TRAITEMENTS
DE DONNÉES
PERSONNELLES
OPÉRÉS PAR
L’ASSURANCE MALADIE
LES MISSIONS DE L’ASSURANCE MALADIE
06
01
Gestion relation PS et
Gestion des droits
établissements de santé
02
07
Exécution des prestations
Gestion relation empoyeur
08
03
Gestion de la délivrance
Contrôle des prestations
des soins et accompagnement
09
Accompagnement accès aux droits/aux soins
et gestion des interventions du service social
10
05
Situations d’urgence
Gestion relation assurés
ou de crise sanitaire
LES MISSIONS SUPPORTS
11
14
Gestion des recours,
Produits et services informatiques
contentieux et actions juridiques
12
15
Instances de gouvernance
Ressources humaines
et relation presse
13
16
Activités comptables
Moyens généraux
et financières contrôle de gestion
link to page 2
01 GESTION DES DROITS
Finalités
FICHE 1
FICHE 6
Gérer les immatriculations
Vérifier et contrôler les droits en maladie,
et les affiliations
maternité et paternité
FICHE 2
FICHE 7
Ouvrir, instruire et gérer les droits
Vérifier et contrôler
en maladie, maternité et paternité
les droits en AT/MP
FICHE 3
FICHE 8
Ouvrir, instruire et gérer les droits
Vérifier et contrôler
à la protection complémentaire
les droits en invalidité et décès
FICHE 9
FICHE 4
Gérer les droits en carte
Ouvrir, instruire et gérer
(physique ou dématérialisée),
les droits en AT/MP
leur délivrance et leur suivi
FICHE 5
Ouvrir, instruire et gérer
les droits en invalidité et décès
3
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2 link to page 3
01
GESTION DES DROITS - Fiche 1
Gérer les immatriculations et les affiliations
Sous-finalités
Fondements juridiques
• Acquérir, contrôler, traiter et enregistrer les informations utiles
• Article 6-1-c du RGPD : le traitement est nécessaire au respect
• Gérer les cas d’affiliations et immatriculations particulières
d’une obligation légale notamment :
(étudiants, travailleurs étrangers, etc.) ainsi que l’Aide médicale
− L. 111-2-2 sur l’affiliation à un régime obligatoire de sécurité
d’État (AME)
sociale
• Gérer les bénéficiaires dits transfrontaliers, en inter régimes
ou en poly-activités
• Communiquer les informations relatives à ces opérations aux
bénéficiaires
• Produire des statistiques, des indicateurs de pilotage et réaliser
des études et évaluations
Catégories de personnes concernées
Type de données
• Bénéficiaires de l’Assurance Maladie (ayant-droit/ouvrant-droit)
• Pour les bénéficiaires:
• Employeurs qui fournissent les informations nécessaires aux
− Données d’identification dont NIR ou NIA, nom, prénom, sexe, date,
immatriculations et affiliations
lieu de naissance ; photographie, nationalité si cette information est
nécessaire à l’application d’une convention bilatérale, ressortissant
• Agents de l’Assurance Maladie pour traces des actions dans les outils
UE, France, ou d’un pays non membre de l’UE
− Données relatives à la situation du bénéficiaire et aux pièces
justificatives de la résidence stable en France dont numéro de
pièce d’identité ou de titre de séjour, dates limites et nature du
titre de séjour, numéro AGDREF
− Données de contact dont adresse postale, n° de téléphone,
e-mail
− Données relatives aux droits et au rattachement dont régime
de rattachement ou organismes d’affiliation, complémentaire
santé, informations et justificatifs relatifs aux droits et aux
dispositifs d’accès aux soins, identifiants et rattachement aux
organismes d’allocations familiales
− Données concernant la situation professionnelle
− Données concernant la vie personnelle dont situation familiale
et composition du foyer, lien de parenté
• Pour les employeurs:
− Données d’identification dont nom, raison sociale, numéro
SIRET, coordonnées
• Pour les agents de l’Assurance Maladie
− Données de connexion et actions dans le système d’information
de l’Assurance Maladie
Destinataires des données
Personnes accédant aux données
• Les bénéficiaires eux-mêmes
• Tout agent de l’Assurance Maladie strictement habilité à accéder
• Le SANDIA (Service Administratif National D’Identification des
aux données dans le cadre de ses fonctions, dans le respect du
Assurés), service de la Cnav
principe du besoin d’en connaître
• Les régimes obligatoires sont destinataires des données
permettant l’exécution des prestations et le contrôle pour les
bénéficiaires qui leur sont affiliés.
• Les autorités publiques sont destinataires des données
statistiques agrégées et anonymisées.
4
LES MISSIONS DE L’ASSURANCE MALADIE
GESTION DES DROITS
link to page 2 link to page 3
01
GESTION DES DROITS - Fiche 1
Gérer les immatriculations et les affiliations
Durée de conservation
Droits des personnes concernées
• 3 ans après la fin de validité des droits
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs
à la transparence sur les traitements et sur les informations à
communiquer aux personnes concernées, les informations figurent
dans la politique générale de protection des données personnelles
présente sur ameli.fr.
• Les droits d’accès et de rectification s’exercent auprès du
directeur de la caisse de rattachement de la personne concernée
en contactant le DPO de la caisse.
Justification absence du droit d’opposition
Sécurité des données
• Obligation légale
• Les mesures techniques et organisationnelles sont définies dans
la PSSI-MCAS en application à la Cnam et dans les organismes.
• Elles concernent notamment la gestion des habilitations,
le contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures
opérationnelles.
5
LES MISSIONS DE L’ASSURANCE MALADIE
GESTION DES DROITS
link to page 2 link to page 3
01
GESTION DES DROITS - Fiche 2
Ouvrir, instruire et gérer les droits en maladie, maternité et paternité
Sous-finalités
Fondements juridiques
• Acquérir, contrôler, traiter et enregistrer les informations utiles
• Article 6-1-c du RGPD : le traitement est nécessaire au respect
pour les droits en maladie maternité et paternité
d’une obligation légale notamment :
• Réaliser les opérations nécessaires au transfert et mutations
− L. 111-2-2 sur l’affiliation à un régime obligatoire de sécurité sociale
en maladie maternité et paternité
− Article 59 de la loi de financement de la sécurité sociale de 2016
• Réaliser toutes les opérations (même automatisées)
qui créé la protection universelle maladie (PUMA)
nécessaires au maintien des droits
− L. 111-1 et suivants du Code de la sécurité sociale
• Gérer les bénéficiaires transfrontaliers, inter régimes
ou en poly-activités
• Communiquer les informations relatives à ces opérations aux
bénéficiaires, aux professionnels de santé, aux établissements
de santé, aux centres de santé et aux structures médico-sociales
ainsi qu’aux fournisseurs de services
• Produire des statistiques, des indicateurs de pilotage et réaliser
des études et évaluation (mise en œuvre des politiques)
Catégories de personnes concernées
Type de données
• Bénéficiaires de l’Assurance Maladie (ayant-droit/ouvrant-droit)
• Pour les Bénéficiaires :
• Employeurs
− Données d’identification dont le nom, prénom, NIR, sexe,
nationalité si nécessaire à l’application d’une convention
• Agents de l’Assurance Maladie pour traces des actions dans les outils
bilatérale, ressortissant ou non de l’Union Européenne, pièces
justificatives nécessaires à l’établissement de l’identité ou la
régularité du séjour
− Données de contact dont adresse postale, e-mail et n° de téléphone
− Données liées au rattachement et à l’ouverture des droits dont
les informations relatives aux documents d’identité et titres de
séjour et relatives à la condition de résidence stable
− Données liées à la couverture complémentaire
− Identifiants et rattachement aux organismes d’allocations
familiales
− Coordonnées et identifiants bancaires
− Données concernant la santé dont situation liée à la maternité,
nature et montants des actes, prestations, médicaments ou
produits de santé, statut invalidité, exonération du ticket
modérateur, données relatives à un accident du travail ou une
maladie professionnelle (AT/MP)
− Données concernant la situation professionnelle dont retraité,
chômage
− Données concernant la situation familiale, composition du foyer
• Pour les employeurs :
− Données d’identification dont nom, raison sociale, numéro
SIRET, coordonnées
• Pour les agents de l’Assurance Maladie :
− Données de connexion et actions dans le système d’information
de l’Assurance Maladie
6
LES MISSIONS DE L’ASSURANCE MALADIE
GESTION DES DROITS
link to page 2 link to page 3
01
GESTION DES DROITS - Fiche 2
Ouvrir, instruire et gérer les droits en maladie, maternité et paternité
Destinataires des données
Personnes accédant aux données
• Bénéficiaires eux-mêmes via le compte ameli ou par courrier
• Tout agent de l’Assurance Maladie strictement habilité à accéder
• Professionnels de santé, établissements de soins, prestataires et
aux données dans le cadre de ses fonctions, dans le respect du
fournisseurs de services émetteurs de factures (information sur
principe du besoin d’en connaître et des missions spécialement
les soins ou prestations effectués, remboursés ou pris en charge)
confiées aux praticiens conseils et personnes placées sous leur
autorité
• Organismes d’assurance maladie complémentaires,
• Organismes de protection sociale dont CAF, CNAF, CARSAT et de la
CNAV, URSSAF et ACOSS
• Agents des départements et des régions pour l’exercice de leurs
missions en matière sociale
• Services de l’administration fiscale, DGFIP pour l’exercice de leurs
missions dont examen des conditions de résidence et conditions
requises pour l’ouverture des droits
• Services de Pôle emploi
• Organismes de sécurité sociale étrangers, dans le cadre de
gestion des créances et des dettes internationales de sécurité
sociale, pour le remboursement des prestations prises en charge
au titre de la réglementation européenne ou des conventions
bilatérales ou multilatérales
• Services de l’administration pénitentiaire, pour l’exercice de leurs
missions en matière de prise en charge des frais de soins des
personnes placées sous main de justice
• Services du ministère de l’intérieur pour leur mission de lutte
contre la fraude à l’identité
• Comptables publics chargés du recouvrement des créances
hospitalières pour l’exercice de cette mission
Durée de conservation
Droits des personnes concernées
• 5 ans après la fin de validité des droits ou jusqu’à l’intervention
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs
d’une décision définitive en cas de contentieux
à la transparence sur les traitements et sur les informations
à communiquer aux personnes concernées, les informations
figurent dans la politique générale de protection des données
personnelles présente sur ameli.fr.
• Les droits d’accès et de rectification s’exercent auprès du
directeur de la caisse de rattachement de la personne concernée
en contactant le DPO de la caisse.
Justification absence du droit d’opposition
Sécurité des données
• Obligation légale
• Les mesures techniques et organisationnelles sont définies dans
la PSSI-MCAS en application à la Cnam et dans les organismes.
• Elles concernent notamment la gestion des habilitations,
le contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures
opérationnelles.
