Délibération n° 2014-429 du 23 octobre 2014 portant avis sur un projet de décret en Conseil d'Etat autorisant les traitements de données à caractère personnel mis en œuvre par les organismes gestionnaires des régimes obligatoires de base de l'assurance maladie pour l'accomplissement de leurs missions en matière de prévention, d'indemnisation et de tarification des accidents du travail et maladies professionnelles (demande d'avis n° 14021842)
| Jurisdiction | France |
| Publication au Gazette officiel | JORF n°0082 du 8 avril 2015 |
| Record Number | JORFTEXT000030457010 |
| Date de publication | 08 avril 2015 |
| Court | COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTES |
| Enactment Date | 23 octobre 2014 |
La Commission nationale de l'informatique et des libertés,
Saisie par la ministre des affaires sociales, de la santé et des droits des femmes d'une demande d'avis concernant un projet de décret en Conseil d'Etat autorisant les traitements de données à caractère personnel mis en œuvre par les organismes gestionnaires des régimes obligatoires de base de l'assurance maladie pour l'accomplissement de leurs missions en matière de prévention, d'indemnisation et de tarification des accidents du travail et maladies professionnelles,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code rural et de la pêche maritime ;
Vu le code de la sécurité sociale ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-I (1°) ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Après avoir entendu M. Alexandre LINDEN, commissaire, en son rapport et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie le 28 juillet 2014, et par saisine rectificative le 10 octobre 2014, par la ministre des affaires sociales, de la santé et des droits des femmes d'une demande d'avis concernant un projet de décret en Conseil d'Etat (ci-après « le projet ») autorisant les traitements de données à caractère personnel mis en œuvre par les organismes gestionnaires des régimes obligatoires de base de l'assurance maladie pour l'accomplissement de leurs missions en matière de prévention, d'indemnisation et de tarification des accidents du travail et maladies professionnelles.
Ce projet vise à créer une catégorie de traitements de données à caractère personnel relevant des missions en matière d'accidents du travail et de maladies professionnelles de l'assurance maladie obligatoire (AMO) portant notamment sur le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) des assurés sociaux.
Ces traitements seront mis en œuvre par la Caisse nationale de l'assurance maladie des travailleurs salariés (CNAMTS), la Mutualité sociale agricole (MSA) et le régime social des indépendants (RSI).
Le projet soumis à la commission est pris en application de l'article 27-I (1°) de la loi du 6 janvier 1978 modifiée qui prévoit que « sont autorisés par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés », les traitements de données à caractère personnel mis en œuvre pour le compte d'une personne morale de droit public « qui portent sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques ».
Les articles R. 115-1 et suivants du code de la sécurité sociale (CSS) prévoient que « Les organismes et administrations chargés de la gestion d'un régime obligatoire de base de sécurité sociale et, le cas échéant, les organismes habilités par la loi ou par une convention à participer à la gestion de ces régimes » sont autorisés à utiliser le NIR. Ces dispositions précisent que « l'autorisation donnée à l'article R. 115-1 vaut exclusivement pour les traitements mis en œuvre dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 »pour des finalités au nombre desquelles ne figurent ni la gestion de la relation avec les bénéficiaires de la législation accidents du travail et maladies professionnelles, ni l'offre de téléservices.
Dès lors que ces traitements sont substantiellement différents de ceux qu'autorisent les dispositions réglementaires en vigueur, ils doivent être autorisés par décret en Conseil d'Etat pris après avis de la CNIL, en application de l'article 27-I (1°) précité.
Sur la dénomination et la finalité des traitements :
Le projet est relatif à la mise en œuvre de traitements de données à caractère personnel destinés à la prise en charge des victimes d'accidents du travail et des maladies professionnelles, à la tarification des cotisations des entreprises et au développement de la prévention.
L'article 1er du projet explicite le périmètre et les finalités des traitements mis en œuvre dans le cadre des activités précitées de l'assurance maladie.
Ces traitements ont vocation à permettre :
« 1° D'assurer la réception et l'enregistrement des informations utiles au traitement des certificats médicaux, des déclarations d'accidents de travail ou des déclarations de maladie professionnelle ;
2° D'assurer la gestion de la relation avec les bénéficiaires de la législation accidents du travail et maladies professionnelles, par courrier postal ou électronique, par messages téléphoniques, par services d'accueil téléphonique ou physique et par télé-services ;
3° D'assurer la tarification du risque accident du travail et maladies professionnelles et le...
Pour continuer la lecture
SOLLICITEZ VOTRE ESSAI