Décret n° 2024-468 du 24 mai 2024

Le nouveau Décret n° 2024-468 du 24 mai 2024 définit les conditions d’utilisation des données contenues dans l’espace numérique de santé aux fins d’une prévention personnalisée de ses titulaires. Il ouvre la possibilité pour l’usager de communiquer des questionnaires de santé et de recevoir des informations de prévention sur son espace numérique de santé. 

Les données collectées en vue de la préparation des rendez-vous de prévention

En vue de la préparation des rendez-vous de prévention, le texte étend les catégories de données que le titulaire peut renseigner directement dans son ENS et auxquelles le professionnel de santé habilité pourra accéder.

Seules les données susceptibles d’avoir un impact sur la santé du titulaire de l’ENS, nécessaires à la mise en œuvre des mesures de prévention sanitaire et sociale mentionnées à l’article L. 1411-6-2 du CSP pourront être collectées à cette fin.

Le texte établit une liste exhaustive des catégories de données pouvant être collectées dans ce cadre. L’objectif d’améliorer la prévention sanitaire et sociale est légitime et les catégories de données prévues à cette fin sont pertinentes. Le ministère s’est engagé à ce que les titulaires de l’ENS soient invités à ne renseigner que des informations strictement pertinentes à la détermination de leur état de santé, notamment dans les zones de commentaires libres.

L’information des personnes

Lorsque le titulaire de l’ENS aura versé le questionnaire de santé dans le DMP, le professionnel de santé, consulté dans le cadre d’un rendez-vous de prévention, pourra alors y accéder, sauf opposition du titulaire.
Par ailleurs, le ministère a indiqué que les réponses associées au questionnaire enrichiront le profil médical du titulaire. Ce dernier pourra modifier ou supprimer à tout moment les données enregistrées et télécharger une synthèse de son profil médical afin de la déposer dans son DMP.

Le titulaire de l’ENS devra être clairement informé des conséquences associées, s’agissant notamment de la consultation de ces informations par les professionnels habilités, conformément à l’arrêté prévu à l’article L. 1411-7 du CSP et dans les conditions prévues par la matrice d’habilitation.

Le titulaire des catégories de professionnels de santé sera en capacité de lire, dans le respect de la matrice d’habilitation, les données qu’il aura librement renseignées dans son DMP, ainsi que des fonctionnalités de masquage ou de blocage qui sont mises à sa disposition.

Les données issues de toutes les composantes de l’ENS pourront être réutilisées en vue de l’élaboration et de l’envoi d’informations de prévention personnalisées au titulaire par la CNAM. Sont donc également concernées, outre les données des questionnaires de prévention, toutes les données pertinentes qui auraient été ajoutées par le titulaire dans son utilisation courante de l’ENS, soit directement, soit par le biais d’applications ou services disponibles au catalogue de l’ENS. Toutefois, le projet exclut l’utilisation des données issues de la messagerie sécurisée de santé, afin de respecter le principe de secret des correspondances.

Une information spécifique est mise à la disposition du titulaire de l’ENS sur les caractéristiques du traitement qui permet l’élaboration des messages de prévention personnalisés et sur son droit d’opposition. Le ministère s’est engagé à ce que les personnes concernées soient informées que la quasi-totalité des données contenues dans l’ENS pourront être réutilisées en vue de l’élaboration de messages de prévention personnalisés.

La CNIL recommande que, lorsqu’un message de prévention est envoyé à une personne, il soit clairement indiqué que ce message résulte d’un traitement algorithmique et non de l’analyse personnalisée d’un médecin. Le ministère s’est engagé à ce que les personnes concernées soient informées des modalités de conception des messages de prévention personnalisés et du fait qu’ils ne proviennent pas de leur professionnel de santé mais de leur caisse d’assurance maladie. A cette fin, chaque message qui sera envoyé contiendra un lien vers les mentions d’information adéquates et une interface dédiée et facilement accessible sera mise à disposition du titulaire de l’ENS.

L’accès aux données de l’ENS en vue de l’élaboration et l’envoi de messages de prévention personnalisés au titulaire

S’agissant du respect du secret médical :

– l’envoi des messages de prévention personnalisés n’implique l’accès d’aucune personne physique aux données contenues dans l’ENS ;
– les messages de prévention ne seront personnalisés que sur la base de règles de gestion préalablement définies ;
– aucun croisement avec des bases de données extérieures à l’ENS ne sera effectué ;
– les messages ne seront consultables que par le titulaire concerné de l’ENS, ou son représentant légal, à l’exclusion de toute autre personne.

Le dispositif envisagé n’autorisant aucun accès par une personne non autorisée ou habilitée par le CSP à des informations couvertes par le secret médical, la CNIL estime qu’il respecte le droit au respect de la vie privée et le secret médical tel que prévu par l’article L. 1110-4 du CSP.

Le décret autorise, lorsque la technique le permettra, l’envoi de messages de prévention particulièrement ciblés, grâce à des algorithmes voire, à terme, à l’intelligence artificielle. Dans cette perspective, la réception de messages très spécifiques, potentiellement anxiogènes, devra nécessairement être associée à des mesures humaines de contrôle et d’accompagnement des personnes concernées. De telles mesures sont susceptibles de porter atteinte au principe du secret médical et devront donc être prévues par la loi, le cas échéant.
Par ailleurs, les représentants légaux des titulaires mineurs ou de ceux bénéficiant d’une mesure de protection juridique avec représentation pourront, de fait, accéder aux messages de prévention.