7
LES MISSIONS DE L’ASSURANCE MALADIE
GESTION DES DROITS
link to page 2 link to page 3
01
GESTION DES DROITS - Fiche 3
Ouvrir, instruire et gérer les droits à la protection complémentaire
Sous-finalités
Fondements juridiques
• Acquérir, contrôler, traiter et enregistrer les informations
• Article 6-1-c du RGPD : le traitement est nécessaire au respect
utiles pour la protection ou assurance complémentaire et
d’une obligation légale notamment :
complémentaire solidaire
− Article L. 861-1 du Code de la sécurité sociale
• Réaliser les opérations nécessaires au transfert et mutations pour
− Article 59 de la loi de financement de la sécurité sociale de 2016
complémentaire
qui créé la protection universelle maladie (PUMA)
• Réaliser toutes les opérations (même automatisées) nécessaires
au maintien des droits Gérer les bénéficiaires dits transfrontaliers,
inter régimes et en poly-activités
• Production de statistiques, pilotage et mise en œuvre des politiques
• Communiquer les informations relatives à ces opérations
aux bénéficiaires, aux organismes complémentaires, aux
professionnels de santé, aux établissements de santé, aux
centres de santé et aux structures médico-sociales ainsi qu’aux
fournisseurs de services
Catégories de personnes concernées
Type de données
• Bénéficiaires de l’Assurance Maladie
• Pour les bénéficiaires :
• Agents de l’Assurance Maladie pour traces des actions dans les outils
− Données d’identification dont le nom, prénom, sexe, NIR, date
de naissance, date de décès
− Données de contact dont adresse postale, e-mail, n° de téléphone
− Données liées au rattachement et à l’ouverture des droits dont
justificatifs, périodes, nature, nationalité si cette information
est nécessaire à l’application d’une convention bilatérale,
ressortissant UE ou non, régime d’affiliation, organisme
de rattachement, informations relatives à l’adhésion à un
organisme complémentaire ou à un institut de prévoyance,
identifiants
− Données relatives à la situation et ressources du bénéficiaire et
des membres du foyer
− Coordonnées bancaires
− Identifiants et rattachement aux organismes d’allocations
familiales, prestations familiales,
− Données concernant la situation professionnelle dont retraité,
chômage
− Données relatives à l’instruction du dossier et à la décision
• Pour les agents de l’Assurance Maladie :
− Données de connexion et actions dans le système d’information
de l’Assurance Maladie
8
LES MISSIONS DE L’ASSURANCE MALADIE
GESTION DES DROITS
link to page 2 link to page 3
01
GESTION DES DROITS - Fiche 3
Ouvrir, instruire et gérer les droits à la protection complémentaire
Destinataires des données
Personnes accédant aux données
• Bénéficiaires
• Tout agent de l’Assurance Maladie strictement habilité à accéder aux
• Autres organismes d’assurance maladie pour la gestion des droits à
données dans le cadre de ses fonctions, dans le respect du principe
la Complémentaire santé solidaire,
du besoin d’en connaître et des missions spécialement confiées aux
praticiens conseils et personnes placées sous leur autorité
• Organismes d’assurance maladie complémentaire pour la prise
en charge des prestations qui leur incombe au titre de la part
complémentaire
• Fournisseurs d’énergie pour l’attribution de tarifs spécifiques prévus
par le code de l’énergie pour les assurés domiciliés à Saint xxxxxx
Durée de conservation
Droits des personnes concernées
• Les données sont conservées par l’Assurance Maladie pendant
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs à
la durée nécessaire à la gestion des droits à la protection
la transparence sur les traitements et sur les informations à
complémentaire et dans la limite de 3 années à compter de la
communiquer aux personnes concernées, les informations figurent
fermeture des droits à la complémentaire santé.
dans la politique générale de protection des données personnelles
présente sur ameli.fr.
• Les droits d’accès et de rectification s’exercent auprès du directeur
de la caisse de rattachement de la personne concernée en
contactant le DPO de la caisse.
Justification absence du droit d’opposition
Droits des personnes concernées
• Obligation légale
• Les mesures techniques et organisationnelles sont définies dans
la PSSI-MCAS en application à la Cnam et dans les organismes.
• Elles concernent notamment la gestion des habilitations,
le contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures
opérationnelles.
9
LES MISSIONS DE L’ASSURANCE MALADIE
GESTION DES DROITS
link to page 2 link to page 3
01
GESTION DES DROITS - Fiche 4
Ouvrir, instruire et gérer les droits en AT/MP
Sous-finalités
Fondements juridiques
• Acquérir, contrôler, traiter et enregistrer les informations utiles
• Article 6-1-c du RGPD : le traitement est nécessaire au respect
pour les droits AT/MP
d’une obligation légale notamment :
• Réaliser les opérations nécessaires au transfert et mutations
− Livre IV de la sécurité sociale (accidents du travail et maladies
professionnelles)
• Gestion des transfrontaliers et inter régimes
− Article L. 315-1 du Code de la sécurité sociale
• Communiquer des informations relatives à ces opérations
aux bénéficiaires, aux organismes complémentaires, aux
professionnels de santé, aux établissements de santé, aux
centres de santé et aux structures médico-sociales ainsi qu’aux
fournisseurs de services
• Produire des statistiques, des indicateurs de pilotage et réaliser
des études et évaluations (mise en œuvre des politiques)
Catégories de personnes concernées
Type de données
• Assurés demandeurs d’une reconnaissance du caractère
• Données d’identification assuré-victime et/ou autre bénéficiaire
professionnel d’un accident ou d’une maladie
d’indemnisation en cas d’incapacité permanente (ayant-droit,
• Tiers impliqués ou témoins d’accidents
conjoint pour reversion)
• Ayants-droits de victimes dont le décès est en lien
• Données relatives au lien de parenté (mariage, pacs, concubin, etc.)
avec l’AT ou la MP
• Données relatives à la situation professionnelle dont les données
• Conjoints dans le cadre de la réversion
concernant les circonstances du sinistre (numéro de sinistre,
date, type…)
• L’employeur de la victime
• Données concernant les conséquences des accidents du travail
• Agents des organismes de l’Assurance Maladie
pour les traces des actions dans les outils
• Données concernant la santé dont type maladie professionnelle,
date de guérison ou consolidation, résumé des séquelles, lésions
• Données relatives aux professionnels de santé, établissement
• Données relatives à l’employeur dont SIRET, raison sociale
• Données concernant des tiers impliqués ou témoins d’accidents
• Données d’ordre économique dont coordonnées bancaires,
données de salaire, type d’indemnisation
• Données de connexion et traces techniques (logs, connexion) des
agents exploitables en cas d’incident de sécurité ou de violation
de données personnelles
Destinataires des données
Personnes accédant aux données
• Les agents des organismes chargés de l’indemnisation du chômage • Tout agent de l’Assurance Maladie strictement habilité à accéder
• Les agents des Carsat pour l’application des dispositions relatives
aux données dans le cadre de ses fonctions, dans le respect du
à la pénibilité, la prise en compte des périodes assimilées en vue
principe du besoin d’en connaître
du calcul des droits à la retraite, ou du calcul de la cotisation due
par l’entreprise
• Les agents des organismes de retraite complémentaire
• Les agents de l’inspection du travail
• Les agents de l’administration fiscale
• Les agents des organismes de recouvrement
10
LES MISSIONS DE L’ASSURANCE MALADIE
GESTION DES DROITS
link to page 2 link to page 3
01
GESTION DES DROITS - Fiche 4
Ouvrir, instruire et gérer les droits en AT/MP
Durée de conservation
Droits des personnes concernées
• 5 ans après l’extinction des droits du dernier survivant parmi les
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs à
ayants droit de la victime
la transparence sur les traitements et sur les informations à
• 5 ans après l’intervention d’une décision définitive en cas de
communiquer aux personnes concernées, plusieurs modalités
contentieux.
sont réalisées :
− Des informations figurent dans la politique générale de
• 20 ans après le décès de la victime, en l’absence d’ayants droit
protection des données personnelles présente sur ameli.fr
− Une mention d’information spécifique le cas échéant
− Une mention dans les supports de la promotion (mention
e-mail, mention dans le courrier papier, par téléphone)
• Les droits d’accès et de rectification s’exercent auprès du directeur
de la caisse de rattachement de la personne concernée en
contactant le DPO de la caisse.
Justification absence du droit d’opposition
Droits des personnes concernées
• Obligation légale
• Les mesures techniques et organisationnelles sont définies dans
la PSSI-MCAS en application à la Cnam et dans les organismes.
• Elles concernent notamment la gestion des habilitations,
le contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures
opérationnelles.
11
LES MISSIONS DE L’ASSURANCE MALADIE
GESTION DES DROITS
link to page 2 link to page 3
01
GESTION DES DROITS - Fiche 5
Ouvrir, instruire et gérer les droits en invalidité et décès
Sous-finalités
Fondements juridiques
• Acquérir, contrôler, traiter et enregistrer des informations utiles
• Article 6-1-c du RGPD : le traitement est nécessaire au respect
pour la gestion de l’invalidité et décès
d’une obligation légale notamment :
• Réaliser les opérations nécessaires au transfert et mutations
− Articles L. 115-7, L. 161-1-4, L. 211-1, L. 221-1, L. 224-14, L. 315-1,
L. 341-1 et suivants du Code de la sécurité sociale
• Gérer les bénéficiaires dits transfrontaliers, inter régimes
et en poly activités
• Communiquer les informations relatives à ces opérations aux
bénéficiaires, aux professionnels de santé, aux établissements
de santé, aux centres de santé et aux structures médico-sociales
ainsi qu’aux fournisseurs de services
• Produire des statistiques, des indicateurs de pilotage et réaliser
des études et évaluations (mise en œuvre des politiques)
Catégories de personnes concernées
Type de données
• Bénéficiaires de l’Assurance Maladie (ayant-droit/ouvrant-droit)
• Pour les Bénéficiaires :
• Professionnels de santé et autres acteurs du secteur sanitaire
− Données d’identification dont le nom, prénom, sexe, date, lieu
social et médico-social
et rang de naissance, NIR
− Données de contact dont adresse postale, e-mail et n° de téléphone
• Agents de l’Assurance Maladie pour traces des actions dans les outils
− Nationalité
− Données relatives au rattachement et aux droits dont médecin
traitant déclaré
− Données relatives au bénéfice d’une prestation frais de santé
− Coordonnées bancaires
− Données de ressources du foyer, avis d’impositions
− Données relatives au statut d’invalidité déclarée, exonération
du ticket modérateur
− Données de rapports médicaux en lien avec l’invalidité
− Données relatives à la vie personnelle dont situation familiale
et composition du foyer
− Données du régime de rattachement, adhésion à un organisme
d’assurance maladie complémentaire
• Pour les Professionnels de santé :
− Données d’identification dont nom, prénom, numéros
d’identification
− Données relatives à la situation professionnelle dont
profession, spécialité, situation conventionnelle
− Données de contact dont adresse postale, e-mail, n° de téléphone
• Pour les agents de l’Assurance Maladie :
− Données de connexion et traces techniques (logs, connexion)
Destinataires des données
Personnes accédant aux données
• Bénéficiaires concernés (information concernant l’avis et pension)
• Tout agent de l’Assurance Maladie strictement habilité à accéder
• Professionnels de santé et autres acteurs du secteur sanitaire
aux données dans le cadre de ses fonctions, dans le respect du
social et médico-social
principe du besoin d’en connaître et des missions spécialement
confiées aux praticiens conseils et personnes placées sous leur
• Caisse d’Allocation Familiale en cas de procédure
autorité.
