Retour aux articles

Identifiant national de santé des personnes physiques : renforcement des règles de sécurité

Public - Santé
10/10/2019
Un décret du 8 octobre 2019 modifie les dispositions relatives à l’utilisation du numéro d'inscription (NIR) au répertoire national d'identification des personnes physiques (RNIPP) en tant qu’identifiant national de santé (INS).

Le NIR comme INS : de quoi parle-t-on ?


Le NIR est le numéro d’inscription au répertoire national d’identification des personnes physiques (RNIPP), plus communément appelé numéro de sécurité sociale (ou numéro INSEE). Composé de 15 chiffres, il est attribué lors de l’inscription au RNIPP de toutes les personnes nées en France.
Depuis 2017 (D. n° 2017-412, 27 mars 2017, JO 29 mars), c’est ce numéro qui est utilisé comme identifiant national de santé (INS) des personnes (C. santé publ., art. R. 1111-8-1), pour leur prise en charge à des fins sanitaires et médico-sociales (C. santé publ., art. L. 1111-8-1), dans les conditions prévues à l’article L. 1110-4 du Code de la santé publique. Pour les personnes en instance d'attribution d'un NIR et jusqu'à l'attribution de ce numéro, l’INS est le numéro identifiant d'attente (NIA), attribué par la Caisse nationale d'assurance vieillesse des travailleurs salariés à partir des données de l’état civil (CSS, art. R. 114-26, 1°).
L’INS est une donnée personnelle et protégée en tant que telle. Plus précisément, cet identifiant est utilisé pour référencer les données de santé et les données administratives de toute personne bénéficiant ou appelée à bénéficier d'un acte diagnostique, thérapeutique, de prévention, de soulagement de la douleur, de compensation du handicap ou de prévention de la perte d'autonomie, ou d'interventions nécessaires à la coordination de plusieurs de ces actes (C. santé publ., art. R. 1111-8-2).
 

Les modifications apportées par le décret n° 2019-1036 du 8 octobre 2019


Le décret du 8 octobre 2019 retouche, à compter du 11 octobre 2019, certaines des dispositions réglementaires relatives à l’utilisation de l’INS, afin de les mettre en conformité avec la loi informatique et libertés (L. n° 78-17, 6 janv. 1978, JO 7 janv., mod.), dans sa rédaction résultant de l’ordonnance du 12 décembre 2018 (Ord. n° 2018-1125, 12 déc. 2018, JO 13 déc.).
 

Utilisation d’un autre identifiant que l’INS

Il est de principe que tout autre identifiant que le INS ne peut être utilisé « qu'en cas d'impossibilité de pouvoir accéder » à ce dernier, afin de ne pas empêcher la prise en charge sanitaire et médico-sociale des personnes (C. santé publ., art. R. 1111-8-1). La formulation de cette dérogation est affinée : tout autre identifiant ne peut être utilisé « pour le référencement des données de santé » qu’en cas d’impossibilité d’accès à l’INS.
 

Finalité de l’utilisation de l’INS

La finalité de l’utilisation de l’INS, prévue à l’article R. 1111-8-2 du Code de la santé publique est (re)précisée. Le principe est maintenu sans modification : elle ne peut avoir d'autre objet que ceux mentionnés au premier alinéa du texte et rappelés supra. L’exception est en revanche rétablie : l’alinéa 2 du texte visait en effet encore le II de l'article L. 1111-8-1 du Code de la santé publique, supprimé par l’ordonnance du 12 décembre 2018 (précitée). Il est à nouveau établi que le NIS ne peut avoir d'autre objet que ceux mentionnés au premier alinéa, « sauf traitement de l'identifiant de santé à des fins de recherche dans le domaine de la santé tel que mentionné au dernier alinéa de l'article 30 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, et autorisé dans les conditions prévues à la section 3 du chapitre III du titre II de la même loi ».
 

Sécurité de l’accès à l’INS

L’article R. 1111-8-6 du Code de la santé publique est complètement réécrit. Il prévoit désormais que des téléservices (mis en œuvre par la Caisse nationale de l'Assurance maladie) permettent aux professionnels, établissements, services ou organismes (mentionnés à C. santé publ., art. R. 1111-8-3) d'accéder au numéro d'inscription au répertoire national des personnes physiques et de vérifier son exactitude dans le respect du référentiel mentionné à l'article R. 1111-8-7 du même code.
L’alinéa 2 du texte dispose désormais : « le référencement des données de santé nécessite l'association de l'identifiant national de santé et d'éléments d'identité provenant du répertoire national d'identification des personnes physiques. Ces éléments d'identité sont précisés par le référentiel mentionné à l'article R. 1111-8-7 ». Il poursuit en prévoyant que la bonne association entre l’INS et les éléments d'identité est effectuée par les personnes chargées du référencement en application du premier alinéa à l'aide des téléservices d'accès ou de vérification, sauf en cas d'indisponibilité des téléservices ou motif légitime invoqué par ces personnes faisant obstacle à une association immédiate. Les téléservices comprennent plusieurs modalités d'accès, dont l'accès par lecture électronique de la carte vitale du bénéficiaire des actes (carte mentionnée à CSS, art. L. 161-31) ou d'autres modalités présentant des garanties équivalentes, définies dans le référentiel mentionné à l'article R. 1111-8-7.
Un 3e alinéa est ajouté, aux termes duquel le recours aux téléservices n'exonère pas les personnes susmentionnées de mettre en place toute procédure de surveillance, de correction et de prévention des erreurs relevant de l'organisation de la prise en charge des personnes et concourant à la maîtrise du risque d'erreur dans l'identification des personnes.
 

Référentiel INS

Plusieurs dispositions du décret du 8 octobre 2019 concernent le référentiel INS lui-même. Rappelons que ce dernier, établi conformément aux règles fixées à l'article L. 1110-4-1 du Code de la santé publique, a vocation à définir les modalités de mise en œuvre de l'obligation d'utilisation de l’INS (désormais « de référencement des données avec l’INS »), à préciser les procédures de surveillance et de gestion des risques et erreurs liés à l'identification des personnes prises en charge devant être mises en œuvre par les professionnels, établissements, services et organismes, ainsi que les mesures de sécurité applicables aux opérations de référencement de données à caractère personnel concernées.
Ce référentiel ayant été publié (version 0.4.0, sept. 2018), la rédaction de l’article 2 du décret du 27 mars (précité) est revue et simplifiée (les I, II, IV et V sont supprimés), avec un report d’une année de la date butoir de mise en conformité : les professionnels, établissements, services et organismes sont tenus de se mettre en conformité avec les dispositions des articles R. 1111-8-1 à R. 1111-8-7 du Code de la santé publique avant le 1er janvier 2021.
Source : Actualités du droit