Délibération CNIL « Répertoire partagé des professionnels de santé » (RPPS)
1. Commission nationale de l’informatique et des libertés
Délibération no
2015-336 du 17 septembre 2015 portant avis sur un projet d’arrêté modifiant
l’arrêté du 6 février 2009 modifié portant création d’un traitement de données à caractère
personnel dénommé « Répertoire partagé des professionnels de santé » (RPPS) (demande
d’avis no
1221003v2)
NOR : CNIX1523806X
La Commission nationale de l’informatique et des libertés,
Saisie par la ministre des affaires sociales, de la santé et des droits des femmes d’une demande d’avis concernant
un projet d’arrêté modifiant l’arrêté du 6 février 2009 modifié portant création d’un traitement de données à
caractère personnel dénommé « Répertoire partagé des professionnels de santé » (RPPS),
Vu la convention no
108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement
automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des
personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces
données ;
Vu le code de la santé publique, notamment ses articles L. 1453-1, L. 5311-1 et D. 4113-118 ;
Vu le code de la sécurité sociale, notamment ses articles R. 161-53 et R. 161-54 ;
Vu la loi no
78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment
son article 27-II (1o
) ;
Vu la loi no
78-753 du 17 juillet 1978 relative à la liberté d’accès aux documents administratifs et à la
réutilisation des informations publiques, notamment le chapitre II relatif à la réutilisation des informations
publiques ;
Vu le décret no
2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi no
78-17 du 6 janvier 1978
relative à l’informatique, aux fichiers et aux libertés ;
Vu l’arrêté du 6 février 2009 modifié portant création d’un traitement de données à caractère personnel
dénommé « Répertoire partagé des professionnels de santé » ;
Vu le dossier et ses compléments ;
Sur la proposition de M. Loïc HERVE, commissaire, et après avoir entendu les observations de M. Jean-
Alexandre SILVY, commissaire du Gouvernement,
Emet l’avis suivant :
La commission a été saisie, le 3 septembre 2015, par la ministre des affaires sociales, de la santé et des droits des
femmes d’une demande d’avis concernant un projet d’arrêté modifiant l’arrêté du 6 février 2009 modifié portant
création d’un traitement de données à caractère personnel dénommé « Répertoire partagé des professionnels de
santé » (RPPS).
Ce projet d’arrêté (ci-après « le projet ») est pris en application de l’article D. 4113-118 du code de la santé
publique.
Le RPPS est un outil d’identification unique et pérenne des professionnels de santé quel que soit leur mode
d’exercice. Sa mise en œuvre est confiée à l’Agence nationale des systèmes d’information partagés de santé (ASIP
Santé), en application des dispositions de l’article D. 4113-118 précité.
A ce jour, ce répertoire comporte les données d’identification des médecins, chirurgiens-dentistes, sages-femmes
et pharmaciens, fournies et certifiées par leurs ordres professionnels respectifs et par le service de santé aux armées.
Il a vocation à recueillir, à terme, les informations concernant l’ensemble des professionnels intervenant dans le
système de santé, soumis à une obligation légale d’enregistrement du titre ou diplôme sanctionnant leur formation.
Le projet soumis à la commission a pour objet de rendre librement accessibles l’ensemble des données
communicables au public, non seulement en consultation, mais également en extraction.
Afin de fiabiliser les informations figurant dans le RPPS, une consultation du répertoire national d’identification
des personnes physiques (RNIPP) est nécessaire. Dans la mesure où cette consultation du RNIPP n’inclut pas le
numéro d’inscription à ce répertoire, le RPPS relève des dispositions de l’article 27-II (1o
) de la loi du
6 janvier 1978 modifiée (ci-après « Loi informatique et libertés »). En outre, l’article D. 4113-118 précité renvoie à
un arrêté pris après avis de la CNIL la définition des caractéristiques du RPPS.
Sur les finalités du traitement :
La commission prend acte de ce que le projet ne modifie pas les finalités poursuivies par le RPPS.
Sur les catégories de données à caractère personnel enregistrées :
La commission prend acte de ce que le projet ne modifie pas les catégories de données à caractère personnel déjà
enregistrées dans le RPPS.
14 octobre 2015 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 84 sur 122
2. Sur la durée de conservation des données :
La commission prend acte de ce que le projet ne modifie pas les durées de conservation des données du RPPS.
Sur la liste des données communicables au public :
L’article 5 (4o
) de l’arrêté RPPS en vigueur prévoit que les données actives suivantes sont « communicables au
public » :
– le numéro RPPS ;
– les noms et prénoms d’exercice ;
– la profession exercée ;
– les qualifications et titres professionnels correspondant à l’activité exercée ;
– les coordonnées des structures d’exercice ainsi que leurs identifiants FINESS et SIREN.
Cette liste de données communicables n’est pas modifiée par le projet et n’appelle pas d’observation de la part de
la commission.
Sur les données librement accessibles au public :
L’article 6 de l’arrêté RPPS en vigueur prévoit que « les données communicables au public, au sens du 4o
de
l’article 5, sont librement accessibles en consultation et en extraction sous forme électronique par le public au
moyen d’un service de communication mis en œuvre par l’organisme gestionnaire du répertoire, à l’exception des
coordonnées professionnelles et des coordonnées des structures d’exercice qui ne sont accessibles qu’en
consultation ».
L’article 6 du projet soumis à la commission supprime l’exception précitée et prévoit désormais que « les
données communicables au public, au sens du 3o
de l’article 5, sont librement accessibles en consultation et en
extraction sous forme électronique par le public au moyen d’un service de communication mis en œuvre par
l’organisme gestionnaire du répertoire ».
Le ministère indique qu’il souhaite rendre librement accessibles les coordonnées professionnelles et les
coordonnées des structures d’exercice, non seulement en consultation, mais également en extraction.
Il précise que les acteurs, initialement réticents à l’ouverture de l’accès en extraction aux coordonnées
professionnelles et à celles des structures d’exercice, n’étaient désormais plus opposés à un élargissement de
l’accès à ces données.
La commission en prend acte mais relève que le nouvel article 6 vise les données communicables au public « au
sens du 3o
de l’article 5 ». Or, cet article 5 (3o
) de l’arrêté en vigueur définit la notion d’historique des données mais
ne précise pas la liste des données communicables au public. Cette liste est prévue à l’article 5 (4o
) de l’arrêté en
vigueur auquel il paraît plus opportun de renvoyer.
La commission prend également acte de ce que la mise à disposition en extraction des données communicables
au public tend à permettre aux acteurs qui en ont besoin de vérifier plus aisément les informations utiles des
professionnels, sans recourir à des fichiers de nature commerciale.
Elle estime que la modification introduite par l’article 6 du projet apparaît conforme à l’objectif poursuivi par le
RPPS consistant à fournir des données d’identification fiables et à permettre la mise à disposition du public des
données communicables au sens de l’article 5 (4o
) de l’arrêté en vigueur.
Par ailleurs, les coordonnées de professionnels constituent des données à caractère personnel au sens de
l’article 2 de la Loi informatique et libertés, y compris, comme en l’espèce, lorsqu’elles sont publiquement
disponibles. La commission rappelle que les personnes concernées doivent pouvoir valablement exercer les droits
qui leur sont reconnus par la loi précitée, notamment ceux prévus aux articles 38 et 39 de cette même loi.
Elle rappelle, en outre, que la réutilisation des données enregistrées dans le RPPS doit s’effectuer dans des
conditions conformes au chapitre II de la loi no
78-753 du 17 juillet 1978 portant diverses mesures d’amélioration
des relations entre l’administration et le public et diverses dispositions d’ordre administratif, social et fiscal, dite loi
« CADA », relatif à la réutilisation des informations publiques.
Etant donnée la modification envisagée, et par souci de clarté pour les utilisateurs, la commission suggère que le
nouvel article 8 de l’arrêté RPPS précise que la rediffusion des données devra être effectuée dans des conditions
conformes à la loi CADA visée par le projet.
Sur les destinataires ou catégories de destinataires habilités à recevoir communication des données :
La commission prend acte de ce que le projet ne modifie pas la nature des destinataires ou catégories de
destinataires habilités à recevoir communication des données enregistrées dans le RPPS.
Sur la rediffusion des données du RPPS :
L’article 8 de l’arrêté RPPS en vigueur prévoit que « seuls les utilisateurs mentionnés du 1o
au 7o
de l’article 7
peuvent rediffuser :
– les données communicables au public, en consultation ;
– les autres données, à l’exclusion de celles relatives à la nationalité et aux périodes pendant lesquelles le
professionnel fait l’objet d’une mesure de suspension ou d’interdiction d’exercice, en consultation et en
extraction, en fonction de leurs missions.
Les utilisateurs mentionnés au 17o
de l’article 7 peuvent également rediffuser les données communicables au
public, en consultation, dans le cadre de l’application de l’article L. 1453-1 du code de la santé publique. »
14 octobre 2015 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 84 sur 122
3. La commission relève que l’article 8 du projet soumis à son examen complète les dispositions précitées en
précisant que les utilisateurs mentionnés du 1o
au 7o
de l’article 7 peuvent rediffuser les données communicables au
public, non seulement en consultation, mais également en extraction.
Elle prend acte de ce que cette modification résulte des modifications susmentionnées apportées à l’article 6 de
l’arrêté RPPS en vigueur tendant à rendre l’ensemble des données communicables au public librement accessibles
en consultation et en extraction.
En application des dispositions de l’alinéa 1er
de l’article 13 de la loi CADA précitée, « les informations
publiques comportant des données à caractère personnel peuvent faire l’objet d’une réutilisation dès lors que la
personne intéressée y a consenti, ou si l’autorité détentrice est en mesure de les rendre anonymes ou, à défaut
d’anonymisation, si une disposition législative ou réglementaire le permet ».
La commission prend acte de ce que l’arrêté RPPS en vigueur prévoit expressément la rediffusion des données
enregistrées dans le RPPS.
Elle rappelle en outre, conformément aux dispositions de l’article 13, alinéa 2, de la loi CADA précitée, que la
réutilisation d’informations publiques comportant des données à caractère personnel est subordonnée au respect
des dispositions de la Loi informatique et libertés.
Sur l’information des personnes concernées :
La commission relève que ni l’arrêté en vigueur ni le projet ne comportent de dispositions particulières
concernant l’information des personnes dont les données à caractère personnel sont traitées.
Outre l’information par voie de publication de l’arrêté au Journal officiel de la République française, le ministère
a indiqué que les personnes concernées seraient informées par voie d’affichage sur les sites internet, les revues
internes et les formulaires des autorités d’enregistrement des professionnels.
La commission en prend acte.
Sur les droits d’accès et de rectification des personnes concernées :
La commission prend acte de ce que le projet ne modifie pas les dispositions de l’arrêté RPPS en vigueur
relatives aux droits d’accès, de rectification et d’opposition.
Sur la sécurité des données et la traçabilité des actions :
La commission prend acte de ce que le projet n’emporte aucune modification de l’architecture technique du
RPPS.
Pour la présidente :
La vice-présidente déléguée,
M.-F. MAZARS
14 octobre 2015 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 84 sur 122