de subrogation
• Organismes d’assurance maladie complémentaire
• Agents de collectivités territoriales pour l’exercice de leur mission
en matière sociale
12
LES MISSIONS DE L’ASSURANCE MALADIE
GESTION DES DROITS
link to page 2 link to page 3
01
GESTION DES DROITS - Fiche 5
Ouvrir, instruire et gérer les droits en invalidité et décès
Durée de conservation
Droits des personnes concernées
• Les données d’identification des bénéficiaires sont conservées 5
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs
ans après la fermeture des droits à l’Assurance Maladie de l’assuré
à la transparence sur les traitements et sur les informations
ou de l’ayant droit ou jusqu’à l’intervention d’une décision
à communiquer aux personnes concernées, les informations
définitive en cas de contentieux.
figurent dans la politique générale de protection des données
• Les données concernant les prestations sont conservées 3 ans
personnelles présente sur ameli.fr.
à partir de la date de versement. Au-delà de ce délai, elles sont
• Les droits d’accès et de rectification s’exercent auprès du directeur
archivées pendant une durée de 10 ans.
de la caisse de rattachement de la personne concernée en
contactant le DPO de la caisse.
Justification absence du droit d’opposition
Sécurité des données
• Obligation légale
• Les mesures techniques et organisationnelles sont définies dans
la PSSI-MCAS en application à la Cnam et dans les organismes.
• Elles concernent notamment la gestion des habilitations,
le contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures
opérationnelles.
13
LES MISSIONS DE L’ASSURANCE MALADIE
GESTION DES DROITS
link to page 2 link to page 3
01
GESTION DES DROITS - Fiche 6
Vérifier et contrôler les droits en maladie, maternité et paternité
Sous-finalités
Fondements juridiques
• Acquérir, contrôler, traiter et enregistrer des informations utiles
• Article 6-1-c du RGPD : le traitement est nécessaire au respect
pour les droits à la prise en charge maladie, maternité, paternité
d’une obligation légale notamment :
• Vérifier la véracité et la cohérence des conditions d’attribution
− Article L. 161-1-4 du Code de la sécurité sociale
des droits (condition de résidence, titre de séjour, conditions de
ressources, autres rattachement, etc.)
• Gérer les accords préalables (DAP)
• Gérer les bénéficiaires dits transfrontaliers, inter régimes
et en poly-activités
• Communiquer les informations relatives à ces opérations
aux bénéficiaires aux organismes complémentaires et aux
professionnels de santé, aux établissements de santé, aux
centres de santé et aux structures médico-sociales ainsi
qu’aux fournisseurs de services
• Échanger avec les autres organismes de protection sociale ou
tiers compétent dans le domaine (DGFIP, CLEISS)
• Produire de statistiques, des indicateurs de pilotage et réaliser
des études et évaluations (mise en œuvre des politiques)
Catégories de personnes concernées
Type de données
• Bénéficiaires de l’Assurance Maladie (ayant-droit/ouvrant-droit)
• Pour les bénéficiaires :
• Professionnels de santé et autres acteurs du secteur sanitaire
− Données d’identification bénéficiaire dont le nom, prénom,
social et médico-social
sexe, date, lieu et rang de naissance, NIR
− Nationalité
• Employeurs
− Données de contact dont adresse postale, e-mail et n° de téléphone
• Agents des organismes pour les traces des actions dans les outils
− Données relatives au lien de parenté (mariage, pacs, concubin, etc.)
− Données relatives au rattachement et aux droits dont médecin
traitant déclaré, adhésion à un organisme d’assurance
complémentaire
− Données relatives à la santé dont bénéfice d’une prestation
frais de santé, situation liée à la maternité, nature et montants
des actes, prestations, médicaments ou produits de santé,
statut invalidité, exonération du ticket modérateur, données
relatives à un accident du travail, maladie professionnelle
− Données bancaires et financières dont identifiants, données de
salaires, paiements, ressources
− Données relatives à la situation professionnelle
− Données relatives à la situation individuelle ou familiale dont
composition du foyer
• Pour les professionnels de santé :
− Données d’identification et coordonnées de contact
• Pour les employeurs :
− Données d’identification, raison sociale, SIRET
• Pour les agents de l’Assurance Maladie :
− Données de connexion et traces techniques (logs, connexion)
14
LES MISSIONS DE L’ASSURANCE MALADIE
GESTION DES DROITS
link to page 2 link to page 3
01
GESTION DES DROITS - Fiche 6
Vérifier et contrôler les droits en maladie, maternité et paternité
Destinataires des données
Personnes accédant aux données
• Autres organismes de protection sociale
• Tout agent de l’Assurance Maladie strictement habilité à accéder
dont CAF, CNAF, CARSAT, CNAV, URSSAF, ACOSS,
aux données dans le cadre de ses fonctions, dans le respect du
• Services de pôle emploi pour la prévention des indus
principe du besoin d’en connaître et des missions spécialement
confiées aux praticiens conseils et personnes placées sous leur
• Organismes de protection complémentaire
autorité
• Services de l’administration fiscale
• Service de l’administration pénitentiaire
Durée de conservation
Droits des personnes concernées
• 5 ans après la fin des droits du bénéficiaire
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs
à la transparence sur les traitements et sur les informations
à communiquer aux personnes concernées, les informations
figurent dans la politique générale de protection des données
personnelles présente sur ameli.fr.
• Les droits d’accès et de rectification s’exercent auprès du
directeur de la caisse de rattachement de la personne concernée
en contactant le DPO de la caisse.
Justification absence du droit d’opposition
Sécurité des données
• Obligation légale
• Les mesures techniques et organisationnelles sont définies dans
la PSSI-MCAS en application à la Cnam et dans les organismes.
• Elles concernent notamment la gestion des habilitations,
le contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures
opérationnelles.
15
LES MISSIONS DE L’ASSURANCE MALADIE
GESTION DES DROITS
link to page 2 link to page 3
01
GESTION DES DROITS - Fiche 7
Vérifier et contrôler les droits en AT/MP
Sous-finalités
Fondements juridiques
• Acquérir, contrôler, traiter et enregistrer les informations utiles
• Article 6-1-c du RGPD : le traitement est nécessaire au respect
pour les droits AT/MP
d’une obligation légale notamment :
• Gérer les bénéficiaires dits transfrontaliers, inter régimes et en
− Le livre 4 du Code de la sécurité sociale (accidents du travail et
poly-activités
maladies professionnelles)
•
−
Communiquer des informations relatives à ces opérations
L. 315-1 du Code la sécurité sociale
aux bénéficiaires aux organismes complémentaires et aux
professionnels de santé, aux établissements de santé, aux
centres de santé et aux structures médico-sociales ainsi qu’aux
fournisseurs de services
• Échanger avec les autres organismes de protection sociale ou
tiers compétent dans le domaine (DGFIP, CLEISS)
• Produire des statistiques, des indicateurs de pilotage et réaliser
des études et évaluations (mise en œuvre des politiques)
Catégories de personnes concernées
Type de données
• Assurés demandeurs d’une reconnaissance du caractère
• Données d’identification assuré-victime et/ou autre bénéficiaire
professionnel d’un accident ou d’une maladie
d’indemnisation en cas d’incapacité permanente (ayant-droit,
• Tiers impliqués ou témoins d’accidents
conjoint pou reversion)
• Ayants-droits de victimes dont le décès est en lien avec l’AT ou la MP
• Données relatives au lien de parenté (mariage, pacs, concubin, etc.)
• Conjoints dans le cadre de la réversion
• Données relatives à la situation professionnelle dont les données
concernant les circonstances du sinistre (numéro de sinistre, date,
• L’employeur de la victime
type…)
• Agents des organismes (CPAM, CARSAT, CGSS…) pour les traces
• Données concernant les conséquences des accidents du travail
des actions dans les outils
• Données concernant la santé dont type maladie professionnelle,
date de guérison ou consolidation,
résumé des séquelles
• Données relatives aux professionnels de santé, établissement
• Données relatives à l’employeur dont SIRET, raison sociale
• Données concernant des tiers impliqués ou témoins d’accidents
• Données d’ordre économique dont données bancaires (mode de
paiement, RIB, etc.), données de salaire, type d’indemnisation
• Données de connexion et traces techniques (logs, connexion)
des agents exploitables en cas d’incident de sécurité ou de
violation de données personnelles...
Destinataires des données
Personnes accédant aux données
• Les agents des organismes chargés de l’indemnisation du chômage • Tout agent de l’Assurance Maladie strictement habilité à accéder
• Les agents des Carsat pour l’application des dispositions relatives
aux données dans le cadre de ses fonctions, dans le respect du
à la pénibilité, la prise en compte des périodes assimilées en vue
principe du besoin d’en connaître et des missions spécialement
du calcul des droits à la retraite, ou du calcul de la cotisation due
confiées aux praticiens conseils et personnes placées sous leur
par l’entreprise
autorité
• Les agents des organismes de retraite complémentaire
• Les agents de l’inspection du travail
• Les agents de l’administration fiscale
• Les agents des organismes de recouvrement
16
LES MISSIONS DE L’ASSURANCE MALADIE
GESTION DES DROITS
link to page 2 link to page 3
01
GESTION DES DROITS - Fiche 7
Vérifier et contrôler les droits en AT/MP
Durée de conservation
Droits des personnes concernées
• 5 ans après l’extinction des droits du dernier survivant parmi les
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs à
ayants droit de la victime
la transparence sur les traitements et sur les informations à
• 5 ans après l’intervention d’une décision définitive
communiquer aux personnes concernées, plusieurs modalités
en cas de contentieux
sont réalisées :
− Des informations figurent dans la politique générale de
• 20 ans après le décès de la victime, en l’absence d’ayants droit
protection des données personnelles présente sur ameli.fr
− Une mention d’information spécifique le cas échéant
− Une mention dans les supports de la promotion (mention e-mail,
mention dans le courrier papier, par téléphone)
• Les droits d’accès et de rectification s’exercent auprès du
directeur de la caisse de rattachement de la personne concernée
en contactant le DPO de la caisse.
