Au JO du 15 novembre 2020 a été publiée la délibération de la Commission nationale de l’informatique et des libertés (CNIL) n° 2020-108 du 5 novembre 2020 portant avis sur un projet de décret modifiant le décret n° 2020-551 du 12 mai 2020 relatif aux systèmes d’information mentionnés à l’article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire (demande d’avis n° 20018458).
.
Cet avis comprend des développements concernant les professionnels du secteur social et médico-social qui méritent d’être signalés, en ce qui concerne l’accès aux données des personnes prises en charge par l’établissement.
En effet, le ministère des solidarités et de la santé a indiqué que le décret avait pour objectif de répondre à des difficultés techniques dans l’utilisation du téléservice « Contact Covid » qui ne permettraient pas à l’ensemble des professionnels de santé, membres de l’équipe de soins au sens de l’article L. 1110-12 du Code de la santé publique, d’accéder au système d’information pour un même patient. Afin de pallier cette difficulté, la rédaction du projet de décret autorisait l’ensemble des professionnels de santé et des personnels habilités d’un établissement de santé, d’un établissement social ou d’un établissement médico-social à accéder aux données de l’ensemble des personnes qui y sont prises en charge, qu’ils soient membres de l’équipe de soins ou non.
Sur ce projet de décret, la CNIL a demandé :
- aux établissements la définition et la mise en oeuvre d’une politique de gestion des habilitations adéquate, afin que l’accès du personnel habilité soit strictement encadré et limité au regard des missions qui leurs sont confiées ;
- au ministère de prévoir des mesures techniques et/ou organisationnelles permettant de garantir que ces accès sont réalisés dans des conditions de sécurité appropriées.
Par ailleurs et de manière plus générale, la CNIL a rappelé que :
- l’article 3 du décret n° 2020-551 du 12 mai 2020, non modifié par le projet de décret soumis à son examen, selon lequel les personnes consultent ou enregistrent les données, « pour assurer les seules finalités mentionnées aux 1° à 3° du III de l’article 1er », « dans la limite de leurs besoins d’en connaître » ou « nécessaires à la réalisation du ou des tests pris en charge par l’assurance maladie » constitue un ensemble de garanties essentielles qui doivent notamment se traduire par des limitations d’accès paramétrées dans le système d’information et par des règles d’usage ;
- il est nécessaire de mettre en œuvre des mesures d’authentification fortes comportant plusieurs facteurs d’authentification conformément aux préconisations de la politique générale de sécurité des systèmes d’information de santé (PGSSI-S) et à ses propres recommandations concernant l’accès à des données de santé.
C’est sur la foi de cet avis qu’a été promulgué, au JO du même jour, le décret n° 2020-1385 du 14 novembre 2020 modifiant le décret n° 2020-551 du 12 mai 2020 relatif aux systèmes d’information mentionnés à l’article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire et complétant ses dispositions.