Tout savoir sur le décret « cadre NIR » dans le champ de la santé
Le législateur encadre précisément l’utilisation du numéro d’inscription des personnes (NIR) au répertoire national d’identification des personnes physiques (RNIPP), en raison de la sensibilité particulière de cette donnée. Le décret « cadre NIR » définit les catégories de responsables de traitements concernés et les finalités des traitements pour lesquels l’utilisation du NIR est autorisée, notamment dans le champ de la santé.
Comment appliquer les nouvelles dispositions du décret « cadre NIR » aux traitements de données de santé ?
Toute collecte du NIR dans un traitement de données personnelles de santé, qui n’entrerait pas dans les finalités de traitement et/ou qui ne concernerait pas les catégories de responsables de traitement visées par le décret « cadre NIR », est en principe interdite.
Par exception, les traitements de données personnelles, fondés sur l’intérêt public ou mis en œuvre à des fins de recherche, d’étude ou d’évaluation ne sont pas concernés par les dispositions du décret « cadre NIR ». Exemple : une recherche médicale nécessitant un appariement au Système national des données de santé (SNDS) sur la base du NIR.
Pour ces traitements, la collecte du NIR n’est pas interdite. Elle doit être validée par la CNIL dans le cadre de l’examen de la demande d’autorisation adressée par l’organisme responsable de traitement préalablement à la mise en œuvre de son traitement.
Pour en savoir plus, voir la fiche pratique « Quelles formalités pour les traitements de données personnelles de santé ? »
Finalités des traitements | Acteurs | Précisions |
---|---|---|
Pour l'opération de référencement des données de santé au moyen du NIR utilisé en tant qu'identifiant national de santé (NIR-INS) dans le cadre de la prise en charge des personnes à des fins sanitaires et médico-sociales. |
|
Un référentiel, pris sous la forme d’un arrêté pris après avis de la CNIL, doit préciser les conditions juridiques et techniques exigées pour le référencement des données de santé via le NIR. Ce référentiel n’est pas encore paru.
|
Pour la mise en œuvre du dossier médical partagé. |
la Caisse nationale de l'assurance maladie des travailleurs salariés (CNAMTS). |
En application des dispositions des articles L. 1111-14 et R.1111-33 du CSP, l'identifiant du dossier médical partagé est le NIR utilisé comme INS. |
Pour la mise en œuvre du dossier pharmaceutique. |
Le Conseil national de l’ordre des pharmaciens. |
Conformément aux dispositions de l’article R.1111-20-1 du CSP, l’identifiant du dossier pharmaceutique est le NIR utilisé comme INS. |
Pour les remontées d'informations nominatives vers les organismes d'assurance maladie. |
L'Agence technique de l'information sur l'hospitalisation (ATIH). |
|
Pour les opérations liées à la facturation et à la prise en charge financière des dépenses de santé. |
Les professionnels, institutions, structures ou établissements, ainsi que leurs groupements, qui dispensent à des assurés sociaux ou à leurs ayants droit des actes ou prestations pris totalement ou partiellement en charge par l'assurance maladie, y compris les comptables publics attachés le cas échéant à ces établissements. |
Le terme de « professionnels » vise notamment les professionnels de santé exerçant à titre libéral, tels que les médecins, les sages-femmes, les infirmiers, les pharmaciens, etc. |
Pour les opérations liées à la facturation et à la prise en charge financière de dépenses relatives aux actes de télémédecine. |
|
Parmi les personnes concourant à l’activité de télémédecine, auxquelles s’impose en raison de leurs fonctions l’obligation de secret professionnel, l’on peut citer les fournisseurs de solutions techniques. |
Pour la constitution de fichiers de personnes invitées aux programmes de dépistage des cancers et pour la gestion de ceux-ci |
Les caisses d'assurance maladies participantes. | |
Pour l'identification des professionnels intervenant dans le système de santé aux fins de fiabiliser, par consultation du RNIPP, les données du répertoire partagé de ces professionnels. |
Le groupement d'intérêt public chargé du développement des systèmes d'information de santé partagés (Agence française de la santé numérique - future agence du numérique en santé). | |
Pour sa mission de centralisation, d'exploitation et de conservation des informations relatives à la surveillance de l'exposition des travailleurs aux rayonnements ionisants et à leur suivi médical . |
||
Pour la gestion et le suivi des alertes sanitaires. |
L'Agence nationale de santé publique (Santé publique France) Les organismes ou les services chargés d'une mission de service public figurant sur une liste fixée par arrêté conjoint des ministres chargés de la santé et de la sécurité sociale, pris après avis de la Commission nationale de l'informatique et des libertés. |
Mon organisme et/ou la finalité de mon traitement de données de santé ne figurent pas dans le décret « cadre NIR » : est-il possible d’effectuer une formalité auprès de la CNIL pour utiliser le NIR ?
Mon organisme et la finalité de mon traitement sont visés dans le décret « cadre NIR » : le décret constitue-il une autorisation pour mettre en œuvre mon traitement ?
Mon organisme et la finalité de mon traitement sont visés dans le décret : une AIPD est-elle obligatoire ?
Étude, évaluation et recherche médicale : quelles sont les démarches pour un traitement de données de santé comportant le NIR ?
Le décret « cadre NIR » s’applique-t-il aussi à la consultation du RNIPP ?
Le décret « cadre NIR » concerne-t-il uniquement la santé ?
Un responsable de traitement visé par le décret « cadre NIR » peut-il recourir à un prestataire extérieur pour la collecte du NIR pour son compte ?
Les textes de référence
- Décret n° 2019-341 du 19 avril 2019 relatif à la mise en œuvre de traitements comportant l'usage du numéro d'inscription au répertoire national d'identification des personnes physiques ou nécessitant la consultation de ce répertoire
- Article 30 de la loi « Informatique et Libertés »
- Délibération n° 2019-029 du 14 mars 2019 portant avis sur un projet de décret pris pour application de l’article 22 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés