En application de la loi du 26 janvier 2016 de modernisation de notre système de santé(1), un décret encadre l’utilisation du numéro d’inscription au répertoire national d’identification des personnes physiques (NIR) – plus communément appelé « numéro de sécurité sociale » – comme identifiant national de santé (INS) dans le secteur sanitaire et médico-social. Il précise aussi le rôle de la Caisse nationale d’assurance maladie (CNAM), chargée de mettre en œuvre les services de consultation permettant aux professionnels, services et structures concernés d’accéder au NIR. Le décret limite ainsi strictement les organismes et les finalités de l’utilisation de l’INS, ce qui « constitue une garantie importante », estime la Commission nationale de l’informatique et des libertés (CNIL) dans un avis rendu sur le projet de texte, ajoutant qu’il est important que « l’extension de l’utilisation du NIR comme identifiant, au-delà des cas déjà admis, [soit] cantonnée à la sphère sanitaire et médico-sociale ».
L’identifiant national de santé est le numéro d’inscription au NIR ou le numéro identifiant d’attente attribué par la Caisse nationale d’assurance vieillesse pour les personnes en instance d’attribution du NIR. Aucun autre identifiant ne peut être utilisé, sauf en cas d’impossibilité de pouvoir accéder à l’INS, afin que l’absence de ce dernier n’empêche pas la prise en charge sanitaire et médico-sociale des personnes.
L’INS ne peut être utilisé que pour référencer les données de santé et les données administratives de personnes bénéficiant ou ayant vocation à bénéficier d’un acte de prévention, diagnostique, thérapeutique, de soulagement de la douleur, de compensation du handicap ou de prévention de la perte d’autonomie, ou d’actions nécessaires à la coordination de plusieurs de ces actes. La CNIL se dit « particulièrement vigilante à ce qu’aucun élargissement de cet usage n’intervienne à l’avenir ».
Pour pouvoir utiliser ces données dans le cadre d’un traitement de données à caractère personnel, ce dernier doit :
→ avoir une finalité exclusivement sanitaire ou médico-sociale, y compris les fonctions nécessaires pour assurer le suivi social ou la gestion administrative des personnes prises en charge ;
→ respecter les dispositions de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
Le décret indique que le droit d’opposition ne s’applique pas aux traitements de données à caractère personnel ayant pour seul objet le référencement des données à l’aide de l’INS.
Le référencement des données à l’aide de l’INS ne peut être réalisé que par des professionnels, établissements, services et organismes mentionnés à l’article L. 1110-4 du code de la santé publique et des professionnels constituant une équipe de soins et intervenant dans la prise en charge sanitaire ou médico-sociale de la personne concernée.
Pour procéder au référencement des données, ils doivent accéder au NIR en utilisant la « carte Vitale » de la personne. Lorsque cette carte n’est pas accessible ou ne comporte pas l’information, ils y accèdent au moyen des services de recherche et de vérification de l’INS mis en œuvre par la CNAM.
Les professionnels, établissements, services et organismes concernés doivent se mettre en conformité avec l’ensemble des conditions d’utilisation du numéro de sécurité sociale en tant qu’INS avant le 1er janvier 2020.
Le décret prévoit l’élaboration d’un référentiel technique afin, selon la CNIL, d’encadrer la mise en œuvre du NIR comme identifiant national de santé par des « mesures de sécurité effectives », « compte tenu des risques sur la vie privée et de l’élargissement substantiel du nombre d’organismes et de personnes amenées à traiter du NIR dans ce contexte ». Publié au plus tard le 31 mars 2018, ce référentiel devra définir :
→ les modalités de mise en œuvre de l’obligation d’utilisation de l’identifiant national de santé ;
→ les procédures de surveillance et de gestion des risques et erreurs liés à l’identification des personnes prises en charge devant être mises en œuvre par les professionnels, établissements, services et organismes ;
→ les mesures de sécurité applicables aux opérations de référencement de données à caractère personnel.
Jusqu’à la publication du référentiel, toute utilisation de l’INS dans les traitements de données à finalité exclusivement sanitaire ou médico-sociale doit être notifiée à la CNIL.