Justification absence du droit d’opposition
Sécurité des données
• Obligation légale
• Les mesures techniques et organisationnelles sont définies dans
la PSSI-MCAS en application à la Cnam et dans les organismes.
• Elles concernent notamment la gestion des habilitations,
le contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures
opérationnelles.
17
LES MISSIONS DE L’ASSURANCE MALADIE
GESTION DES DROITS
link to page 2 link to page 3
01
GESTION DES DROITS - Fiche 8
Vérifier et contrôler les droits en invalidité et décès
Sous-finalités
Fondements juridiques
• Acquérir, contrôler, traiter et enregistrer les informations utiles
• Article 6-1-c du RGPD : le traitement est nécessaire au respect
pour les droits invalidité et décès
d’une obligation légale notamment :
• Vérifier la véracité et la cohérence des conditions d’attribution
− Articles L. 115-7, L. 161-1-4, L. 211-1, L. 221-1, L. 224-14, L. 315-1,
des droits (condition de résidence, titre de séjour, conditions de
L. 341-1 et suivants, L. 161-28-1 du Code de la sécurité sociale
ressources, autres rattachement, etc.)
• Gérer les bénéficiaires dits transfrontaliers, inter régimes
et en poly-activités
• Communiquer les informations relatives à ces opérations
aux bénéficiaires aux organismes complémentaires et aux
professionnels de santé, aux établissements de santé, aux
centres de santé et aux structures médico-sociales ainsi qu’aux
fournisseurs de services
• Échanger avec les autres organismes de protection sociale ou
tiers compétent dans le domaine (DGFIP, CLEISS)
• Produire des statistiques, des indicateurs de pilotage et réaliser
des études et évaluations (mise en œuvre des politiques)
Catégories de personnes concernées
Type de données
• Bénéficiaires de l’Assurance Maladie (ayant droit/ouvrant droit)
• Pour les Bénéficiaires :
• Professionnels de santé/acteurs du secteur sanitaire, social,
− Données d’identification dont le nom, prénom, sexe, date, lieu
médico-social
et rang de naissance, NIR
•
−
Agents de l’Assurance Maladie pour traces des actions
Données de contact dont adresse postale, e-mail et n° de téléphone
dans les outils
− Nationalité
− Données relatives au rattachement et aux droits dont médecin
traitant déclaré
− Données relatives au bénéfice d’une prestation frais de santé
− Données identifiant bancaire
− Données de ressources du foyer, avis d’impositions
− Données relatives au statut d’invalidité déclarée, exonération
du ticket modérateur
− Données de rapports médicaux en lien avec l’invalidité
− Données relatives à la vie personnelle dont situation familiale
et composition du foyer
− Données du régime de rattachement, adhésion à un organisme
d’assurance maladie complémentaire
• Pour les Professionnels de santé :
− Données d’identification dont nom, prénom, numéros
d’identification
− Données relatives à la situation professionnelle dont
profession, spécialité, situation conventionnelle
− Données de contact dont adresse postale, e-mail, n° de téléphone
• Pour les agents de l’Assurance Maladie :
− Données de connexion et traces techniques (logs, connexion)
18
LES MISSIONS DE L’ASSURANCE MALADIE
GESTION DES DROITS
link to page 2 link to page 3
01
GESTION DES DROITS - Fiche 8
Vérifier et contrôler les droits en invalidité et décès
Destinataires des données
Personnes accédant aux données
• Bénéficiaires concernés (information concernant l’avis et pension)
• Tout agent de l’Assurance Maladie strictement habilité à accéder aux
• Professionnels de santé (information sur la prise en charge)
données dans le cadre de ses fonctions, dans le respect du principe
du besoin d’en connaître et des missions spécialement confiées aux
• Caisse d’Allocation Familiale en cas de procédure de subrogation
praticiens conseils et personnes placées sous leur autorité
• Caisse d’assurance retraite et de la santé et CNAV
Durée de conservation
Droits des personnes concernées
• Les données d’identification des bénéficiaires sont conservées
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs
5 ans après la fermeture des droits à l’Assurance Maladie de
à la transparence sur les traitements et sur les informations
l’assuré ou de l’ayant droit ou jusqu’à l’intervention d’une
à communiquer aux personnes concernées, les informations
décision définitive en cas de contentieux.
figurent dans la politique générale de protection des données
• Les données concernant les prestations sont conservées 3 ans
personnelles présente sur ameli.fr.
à partir de la date de versement. Au-delà de ce délai, elles sont
• Les droits d’accès et de rectification s’exercent auprès du directeur
archivées pendant une durée de 10 ans.
de la caisse de rattachement de la personne concernée en
contactant le DPO de la caisse.
Justification absence du droit d’opposition
Droits des personnes concernées
• Obligation légale
• Les mesures techniques et organisationnelles sont définies dans
la PSSI-MCAS en application à la Cnam et dans les organismes.
• Elles concernent notamment la gestion des habilitations,
le contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures
opérationnelles.
19
LES MISSIONS DE L’ASSURANCE MALADIE
GESTION DES DROITS
link to page 2 link to page 3
01
GESTION DES DROITS - Fiche 9
Gérer les droits en carte (physique ou dématérialisée),
leur délivrance et leur suivi
Sous-finalités
Fondements juridiques
• Assurer la création des cartes et notamment carte Vitale comme
• Article 6-1-c du RGPD : le traitement est nécessaire au respect
carte Européenne d’assurance maladie (CEAM)
d’une obligation légale notamment :
• Assurer le recueil de l’acceptation de bénéficier de dispositif innovant
− Articles L. 161-31 et R. 161-33-1 et suivants du Code de la
de type e-carte Vérifier et mettre à jour les données de la carte
sécurité sociale
• Vérifier l’authenticité et validité de la carte Expédier la carte vitale
à son titulaire ou au représentant de ce dernier
• Identifier et authentifier des porteurs pour accéder aux services
de l’Assurance Maladie (DMP, facturation…)
• Suivre et piloter le parc de cartes vitales et d’apCv (E-Cv)
• Produire des statistiques, des indicateurs de pilotage et réaliser
des études et évaluations
Catégories de personnes concernées
Type de données
• Bénéficiaires de l’Assurance Maladie (ayant-droit/ouvrant-droit)
• Pour les Bénéficiaires et leurs ayants-droit :
• Professionnels de santé et autres acteurs du secteur sanitaire
− Données d’identification dont le nom, prénom, sexe,
social et médico-social
photographie, date, lieu et rang de naissance, NIR, informations
figurant sur le carte nationale d’identité
• Agents de l’Assurance Maladie pour traces des actions dans les outils
− Données de contact dont adresse postale
− Données relatives au rattachement et aux droits dont médecin
traitant déclaré
− Données relatives au bénéfice d’une prestation frais de santé
− Données relatives à l’accès aux soins en cas de séjour ou
résidence dans un autre Etat membre de l’Union européenne
ou partie à l’Espace économique européen
− Données personnelles concernant les coordonnées
d’une personne à prévenir en cas de nécessité si le titulaire
de la carte y a consenti
− Données relatives à la situation du bénéficiaire par rapport aux
dispositions réglementaires de dispense d’avance de frais
− Données du régime de rattachement, adhésion à un
organisme d’assurance maladie complémentaire dont numéro
d’identification, organisme gestionnaire
• Pour les professionnels de santé :
− Données d’identification du médecin traitant
• Pour les agents de l’Assurance Maladie :
− Données de connexion et traces techniques (logs, connexion)
Destinataires des données
Personnes accédant aux données
• Bénéficiaires et le cas échéant ayant-droit
• Tout agent de l’Assurance Maladie strictement habilité à accéder
• Professionnels de santé
aux données dans le cadre de ses fonctions, dans le respect du
principe du besoin d’en connaître et des missions spécialement
• Organismes d’assurance maladie complémentaire
confiées aux praticiens conseils et personnes placées sous leur
autorité
20
LES MISSIONS DE L’ASSURANCE MALADIE
GESTION DES DROITS
link to page 2 link to page 3
01
GESTION DES DROITS - Fiche 9
Gérer les droits en carte (physique ou dématérialisée),
leur délivrance et leur suivi
Durée de conservation
Droits des personnes concernées
• Les données figurant sur le formulaire permettant la délivrance
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs
de la carte sont conservées trois mois après émission de la carte.
à la transparence sur les traitements et sur les informations
• Les données relatives au contenu de la carte sont détruites après
à communiquer aux personnes concernées, les informations
émission ou mise à jour.
figurent dans la politique générale de protection des données
personnelles présente sur ameli.fr.
• Les droits d’accès et de rectification s’exercent auprès du
directeur de la caisse de rattachement de la personne concernée
en contactant le DPO de la caisse.
Justification absence du droit d’opposition
Sécurité des données
• Obligation légale
• Les mesures techniques et organisationnelles sont définies dans
la PSSI-MCAS en application à la Cnam et dans les organismes.
• Elles concernent notamment la gestion des habilitations,
le contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures
opérationnelles.
21
LES MISSIONS DE L’ASSURANCE MALADIE
GESTION DES DROITS
link to page 2
02 EXÉCUTION DES PRESTATIONS
Finalités
FICHE 10
FICHE 15
Traiter les frais de santé
Traiter les capitaux décès
en maladie et maternité
FICHE 16
Traiter les honoraires, montants, forfaits
FICHE 11
et prestations des professionnels
Traiter les frais de santé en AT/MP
de santé, prestataires et
fournisseurs de services
FICHE 12
FICHE 17
Traiter les revenus de
Traiter les honoraires, montants, forfaits
substitution en maladie,
et prestations établissements de santé
maternité, paternité, adoption
et centres de santé
FICHE 13
FICHE 18
Traiter les revenus
Gérer les prises en charge dérogatoires
de substitution en invalidité
FICHE 14
Traiter les revenus
de substitution en AT/MP
22
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2 link to page 22
02
EXÉCUTION DES PRESTATIONS - Fiche 10
Traiter les frais de santé en maladie et maternité
Sous-finalités
Fondements juridiques
• Acquérir, contrôler, traiter et enregistrer les informations utiles
• Article 6-1-c du RGPD : le traitement est nécessaire au respect
• Recevoir les feuilles de soins, traiter les demandes
d’une obligation légale notamment :
− Article L. 211-1 du Code de la sécurité sociale
• Vérifier la fiabilité des informations et les règles relatives aux droits
• Appliquer les règles et gérer les frais liés à des situations extra
nationales (UE/Hors UE)
• Contrôler et mettre en paiement les prestations en nature et tout
type d’aides
• Communiquer les informations strictement nécessaires au
paiement aux personnes et acteurs (bénéficiaires, OCAM, PS,
établissements de santé, etc.)
• Mettre à disposition des professionnels et établissement les
informations relatives aux droits et au médecin traitant du bénéficiaire
• Produire des statistiques, des indicateurs de pilotage et réaliser
des études et évaluations (mise en œuvre des politiques)
Catégories de personnes concernées
Type de données
• Bénéficiaires de l’Assurance Maladie (ayant-droit/ouvrant-droit)
• Pour les Bénéficiaires
• Professionnels de santé et autres acteurs du secteur sanitaire
− Données d’identification dont le nom, prénom, sexe, date, lieu
social et médico-social
et rang de naissance, NIR
•
−
Agents de l’Assurance Maladie pour traces des actions dans les outils
Données de contact dont adresse postale, e-mail et n° de téléphone
− Nationalité
− Données relatives au rattachement et aux droits dont médecin
traitant déclaré
− Données relatives au bénéfice d’une prestation frais de santé
− Coordonnées bancaires
− Données relatives à la santé dont situation liée à la maternité,
nature et montants des actes, prestations, médicaments ou
produits de santé, statut invalidité, exonération du ticket
modérateur, données relatives à un accident du travail, maladie
professionnelle
− Données relatives à la vie personnelle dont situation familiale
et composition du foyer
− Données du régime de rattachement, adhésion à un organisme
d’assurance maladie complémentaire
• Pour les Professionnels de santé et autres acteurs du secteur
sanitaire social et médico-social, établissements de santé, centres
de santé et structures médico-sociales :
− Données d’identification dont nom, prénom, numéros
d’identification
− Données relatives à la situation professionnelle dont
profession, spécialité, situation conventionnelle.
− Données de contact dont adresse postale, e-mail, n° de téléphone
− Données relatives aux prestations dont actes, produits et
prestations prescrits et exécutés, tarifs, indicateurs d’activité et
relatifs à la pratique, honoraires et rémunérations perçus ainsi
que les indicateurs et la patientèle ayant servi au calcul de ces
rémunérations
• Pour les agents de l’Assurance Maladie
− Données de connexion et traces techniques (logs, connexion)
23
LES MISSIONS DE L’ASSURANCE MALADIE
EXÉCUTION DES PRESTATIONS
link to page 2 link to page 22
02
EXÉCUTION DES PRESTATIONS - Fiche 10
Traiter les frais de santé en maladie et maternité
Destinataires des données
Personnes accédant aux données
• Organisme d’assurance maladie complémentaire désigné par le
• Tout agent de l’Assurance Maladie strictement habilité à accéder
bénéficiaire
aux données dans le cadre de ses fonctions, dans le respect du
• Bénéficiaires concernés, les données concernant les
principe du besoin d’en connaître et des missions spécialement
remboursements sont communiquées sous forme de décompte
confiées aux praticiens conseils et personnes placées sous leur
sur l’espace ameli ou par courrier
autorité
• Professionnels de santé et établissements de soins émetteurs des
factures (information sur les soins effectués, remboursés ou pris
en charge)
• Sont destinataires des données anonymisées, le cas échéant
agrégées, strictement nécessaires à l’exercice de leurs missions,
dans la limite du besoin d’en connaître, les agents de la Haute
Autorité de santé, de la Commission européenne et des ministères
chargés de la sécurité sociale, de l’agriculture et du travail
• Organismes de sécurité sociale étrangers, dans le cadre de
gestion des créances et des dettes internationales de sécurité
sociale, pour le remboursement des prestations prises en charge
au titre de la réglementation européenne ou des conventions
bilatérales ou multilatérales
• Comptables publics chargés du recouvrement des créances
hospitalières pour l’exercice de cette mission
Durée de conservation
Droits des personnes concernées
• Les données d’identification des bénéficiaires sont conservées
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs
5 ans après la fermeture des droits à l’Assurance Maladie de
à la transparence sur les traitements et sur les informations
l’assuré ou de l’ayant droit ou jusqu’à l’intervention d’une
à communiquer aux personnes concernées, les informations
décision définitive en cas de contentieux.
figurent dans la politique générale de protection des données
• Les données concernant les prestations sont conservées 3 ans
personnelles présente sur ameli.fr.
à partir de la date de versement. Au-delà de ce délai, elles sont
• Les droits d’accès et de rectification s’exercent auprès du
archivées pendant une durée de 10 ans.
directeur de la caisse de rattachement de la personne concernée
en contactant le DPO de la caisse.
Justification absence du droit d’opposition
Sécurité des données
• Obligation légale
• Les mesures techniques et organisationnelles sont définies dans
la PSSI-MCAS en application à la Cnam et dans les organismes.
• Elles concernent notamment la gestion des habilitations,
le contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures
opérationnelles.
24
LES MISSIONS DE L’ASSURANCE MALADIE
EXÉCUTION DES PRESTATIONS
link to page 2 link to page 22
02
EXÉCUTION DES PRESTATIONS - Fiche 11
Traiter les frais de santé en AT/MP (Accidents du Travail/
Maladies Professionnelles)
Sous-finalités
Fondements juridiques
• Acquérir, contrôler, traiter et enregistrer les informations utiles
• Article 6-1-c du RGPD : le traitement est nécessaire au respect
• Recevoir les feuilles de soins, traiter les demandes
d’une obligation légale notamment :
− Livre 4 du Code de la sécurité sociale (accidents du travail et
• Vérifier la fiabilité des informations et les règles relatives aux droits
maladies professionnelles)
• Appliquer les règles et gérer les frais liés à des situations extra
− Article L. 315-1 du Code de la sécurité sociale
nationales (UE/Hors UE)
• Contrôler et mettre en paiement les prestations en nature et tout
type d’aides
• Communiquer les informations strictement nécessaires au
paiement aux personnes et acteurs (bénéficiaires, Organismes
complémentaires d’assurance maladie, Professionnels,
établissements de santé, etc.)
• Mettre à disposition des professionnels et établissement les
informations relatives aux droits et au médecin traitant du bénéficiaire
• Produire des statistiques, des indicateurs de pilotage et réaliser
des études et évaluations (mise en œuvre des politiques)
Catégories de personnes concernées
Type de données
• Assuré victime d’AT/MP
• Données d’identification assuré-victime dont nom, prénom, date
• Employeur de la victime
de naissance, données de rattachement
• Professionnels de santé et autres acteurs du secteur sanitaire
• Données relatives à la situation professionnelle dont les
social et médico-social
données concernant les circonstances du sinistre (numéro de
sinistre, date, type…)
• Agents de l’Assurance Maladie pour traces des actions dans les outils
• Données concernant la santé dont nature des actes et
médicaments, l’existence d’une hospitalisation
• Données relatives aux professionnels de santé, établissement
• Données relatives à l’employeur dont SIRET, raison sociale
• Données d’ordre économique dont données bancaires (mode de
paiement, RIB, etc.)
• Données de connexion et traces techniques (logs, connexion) des
agents exploitables en cas d’incident de sécurité ou de violation
de données personnelles.
Destinataires des données
Personnes accédant aux données
• Les agents des organismes chargés de l’indemnisation du chômage • Tout agent de l’Assurance Maladie strictement habilité à accéder
• Les agents des Carsat pour l’application des dispositions relatives
aux données dans le cadre de ses fonctions, dans le respect du
à la pénibilité, la prise en compte des périodes assimilées en vue
principe du besoin d’en connaître et des missions spécialement
du calcul des droits à la retraite, ou du calcul de la cotisation due
confiées aux praticiens conseils et personnes placées sous leur
par l’entreprise
autorité
• Les agents des organismes de retraite complémentaire
• Les agents de l’inspection du travail
• Les agents de l’administration fiscale
• Les agents des organismes de recouvrement
25
LES MISSIONS DE L’ASSURANCE MALADIE
EXÉCUTION DES PRESTATIONS
link to page 2 link to page 22
02
EXÉCUTION DES PRESTATIONS - Fiche 11
Traiter les frais de santé en AT/MP (Accidents du Travail/
Maladies Professionnelles)
Durée de conservation
Droits des personnes concernées
• 5 ans après l’extinction des droits du dernier survivant parmi les
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs
ayants droit de la victime
à la transparence sur les traitements et sur les informations
• 5 ans après l’intervention d’une décision définitive en cas de
à communiquer aux personnes concernées, plusieurs modalités
contentieux
sont réalisées :
− Des informations figurent dans la politique générale de
• 20 ans après le décès de la victime, en l’absence d’ayants droit
protection des données personnelles présente sur ameli.fr
− Une mention d’information spécifique le cas échéant
• Les droits d’accès et de rectification s’exercent auprès du
directeur de la caisse de rattachement de la personne concernée
en contactant le DPO de la caisse.
Justification absence du droit d’opposition
Sécurité des données
• Obligation légale
• Les mesures techniques et organisationnelles sont définies dans
la PSSI-MCAS en application à la Cnam et dans les organismes.
• Elles concernent notamment la gestion des habilitations,
le contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures
opérationnelles.
26
LES MISSIONS DE L’ASSURANCE MALADIE
EXÉCUTION DES PRESTATIONS
link to page 2 link to page 22
02
EXÉCUTION DES PRESTATIONS - Fiche 12
Traiter les revenus de substitution en maladie, maternité,
paternité, adoption
Sous-finalités
Fondements juridiques
• Acquérir, contrôler, traiter et enregistrer les informations utiles
• Article 6-1-c du RGPD : le traitement est nécessaire au respect
• Réceptionner les prescriptions d’arrêt maladie ou document
d’une obligation légale :
d’arrêt pour l’ensemble des risques
− Article L. 211-1 du Code de la sécurité sociale
• Vérifier la fiabilité des informations et les règles relatives aux droits
• Gérer le suivi médico-administratif de la prescription d’arrêt de travail
• Traiter les avis du service médical
• Réceptionner les informations de revenus pour calculer les
indemnités journalières (ou forfait)
• Ordonnancer et liquider les IJ/Forfait tout au long de l’arrêt de
travail pour l’ensemble des risques
• Communiquer les informations strictement nécessaires au
paiement aux personnes et acteurs (bénéficiaires, Organismes
complémentaire assurance maladie, employeurs, systèmes
d’information tiers : pôle emploi, CARSAT, GIPMDS, BRM)
• Mettre à disposition des professionnels et établissement les
informations relatives aux droits et au médecin traitant du bénéficiaire
• Produire des statistiques, des indicateurs de pilotage et réaliser
des études et évaluations (mise en œuvre des politiques)
Catégories de personnes concernées
Type de données
• Bénéficiaires de l’Assurance Maladie (ayant-droit/ouvrant-droit)
• Pour les Bénéficiaires :
• Professionnels de santé
− Données d’identification dont le nom, prénom, sexe, date, lieu
et rang de naissance, NIR
• Employeur pour fourniture des attestations de salaire
− Données de contact dont adresse postale, e-mail et n° de téléphone
• Agents de l’Assurance Maladie pour traces des actions dans les outils
− Nationalité
− Données relatives au rattachement et aux droits dont médecin
traitant déclaré
− Données relatives au bénéfice d’une prestation frais de santé
− Données identifiant bancaire
− Données relatives à l’arrêt maladie déclaré, la santé dont situation
liée à la maternité, paternité, adoption, statut invalidité
− Données relatives à la vie personnelle dont situation familiale
et composition du foyer
− Données du régime de rattachement, adhésion à un organisme
d’assurance maladie complémentaire
− Données concernant les salaires communiquées par les employeurs
• Pour les Professionnels de santé
− Données d’identification dont nom, prénom, numéros d’identification
− Données relatives à la situation professionnelle dont
profession, spécialité, situation conventionnelle
− Données de contact dont adresse postale, e-mail, n° de téléphone
− Données relatives à l’arrêt maladie prononcé, honoraires et perçus
• Pour les employeurs :
− Données d’identification et de contact professionnels
• Pour les agents de l’Assurance Maladie :
− Données de connexion et traces techniques (logs, connexion)
27
LES MISSIONS DE L’ASSURANCE MALADIE
EXÉCUTION DES PRESTATIONS
link to page 2 link to page 22
02
EXÉCUTION DES PRESTATIONS - Fiche 12
Traiter les revenus de substitution en maladie, maternité,
paternité, adoption
Destinataires des données
Personnes accédant aux données
• Organisme d’assurance maladie complémentaire désigné par
• Tout agent de l’Assurance Maladie strictement habilité à accéder
le bénéficiaire
aux données dans le cadre de ses fonctions, dans le respect du
• Assurés concernés, les données concernant les revenus de
principe du besoin d’en connaître et des missions spécialement
substitution sont communiquées sur l’espace ameli ou par courrier
confiées aux praticiens conseils et personnes placées sous leur
autorité
• Professionnels de santé et établissements de soins émetteurs des
déclarations (information sur la prise en charge)
• Employeurs (information sur la prise en charge)
• Système d’information tiers : pôle emploi, CARSAT, GIPMDS, BRM
Durée de conservation
Droits des personnes concernées
• Les données d’identification des bénéficiaires sont conservées
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs
5 ans après la fermeture des droits à l’Assurance Maladie de
à la transparence sur les traitements et sur les informations
l’assuré ou de l’ayant droit ou jusqu’à l’intervention d’une
à communiquer aux personnes concernées, les informations
décision définitive en cas de contentieux.
figurent dans la politique générale de protection des données
• Les données concernant les prestations sont conservées 4 ans
personnelles présente sur ameli.fr.
à partir de la date de versement. Au-delà de ce délai, elles sont
• Les droits d’accès et de rectification s’exercent auprès du
archivées pendant une durée de 10 ans.
directeur de la caisse de rattachement de la personne concernée
en contactant le DPO de la caisse.
Justification absence du droit d’opposition
Sécurité des données
• Obligation légale
• Les mesures techniques et organisationnelles sont définies dans
la PSSI-MCAS en application à la Cnam et dans les organismes.
• Elles concernent notamment la gestion des habilitations,
le contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures
opérationnelles.
28
LES MISSIONS DE L’ASSURANCE MALADIE
EXÉCUTION DES PRESTATIONS
link to page 2 link to page 22
02
EXÉCUTION DES PRESTATIONS - Fiche 13
Traiter les revenus de substitution en invalidité (pension de droit
propre, pension de droit dérivé, majoration tierce personne,
allocation supplémentaire d’invalidité)
Sous-finalités
Fondements juridiques
• Acquérir, contrôler, traiter et enregistrer les informations utiles
• Article 6-1-c du RGPD : le traitement est nécessaire au respect
• Réceptionner la demande, analyser la recevabilité
d’une obligation légale notamment :
− Article L. 211-1 du Code de la sécurité sociale
• Vérifier la fiabilité des informations
• Rapprocher et vérifier avec les règles relatives aux droits
• Instruire la demande versant médical, et émettre un avis
• Convocation de l’assuré
• Instruire la demande versant administratif
• Vérifier la condition d’ouverture des droits
• Calculer la pension, notifier et mettre au paiement
• Mettre en œuvre la subrogation CAF dans certains cas
• Communiquer les informations strictement nécessaires aux
avis et paiements aux personnes et acteurs (bénéficiaires,
professionnels santé, administration fiscale, Caisse d’Allocation
Familiale, Caisse Nationale d’Assurance Vieillesse, Agence
Centrale des Organismes de Sécurité Sociale)
• Mettre à disposition des professionnels et établissement les
informations relatives aux droits et au médecin traitant du bénéficiaire
• Suivre les mises à jour de la pension versant médical et administratif
• Produire des statistiques, des indicateurs de pilotage et réaliser
des études et évaluations (mise en œuvre des politiques)
Catégories de personnes concernées
Type de données
• Bénéficiaires de l’Assurance Maladie (ayant-droit/ouvrant-droit)
• Pour les Bénéficiaires
• Professionnels de santé et autres acteurs du secteur sanitaire social
− Données d’identification dont le nom, prénom, sexe, date, lieu
et médico-social
et rang de naissance, NIR
•
−
Agents de l’Assurance Maladie pour traces des actions dans les outils
Données de contact dont adresse postale, e-mail et n° de téléphone
− Nationalité
− Données relatives au rattachement et aux droits dont médecin
traitant déclaré
− Données relatives au bénéfice d’une prestation frais de santé
− Coordonnées bancaires
− Données de ressources du foyer, avis d’impositions
− Données relatives au statut d’invalidité déclarée, exonération
du ticket modérateur
− Données de rapports médicaux en lien avec l’invalidité
− Données relatives à la vie personnelle dont situation familiale
et composition du foyer
− Données du régime de rattachement, adhésion à un organisme
d’assurance maladie complémentaire
• Pour les Professionnels de santé
− Données d’identification dont nom, prénom, numéros d’identification
− Données relatives à la situation professionnelle dont
profession, spécialité, situation conventionnelle
− Données de contact dont adresse postale, e-mail, n° de téléphone
• Pour les agents de l’Assurance Maladie
− Données de connexion et traces techniques (logs, connexion)
29
LES MISSIONS DE L’ASSURANCE MALADIE
EXÉCUTION DES PRESTATIONS
link to page 2 link to page 22
02
EXÉCUTION DES PRESTATIONS - Fiche 13
Traiter les revenus de substitution en invalidité (pension de droit
propre, pension de droit dérivé, majoration tierce personne,
allocation supplémentaire d’invalidité)
Destinataires des données
Personnes accédant aux données
• Bénéficiaires concernés (information concernant l’avis et pension)
• Tout agent de l’Assurance Maladie strictement habilité à accéder
• Professionnels de santé (information sur la prise en charge)
aux données dans le cadre de ses fonctions, dans le respect du
principe du besoin d’en connaître et des missions spécialement
• Caisse d’Allocation Familiale en cas de procédure de subrogation
confiées aux praticiens conseils et personnes placées sous leur
• Caisse Nationale d’Assurance Vieillesse pour valorisation des
autorité
droits retraite
• Administration fiscale pour fiscalisation de la prestation
• Agence Centrale des Organismes de Sécurité Sociale pour
exonération de cotisation pour les travailleurs indépendants
Durée de conservation
Droits des personnes concernées
• Les données du dossier d’invalidité sont conservées 5 ans après
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs
la fermeture des droits à l’Assurance Maladie de l’assuré ou de
à la transparence sur les traitements et sur les informations
l’ayant droit. Les pièces justificatives au paiement de la pension
à communiquer aux personnes concernées, les informations
sont conservées 5 ans à partir de la date de versement ou jusqu’à
figurent dans la politique générale de protection des données
l’intervention d’une décision définitive en cas de contentieux.
personnelles présente sur ameli.fr.
• Les droits d’accès et de rectification s’exercent auprès du
directeur de la caisse de rattachement de la personne concernée
en contactant le DPO de la caisse.
Justification absence du droit d’opposition
Sécurité des données
• Obligation légale
• Les mesures techniques et organisationnelles sont définies dans
la PSSI-MCAS en application à la Cnam et dans les organismes.
• Elles concernent notamment la gestion des habilitations,
le contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures
opérationnelles.
30
LES MISSIONS DE L’ASSURANCE MALADIE
EXÉCUTION DES PRESTATIONS
link to page 2 link to page 22
02
EXÉCUTION DES PRESTATIONS - Fiche 14
Traiter les revenus de substitution en AT/MP (Accident du travail
et Maladies Professionnelles)
Sous-finalités
Fondements juridiques
• Acquérir, contrôler, traiter et enregistrer les informations utiles
• Article 6-1-c du RGPD : le traitement est nécessaire au respect
(dont les certificats médicaux et déclarations)
d’une obligation légale notamment :
• Recevoir et gérer les demandes de revenus de substitution
− Livre 4 du Code de la sécurité sociale (accidents du travail et
maladies professionnelles)
• Vérifier la fiabilité des informations et les règles relatives aux droits
− Articles L. 434-1 à L. 434-21 du Code de la sécurité sociale
• Contrôler et mettre en paiement les revenus de substitution
− Articles L. 43
• Appliquer les règles et gérer les frais liés à des situations extra
nationales (UE/Hors UE)
• Communiquer des informations relatives à ces opérations à
toutes personnes utiles (bénéficiaires, OCAM, PS, établissements
de santé, etc.)
• Mettre à disposition des professionnels et établissement les
informations relatives aux droits et au médecin traitant du
bénéficiaire
• Produire des statistiques, piloter et mettre en œuvre des politiques
Catégories de personnes concernées
Type de données
• Victimes d’AT/MP consolidés
• Données d’identification assuré-victime et/ou autre bénéficiaire
• Ayants-droit de victimes dont le décès est en lien avec l’AT ou la MP
d’indemnisation (ayant-droit, conjoint pou reversion)
• Conjoints dans le cadre de la réversion
• Données relatives au lien de parenté (mariage, pacs, concubin, etc.)
