Publié le 10 octobre 2019 au Journal officiel, un décret a modifié les dispositions relatives à l’utilisation du numéro d’inscription au répertoire (NIR) en tant qu’identifiant national de santé (INS), pour les mettre en conformité avec la loi n°78-17 du 6 janvier 2018 modifiée relative à l’informatique, aux fichiers et aux libertés, dans sa rédaction résultant de l’ordonnance n°2018-1125 du 12 décembre 2018.
Les articles R. 1111-8-1 à R. 1111-8-7 du code de la santé publique en ont ainsi été modifiés.
Qu’est-ce que le NIR et l’INS ?
Plus communément appelé numéro de sécurité sociale (ou numéro INSEE), le NIR correspond au numéro d’inscription au répertoire national d’identification des personnes physiques (RNIPP). Composé de 15 chiffres, il est attribué lors de l’inscription au RNIPP de toutes les personnes nées en France.
Il est utilisé depuis l’année 2017 comme identifiant national de santé (INS) des personnes, pour leur prise en charge dans le champ sanitaire et médico-social, dans les conditions prévues à l’article L.1110-4 du code de la santé publique.
Quels sont les apports du décret ?
Avant l’entrée en vigueur du texte, c’est le décret n° 2017-412 du 27 mars 2017 qui impartissait aux acteurs de la santé (professionnels, établissements, services et organismes) un délai jusqu’au 1er janvier 2020 pour utiliser le numéro NIR comme INS. Désormais, et c’est le premier apport du texte, cette obligation est reportée d’une année, avec une date butoir au 1er janvier 2021.
En deuxième lieu, le décret s’aligne sur la loi Informatique et Liberté, révisée en juin 2018, suite à l’entrée en vigueur du RGPD (Règlement général européen relatif à la protection des données personnelles), en précisant la finalité du recours à l’INS, laquelle constitue une donnée personnelle et protégée par la Cnil (Commission Nationale des Informations et Libertés).
Si l’INS visait uniquement à « référencer les données de santé et les données administratives de toute personne bénéficiant ou appelée à bénéficier d’un acte diagnostique, thérapeutique, de prévention, de soulagement de la douleur, de compensation du handicap ou de prévention de la perte d’autonomie, ou d’interventions nécessaires à la coordination de plusieurs de ces actes » (R. 1111-8-2, code de la santé publique), il peut désormais être utilisé à des fins de recherche autorisée dans les conditions prévues au titre II de la loi Informatique et Liberté.
En troisième lieu, le nouveau texte renforce les règles de sécurité entourant l’accès à l’INS, en réécrivant l’article R.1111-8-6 du Code de la santé publique : il est ainsi prévu que des téléservices, mis en œuvre par la Caisse nationale de l’Assurance maladie (Cnam), permettent aux professionnels, établissements, services ou organismes d’accéder au NIR, et de « vérifier son exactitude » dans le respect d’un référentiel devant être publié d’ici la fin de l’année civile.
Par ailleurs, le recours de principe aux téléservices est désormais systématisé, sauf en cas « d’indisponibilité », ou de « motif légitime » invoqué par les professionnels.
Le décret ajoute que le recours aux téléservices n’exonère pas les professionnels, établissements, services ou organismes « de mettre en place toute procédure de surveillance, de correction et de prévention des erreurs relevant de l’organisation de la prise en charge des personnes et concourant à la maîtrise du risque d’erreur dans l’identification des personnes ».
En résumé, le nouveau texte définit les modalités de mise en œuvre de l’obligation d’utilisation de l’INS, précise les procédures de surveillance et de gestion des risques et erreurs liées à l’identification des personnes prises en charge devant être mis en œuvre par les professionnels, établissements, services et organismes, ainsi que les mesures de sécurité applicables aux opérations de référencement de données à caractère personnel concernées.
En effet, des mesures de sécurité doivent être suffisantes pour éviter que l’INS ne soit diffusé plus que nécessaire à des fins détournées, et c’est bien le risque ici ! La Cnil semble en avoir pris conscience, en demandant que soient détaillées, dans l’analyse d’impact relative à la protection des données, « les mesures de sécurité conséquentes » devant être mises en œuvre en la matière.
L’auteure
Me Noémie Mandin-Lafond
Selarl Yahia Avocats