Le ministère s’est engagé à modifier le décret afin de tenir compte des différents cas dans lesquels un accès à l’ENS est autorisé à une personne autre que le titulaire (professionnel ou représentant légal) par le CSP.

Le dispositif prévu par le projet de décret répond à la définition du profilage prévue à l’article 4 du RGPD, en ce qu’il constitue un traitement automatisé, effectué sur des données à caractère personnel, dont l’objectif est d’évaluer les aspects personnels du titulaire de l’ENS pour analyser ou prédire des éléments concernant sa santé

Dès lors, et bien que le ministère estime qu’« aucune décision produisant des effets juridiques à l’égard d’une personne ou l’affectant de manière significative ne peut être prise sur le seul fondement » du traitement mis en œuvre, il indique mettre en place les garanties supplémentaires suivantes :

– la transparence sur l’élaboration du contenu des messages de prévention reçus et sur le fonctionnement du traitement ;
– l’application d’une stricte proportionnalité des données traitées, pour chaque campagne de prévention ;
– une information des personnes quant aux modalités d’évolution de leur ENS ;
– le droit d’opposition du titulaire de l’ENS à l’utilisation de ses données à des fins de prévention, qui pourra intervenir à tout moment ;
– l’absence d’effets juridiques et d’incidence significative sur le titulaire du compte, les données du traitement n’étant jamais réutilisées à d’autres fins que l’envoi de messages de prévention.

Le ministère estime que ces conditions, qui seront satisfaites pour chaque campagne de prévention, permettront de s’assurer du respect des dispositions du RGPD.

Les aspects techniques et les mesures de sécurité

Dans la mesure où le texte prévoit l’interdiction d’accès aux données par des personnes physiques tierces dans le cadre du traitement envisagé, les responsables de traitement ont été interrogés sur les moyens prévus afin de vérifier que les messages générés seront envoyés aux bons destinataires. La CNAM a indiqué que des tests unitaires et d’intégration seraient réalisés au préalable suivant les règles de gestion déterminées pour chaque campagne. De plus, ces règles seraient, dans un premier temps, simples et limitées aux données présentes dans l’ENS, dont celles librement renseignées par le titulaire, sans aucune requête prévue sur les zones de saisie libre ou nécessitant le croisement de bases différentes.

Pour autant, interrogé sur les nombreuses catégories de données mobilisées par le nouvel alinéa 8°, le ministère a indiqué que le projet visait également à permettre le développement de campagnes à grande échelle basées sur l’ensemble des données de l’ENS et du DMP, y compris les documents qui y sont déposés.

A ce stade, l’analyse d’impact relative à la protection des données (AIPD) fournie à l’appui du texte ne traite pas les risques liés à un accès automatique et massif aux données de l’ENS et du DMP, ni les questions de tests d’algorithmes complexes, ni les risques liés aux traces d’activité qui seront collectées et traitées afin de suivre l’efficacité des campagnes.

La CNIL a donc invité le ministère à faire évoluer cette AIPD au fur et à mesure de l’évolution des campagnes et à s’interroger sur les éventuelles garanties supplémentaires à apporter au regard des risques éthiques, juridiques et techniques d’un profilage à grande échelle, basé sur des données de santé, mettant en œuvre des algorithmes complexes et susceptibles de recourir à des outils d’intelligence artificielle.

En particulier, il apparaît nécessaire de considérer tous les cas dans lesquels le système pourrait, par erreur, adresser un message à une personne hors cible, ce qui aurait pour effet de l’inquiéter, ou au contraire omettrait d’envoyer un message important à une personne à risque. A cet égard, il semble important que le destinataire d’un message puisse échanger avec un professionnel habilité à cette fin, y compris pour comprendre la raison de l’envoi de ce message. Dans cette hypothèse, le titulaire et le professionnel habilité devront avoir accès à un niveau d’explicabilité adapté aux moyens utilisés pour le ciblage.

A cet égard, la CNAM et le ministère ont indiqué que les traitements envisagés ne remettront pas en cause les mesures techniques actuelles de protection des données de l’ENS et du DMP, qui ont été rappelées, en particulier le chiffrement individuel au repos du DMP de chaque titulaire et le déchiffrement ponctuel dans un espace de traitement sécurisé.

De plus, la CNAM et le ministère se sont engagés à inclure dans l’AIPD de l’ENS, pour chaque campagne de prévention, des éléments spécifiques permettant de vérifier la conformité de la campagne envisagée et de prendre les mesures adaptées au cas par cas.

La CNIL a pris acte, et a invité le ministère à compléter le projet de décret pour prévoir que les responsables conjoints du traitement mettront à jour l’AIPD avant chaque nouvelle campagne de prévention. Cette analyse devra notamment permettre de s’assurer qu’aucune décision au sens de l’article 22 du RGPD ne découle des messages générés et de mettre en place les mesures adaptées aux risques.