• L’employeur de la victime
• Données relatives à la situation professionnelle dont les données
concernant le sinistre (numéro de sinistre, date, type…)
• Agents des organismes (CPAM, CARSAT, CGSS…) pour les traces
des actions dans les outils
• Données concernant la santé dont type maladie professionnelle,
allocation temporaire amiante, résumé des séquelles
• Données relatives aux professionnels de santé, établissement
• Données relatives à l’employeur dont SIRET, raison sociale
• Données d’ordre économique dont données bancaires (mode de
paiement, RIB, etc.), données de salaire, type d’indemnisation
• Données de connexion et traces techniques (logs, connexion) des
agents exploitables en cas d’incident de sécurité ou de violation
de données personnelles
Destinataires des données
Personnes accédant aux données
• Agents CARSAT pour l’application des dispositions relatives à la
• Tout agent de l’Assurance Maladie strictement habilité à accéder aux
pénibilité, pour la prise en compte des périodes assimilées en vue
données dans le cadre de ses fonctions, dans le respect du principe
du calcul des droits à la retraite et, en cas d’accident du travail,
du besoin d’en connaître et des missions spécialement confiées aux
en vue du calcul de la cotisation due par l’entreprise
praticiens conseils et personnes placées sous leur autorité
• Agents des organismes chargés de l’indemnisation du chômage
• Personnes habilitées à accéder au RNCPS
• Assuré-victime
• Ayants-droit
• Employeur
• Tiers
31
LES MISSIONS DE L’ASSURANCE MALADIE
EXÉCUTION DES PRESTATIONS
link to page 2 link to page 22
02
EXÉCUTION DES PRESTATIONS - Fiche 14
Traiter les revenus de substitution en AT/MP (Accident du travail
et Maladies Professionnelles)
Durée de conservation
Droits des personnes concernées
• 3 ans après le décès du bénéficiaire ou 3 ans après le décès du
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs à
dernier bénéficiaire en cas de rente d’ayant droit
la transparence sur les traitements et sur les informations à
communiquer aux personnes concernées, plusieurs modalités
sont réalisées :
− Des informations figurent dans la politique générale de
protection des données personnelles présente sur ameli.fr
− Une mention d’information spécifique le cas échéant
− Une mention dans les supports de la promotion (mention
e-mail, mention dans le courrier papier, par téléphone)
• Les droits d’accès et de rectification s’exercent auprès du
directeur de la caisse de rattachement de la personne concernée
en contactant le DPO de la caisse.
Justification absence du droit d’opposition
Sécurité des données
• Obligation légale
• Les mesures techniques et organisationnelles sont définies dans
la PSSI-MCAS en application à la Cnam et dans les organismes.
• Elles concernent notamment la gestion des habilitations,
le contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures
opérationnelles.
32
LES MISSIONS DE L’ASSURANCE MALADIE
EXÉCUTION DES PRESTATIONS
link to page 2 link to page 22
02
EXÉCUTION DES PRESTATIONS - Fiche 15
Traiter les capitaux décès
Sous-finalités
Fondements juridiques
• Acquérir, contrôler, traiter et enregistrer les informations utiles
• Article 6-1-c du RGPD : le traitement est nécessaire au respect
• Réceptionner la demande de capital décès, analyser la recevabilité
d’une obligation légale notamment :
− Article L. 211-1 du Code de la sécurité sociale
• Vérifier la fiabilité des informations
• Rapprocher et vérifier avec les règles relatives aux droits
• Instruire la demande de capital décès
• Vérifier les droits du défunt
• Identifier les bénéficiaires
• Déterminer le nombre de parts à payer
• Payer la demande de capital décès
• Communiquer les informations strictement nécessaires aux avis
et paiements aux personnes (bénéficiaires)
• Produire des statistiques, des indicateurs de pilotage et réaliser
des études et évaluations (mise en œuvre des politiques)
Catégories de personnes concernées
Type de données
• Défunt et bénéficiaires du défunt
• Pour le défunt
• Agents de l’Assurance Maladie pour traces des actions dans les outils
− Données d’identification dont le nom, prénom, sexe, date, lieu
et rang de naissance, NIR
− Données de contact dont adresse postale, e-mail et n° de téléphone
− Nationalité
− Données relatives au rattachement et aux droits dont médecin
traitant déclaré
− Données relatives à la santé, nature et montants des actes,
prestations, médicaments ou produits de santé, statut
invalidité, exonération du ticket modérateur, données relatives
à un accident du travail, maladie professionnelle
− Données relatives au statut d’invalidité déclarée, exonération
du ticket modérateur
− Données relatives à la vie personnelle dont situation familiale
et composition du foyer
− Données du régime de rattachement, adhésion à un organisme
d’assurance maladie complémentaire
• Pour les bénéficiaires
− Données d’identification dont le nom, prénom, sexe, date, lieu
et rang de naissance, NIR
− Données de contact dont adresse postale, e-mail et n° de téléphone
− Liens avec le défunt
− Bulletins de salaires des 3 derniers mois, justificatifs de ressources
• Pour les agents de l’Assurance Maladie
− - Données de connexion et traces techniques (logs, connexion)
Destinataires des données
Personnes accédant aux données
• Aucune donnée traitée n’est communiquée à des tiers
• Tout agent de l’Assurance Maladie strictement habilité à accéder
aux données dans le cadre de ses fonctions, dans le respect du
principe du besoin d’en connaître
33
LES MISSIONS DE L’ASSURANCE MALADIE
EXÉCUTION DES PRESTATIONS
link to page 2 link to page 22
02
EXÉCUTION DES PRESTATIONS - Fiche 15
Traiter les capitaux décès
Durée de conservation
Droits des personnes concernées
• Les données d’identification des bénéficiaires sont conservées
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs
5 ans après la fermeture des droits à l’Assurance Maladie de
à la transparence sur les traitements et sur les informations
l’assuré ou de l’ayant droit ou jusqu’à l’intervention d’une
à communiquer aux personnes concernées, les informations
décision définitive en cas de contentieux. Les données
figurent dans la politique générale de protection des données
concernant les prestations sont conservées 3 ans à partir de
personnelles présente sur ameli.fr.
la date de versement. Au-delà de ce délai, elles sont archivées
• Les droits d’accès et de rectification s’exercent auprès du
pendant une durée de 10 ans.
directeur de la caisse de rattachement de la personne concernée
en contactant le DPO de la caisse.
Justification absence du droit d’opposition
Sécurité des données
• Obligation légale
• Les mesures techniques et organisationnelles sont définies dans
la PSSI-MCAS en application à la Cnam et dans les organismes.
• Elles concernent notamment la gestion des habilitations,
le contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures
opérationnelles.
34
LES MISSIONS DE L’ASSURANCE MALADIE
EXÉCUTION DES PRESTATIONS
link to page 2 link to page 22
02
EXÉCUTION DES PRESTATIONS - Fiche 16
Traiter les honoraires, montants, forfaits et prestations des
professionnels de santé, prestataires et fournisseurs de services
Sous-finalités
Fondements juridiques
• Acquérir, contrôler, traiter et enregistrer les informations utiles
• Article 6-1-c du RGPD : le traitement est nécessaire au respect
• Recevoir et gérer les demandes d’honoraires, montants, forfaits
d’une obligation légale notamment :
et prestations des PS, prestataires et fournisseurs de services
− Article L. 211-1 du Code de la sécurité sociale
• Rapprocher et vérifier avec les règles relatives aux droits
• Contrôler et mettre en paiement les demandes d’honoraires,
montants, forfaits et prestations des PS et prestataires et
fournisseurs de services
• Appliquer les règles et gérer les frais liés à des situations extra
nationales (UE/Hors UE)
• Communiquer les informations strictement nécessaires au
paiement aux PS prestataires et fournisseurs de services
• Mettre à disposition des professionnels et établissement les
informations relatives aux droits et au médecin traitant du
bénéficiaire
• Produire des statistiques, des indicateurs de pilotage et réaliser
des études et évaluations (mise en œuvre des politiques)
Catégories de personnes concernées
Type de données
• Bénéficiaires de l’Assurance Maladie (ayant-droit/ouvrant-droit)
• Pour les Bénéficiaires
• Professionnels de santé, prestataires et fournisseurs de services
− Données d’identification dont le nom, prénom, sexe, date, lieu
et rang de naissance, NIR
• Agents de l’Assurance Maladie pour traces des actions dans les outils
− Données de contact dont adresse postale, e-mail et n° de téléphone
− Nationalité
− Données relatives au rattachement et aux droits dont médecin
traitant déclaré
− Données relatives au bénéfice d’une prestation frais de santé
− Données identifiant bancaire
− Données relatives à la santé dont situation liée à la maternité, nature
et montants des actes, prestations, médicaments ou produits de
santé, statut invalidité, exonération du ticket modérateur, données
relatives à un accident du travail, maladie professionnelle
− Données relatives à la vie personnelle dont situation familiale
et composition du foyer
− Données du régime de rattachement, adhésion à un organisme
d’assurance maladie complémentaire
• Pour les professionnels de santé, prestataires et fournisseurs de
services
− Données d’identification dont nom, prénom, numéro d’identification
− Données relatives à la situation professionnelle dont
profession, spécialité, situation conventionnelle
− Données de contact dont adresse postale, e-mail, n° de téléphone
− Données relatives aux prestations dont actes, produits et
prestations prescrits et exécutés, tarifs, indicateurs d’activité et
relatifs à la pratique, honoraires et rémunérations perçus ainsi
que les indicateurs et la patientèle ayant servi au calcul de ces
rémunérations
• Pour les agents de l’Assurance Maladie
− Données de connexion et traces techniques (logs, connexion)
35
LES MISSIONS DE L’ASSURANCE MALADIE
EXÉCUTION DES PRESTATIONS
link to page 2 link to page 22
02
EXÉCUTION DES PRESTATIONS - Fiche 16
Traiter les honoraires, montants, forfaits et prestations des
professionnels de santé, prestataires et fournisseurs de services
Destinataires des données
Personnes accédant aux données
• Professionnels de santé (information sur les soins remboursés)
• Tout agent de l’Assurance Maladie strictement habilité à accéder
• Prestataires ou fournisseurs de service (information sur les
aux données dans le cadre de ses fonctions, dans le respect du
prestations remboursées)
principe du besoin d’en connaître et des missions spécialement
confiées aux praticiens conseils et personnes placées sous leur
• Organismes de sécurité sociale étrangers, dans le cadre de
autorité
gestion des créances et des dettes internationales de sécurité
sociale, pour le remboursement des prestations prises en charge
au titre de la réglementation européenne ou des conventions
bilatérales ou multilatérales
Durée de conservation
Droits des personnes concernées
• Les données d’identification des bénéficiaires sont conservées
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs à
5 ans après la fermeture des droits à l’Assurance Maladie de
la transparence sur les traitements et sur les informations à
l’assuré ou de l’ayant droit ou jusqu’à l’intervention d’une
communiquer aux personnes concernées, les informations
décision définitive en cas de contentieux. Les données
figurent dans la politique générale de protection des données
concernant les prestations sont conservées 3 ans à partir de
personnelles présente sur ameli.fr.
la date de versement. Au-delà de ce délai, elles sont archivées
• Les droits d’accès et de rectification s’exercent auprès du
pendant une durée de 10 ans.
directeur de la caisse de rattachement de la personne concernée
en contactant le DPO de la caisse.
Justification absence du droit d’opposition
Sécurité des données
• Obligation légale
• Les mesures techniques et organisationnelles sont définies dans
la PSSI-MCAS en application à la Cnam et dans les organismes.
• Elles concernent notamment la gestion des habilitations,
le contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures
opérationnelles.
36
LES MISSIONS DE L’ASSURANCE MALADIE
EXÉCUTION DES PRESTATIONS
link to page 2 link to page 22
02
EXÉCUTION DES PRESTATIONS - Fiche 17
Traiter les honoraires, montants, forfaits et prestations
établissements de santé et centres de santé (maison de garde, etc.)
Sous-finalités
Fondements juridiques
• Acquérir, contrôler, traiter et enregistrer les informations utiles
• Article 6-1-c du RGPD : le traitement est nécessaire au respect
• Recevoir et gérer les demandes d’honoraires, montants, forfaits et
d’une obligation légale notamment :
prestations des établissements (flux électronique ou format papier)
− Article L. 211-1 du Code de la sécurité sociale
• Rapprocher et vérifier avec les règles relatives aux droits
• Contrôler et mettre en paiement les demandes d’honoraires,
montants, forfaits et prestations
• Appliquer les règles et gérer les frais liés à des situations extra
nationales (UE/Hors UE)
• Communiquer les informations strictement nécessaires au
paiement établissements de santé et centres de santé
• Mettre à disposition des professionnels et établissements les
informations relatives aux droits et au médecin traitant du bénéficiaire
• Produire des statistiques, des indicateurs de pilotage et réaliser
des études et évaluations (mise en œuvre des politiques)
Catégories de personnes concernées
Type de données
• Professionnels de santé
• Pour les Bénéficiaires
• Personnes en charge de la gestion médico-administrative des
− Données d’identification dont le nom, prénom, sexe, date, lieu
établissements sanitaires et médicaux sociaux ou centre de santé
et rang de naissance, NIR
•
−
Bénéficiaires de l’Assurance Maladie (ayant droit/ouvrant droit)
Données de contact dont adresse postale, e-mail et n° de téléphone
− Nationalité
• Agents de l’Assurance Maladie pour traces des actions dans les outils
− Données relatives au rattachement et aux droits dont médecin
traitant déclaré
− Données relatives au bénéfice d’une prestation frais de santé
− Données identifiant bancaire
− Données relatives à la santé dont situation liée à la maternité,
nature et montants des actes, prestations, médicaments ou
produits de santé, statut invalidité, exonération du ticket
modérateur, données relatives à un accident du travail, maladie
professionnelle
− Données relatives à la vie personnelle dont situation familiale
et composition du foyer
− Données du régime de rattachement, adhésion à un organisme
d’assurance maladie complémentaire
• Pour les professionnels exerçant dans les établissements et
centres de santé
− Données d’identification des professionnels dont nom,
prénom, numéros d’identification
− Données relatives à la situation professionnelle dont
profession, spécialité, situation conventionnelle
− Données de contact dont adresse postale, e-mail, n° de téléphone
− Données relatives aux prestations dont actes, produits et
prestations prescrits et exécutés, tarifs, indicateurs d’activité et
relatifs à la pratique, honoraires et rémunérations perçus ainsi
que les indicateurs et la patientèle ayant servi au calcul de ces
rémunérations
• Pour les agents de l’Assurance Maladie
− Données de connexion et traces techniques (logs, connexion)
37
LES MISSIONS DE L’ASSURANCE MALADIE
EXÉCUTION DES PRESTATIONS
link to page 2 link to page 22
02
EXÉCUTION DES PRESTATIONS - Fiche 17
Traiter les honoraires, montants, forfaits et prestations
établissements de santé et centres de santé (maison de garde, etc.)
Destinataires des données
Personnes accédant aux données
• Professionnels de santé ou gestionnaires médico-administratif des
• Tout agent de l’Assurance Maladie strictement habilité à accéder aux
établissements (information sur les soins et prestations remboursés)
données dans le cadre de ses fonctions, dans le respect du principe
• Sont destinataires des données anonymisées, le cas échéant
du besoin d’en connaître et des missions spécialement confiées aux
agrégées, strictement nécessaires à l’exercice de leurs missions,
praticiens conseils et personnes placées sous leur autorité
dans la limite du besoin d’en connaître, les agents de la Haute
Autorité de santé, de la Commission européenne et des ministères
chargés de la sécurité sociale, de l’agriculture et du travail
• Organismes de sécurité sociale étrangers, dans le cadre de
gestion des créances et des dettes internationales de sécurité
sociale, pour le remboursement des prestations prises en charge
au titre de la réglementation européenne ou des conventions
bilatérales ou multilatérales
Durée de conservation
Droits des personnes concernées
• Les données d’identification des bénéficiaires sont conservées
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs
5 ans après la fermeture des droits à l’Assurance Maladie de
à la transparence sur les traitements et sur les informations
l’assuré ou de l’ayant droit ou jusqu’à l’intervention d’une
à communiquer aux personnes concernées, les informations
décision définitive en cas de contentieux. Les données
figurent dans la politique générale de protection des données
concernant les prestations sont conservées 3 ans à partir de
personnelles présente sur ameli.fr.
la date de versement. Au-delà de ce délai, elles sont archivées
• Les droits d’accès et de rectification s’exercent auprès du
pendant une durée de 10 ans.
directeur de la caisse de rattachement de la personne concernée
en contactant le DPO de la caisse.
Justification absence du droit d’opposition
Sécurité des données
• Obligation légale
• Les mesures techniques et organisationnelles sont définies dans
la PSSI-MCAS en application à la Cnam et dans les organismes.
• Elles concernent notamment la gestion des habilitations,
le contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures
opérationnelles.
38
LES MISSIONS DE L’ASSURANCE MALADIE
EXÉCUTION DES PRESTATIONS
link to page 2 link to page 22
02
EXÉCUTION DES PRESTATIONS - Fiche 18
Gérer les prises en charge dérogatoires
Sous-finalités
Fondements juridiques
• Acquérir, contrôler, traiter et enregistrer les informations utiles
• Article 6-1-c du RGPD : le traitement est nécessaire au respect
• Recevoir et gérer les demandes d’honoraires, montants, forfaits
d’une obligation légale notamment :
et prestations des PS, prestataires et fournisseurs de services
− Article L. 211-1 du Code de la sécurité sociale
•
−
Rapprocher et vérifier avec les règles dérogatoires
Toutes dispositions spécifiques attachées à la prestation visée
(victimes attentats, fonds amiante, fonds 51, etc.)
• Contrôler et mettre en paiement les honoraires, montants, forfaits
et prestations des PS et prestataires et fournisseurs de services
• Informer les professionnels sur leurs rémunérations et leur suivi
• Appliquer les règles et gérer les frais liés à des situations extra
nationales (UE/Hors UE)
• Produire des statistiques, des indicateurs de pilotage et réaliser
des études et évaluations (mise en œuvre des politiques)
Catégories de personnes concernées
Type de données
• Bénéficiaires de l’Assurance Maladie entrant dans les dispositifs
• Pour les Bénéficiaires :
dérogatoires ou expérimentations
− Données d’identification dont le nom, prénom, sexe, date, lieu
• Professionnels de santé, prestataires et fournisseurs de services
et rang de naissance, NIR
•
−
Agents de l’Assurance Maladie pour traces des actions dans les outils
Données de contact dont adresse postale, e-mail et n° de téléphone
− Nationalité
− Données relatives au rattachement et aux droits dont médecin
traitant déclaré
− Données relatives au bénéfice d’une prestation frais de santé
− Coordonnées bancaires
− Données relatives à la santé dont situation liée à la maternité,
nature et montants des actes, prestations, médicaments ou
produits de santé, statut invalidité, exonération du ticket
modérateur, données relatives à un accident du travail, maladie
professionnelle, données relatives au suivi médical, dont
résultats clinique
− Données relatives à la vie personnelle dont situation familiale
et composition du foyer, habitudes de vie, isolement,
consultation assistante sociale
− Données du régime de rattachement, adhésion à un organisme
d’assurance maladie complémentaire
• Pour les professionnels de santé, prestataires
et fournisseurs de services :
− Données d’identification dont nom, prénom, numéro
d’identification
− Données relatives à la situation professionnelle dont
profession, spécialité, situation conventionnelle
− Données de contact dont adresse postale, e-mail, n° de téléphone
− Données relatives aux prestations dont actes, produits et
prestations prescrits et exécutés, tarifs, indicateurs d’activité et
relatifs à la pratique, honoraires et rémunérations perçus ainsi
que les indicateurs et la patientèle ayant servi au calcul de ces
rémunérations
• Pour les agents de l’Assurance Maladie :
− Données de connexion et traces des actions dans les outils
39
LES MISSIONS DE L’ASSURANCE MALADIE
EXÉCUTION DES PRESTATIONS
link to page 2 link to page 22
02
EXÉCUTION DES PRESTATIONS - Fiche 18
Gérer les prises en charge dérogatoires
Destinataires des données
Personnes accédant aux données
• Professionnels de santé (information sur les soins remboursés)
• Tout agent de l’Assurance Maladie strictement habilité à accéder
• Prestataires ou fournisseurs de service (information sur les
aux données dans le cadre de ses fonctions, dans le respect du
prestations remboursées)
principe du besoin d’en connaître et des missions spécialement
confiées aux praticiens conseils et personnes placées sous leur
• Sont destinataires des données anonymisées, le cas échéant
autorité
agrégées, strictement nécessaires à l’exercice de leurs missions,
dans la limite du besoin d’en connaître, les agents de la Haute
Autorité de santé ou Agences Régionale de santé, de la Commission
européenne et des ministères chargés de la sécurité sociale, de
l’agriculture et du travail
• Organismes de sécurité sociale étrangers, dans le cadre de gestion
des créances et des dettes internationales de sécurité sociale, pour
le remboursement des prestations prises en charge au titre de la
réglementation européenne ou des conventions bilatérales ou
multilatérales
• Voir également Fiche finalité « dispositif Victimes d’attentats »
Durée de conservation
Droits des personnes concernées
• Les données d’identification des bénéficiaires sont conservées
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs
5 ans après la fermeture des droits à l’Assurance Maladie de
à la transparence sur les traitements et sur les informations
l’assuré ou de l’ayant droit ou jusqu’à l’intervention d’une
à communiquer aux personnes concernées, les informations
décision définitive en cas de contentieux.
figurent dans la politique générale de protection des données
• Les données concernant les prestations sont conservées 3 ans
personnelles présente sur ameli.fr.
à partir de la date de versement. Au-delà de ce délai, elles sont
• Les droits d’accès et de rectification s’exercent auprès du
archivées pendant une durée de 10 ans;
directeur de la caisse de rattachement de la personne concernée
• Dans le cas d’expérimentations, les délais de conservation
en contactant le DPO de la caisse.
peuvent être supérieurs et définis pour chacune d’elles
Justification absence du droit d’opposition
Sécurité des données
• Obligation légale
• