La Commission nationale de l'informatique et des libertés,
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée le 6 août 2004, notamment son article 27-II (1°) ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié le 25 mars 2007 ;
Vu le code de la santé publique, notamment ses articles D. 4113-116 et D. 4221-22 ;
Vu le code de la sécurité sociale, notamment ses articles R. 161-53 et R. 161-54 ;
Vu le projet d'arrêté du ministre de la santé, de la jeunesse et des sports portant création d'un traitement de données à caractère personnel dénommé « Répertoire partagé des professionnels de santé » (RPPS) ;
Sur le rapport de M. de Longevialle, commissaire, et les observations de Mme Pascale Compagnie, commissaire du Gouvernement,
Emet l'avis suivant :
La commission a été saisie, le 29 février, par le ministre de la santé, de la jeunesse et des sports, d'un projet d'arrêté portant création d'un traitement de données à caractère personnel dénommé « Répertoire partagé des professionnels de santé » (RPPS).
Cet arrêté sera pris en application d'un décret qui fixe les modalités d'application des dispositions issues de l'ordonnance n° 2003-850 du 4 septembre 2003 portant simplification de l'organisation et du fonctionnement du système de santé et de l'ordonnance n° 2005-1040 du 26 août 2005 relative à l'organisation de certaines professions de santé et à la répression de l'usurpation de titres et de l'exercice illégal de ces professions qui ont introduit dans le code de la santé publique une série de mesures visant à simplifier et unifier les procédures d'enregistrement et autres démarches administratives auxquelles sont astreints les professionnels de santé ainsi que les règles de diffusion des listes des professionnels de santé inscrits aux tableaux.
Le traitement de données à caractère personnel dénommé « Répertoire partagé des professionnels de santé » entre dans le champ d'application du II (1°) de l'article 27 dans la mesure où il requiert une consultation du répertoire national d'identification des personnes physiques (RNIPP) sans inclure le numéro d'inscription à ce répertoire.
La commission a d'ores et déjà eu l'occasion de se prononcer, lors de sa séance du 10 juillet 2007, sur la mise en œuvre par le groupement d'intérêt public « Carte de professionnel de santé » (GIP-CPS) d'un traitement ayant pour finalité la constitution du répertoire partagé des professionnels de santé (RPPS) (délibération n° 2007-189).
A l'occasion de l'instruction de ce dossier, les services de la commission avaient attiré l'attention du ministère sur la nécessité de prévoir un fondement juridique pour la gestion du RPPS par le groupement d'intérêt publique « Carte de professionnel de santé » (GIP-CPS). Le présent projet d'arrêté a notamment pour objet de désigner le GIP-CPS comme maître d'œuvre du répertoire.
Le présent projet d'arrêt soumis à la commission énumère les finalités du traitement de données à caractère personnel dénommé « Répertoire partagé des professionnels de santé » : permettre d'identifier les professionnels de santé, suivre leur exercice, contribuer aux procédures de délivrance et de mise à jour des cartes de professionnel de santé, permettre la réalisation d'études et de recherches anonymisées, mettre certaines données à disposition du public.
Ce répertoire est constitué et géré par le GIP-CPS pour le compte de l'Etat, des quatre ordres professionnels, de la Caisse nationale d'assurance maladie des travailleurs salariés et pour ses propres besoins.
Les données à caractère personnel enregistrées dans le RPPS concernant les médecins, chirurgiens-dentistes, sages-femmes et pharmaciens sont relatives :
― à l'identité du professionnel de santé : noms de famille et d'usage, prénoms, l'identifiant RPPS, la date et le lieu de naissance, la date de décès, la nationalité ;
― aux diplômes, attestations et autorisations ;
― à l'exercice de la profession dont éventuellement aux langues parlées ;
― aux qualifications, titres et exercices professionnels particuliers ;
― aux activités et structures d'exercice ;
― à la carte de professionnel de santé.
Le projet d'arrêté détaille les destinataires des données ainsi que les organismes appelés à alimenter le RPPS :
― les services du ministère chargé de la santé et les autorités chargées de la santé ainsi que les représentants de l'Etat dans les collectivités d'outre-mer ;
― le service de santé des armées et les autres autorités employeurs des professionnels mentionnés aux articles L. 4112-6 et L. 4222-7 du code de la santé publique ;
― les conseils des ordres professionnels ;
― la Caisse nationale de l'assurance maladie des travailleurs salariés et les régimes d'assurance maladie des collectivités d'outre-mer ;
― les caisses primaires d'assurance maladie et les caisses générales de sécurité sociale dans les départements d'outre-mer ;
― le GIP-CPS ;
― chaque professionnel, pour les données le concernant ;
― les services de l'Etat amenés à devoir connaître, dans l'exercice de leurs missions, des conditions d'exercice des professionnels de santé ;
― les établissements et services de santé relevant de la sixième partie du code de la santé publique ainsi que les collectivités territoriales et associations gestionnaires d'un service sanitaire ou social ;
― les établissements médico-sociaux ou sociaux ;
― les établissements publics, groupements et autres organismes créés par la loi ou le règlement dans le domaine sanitaire et social ;
― les hébergeurs de données de santé à caractère personnel agréés et les éditeurs et imprimeurs d'ordonnances mentionnées à l'article R. 5132-5 du code de la santé publique ;
― les organismes et établissements scientifiques ayant pour mission d'agir pour le développement et la diffusion des connaissances dans le domaine sanitaire et social ;
― les autres régimes d'assurance maladie obligatoire et les organismes complémentaires d'assurance maladie.
Les conditions d'accès aux données du RPPS sont définies dans une annexe du projet d'arrêté.
Les droits d'accès et de rectification s'exercent auprès de l'organisme qui a recueilli et produit les données ;
Les données sont conservées jusqu'au 100e anniversaire du professionnel de santé. Cette durée est prolongée jusqu'au 30e anniversaire de sa cessation d'exercice si le professionnel a continué d'exercer au-delà de 70 ans.
Dans ces conditions, le projet d'arrêté n'appelle pas d'observation particulière au regard de la protection des données à caractère personnel.
Alex Türk
Source : JORF n°0034 du 10 février 2009