info, dés/abonnement : http://listes.samizdat.net/sympa/info/actus_l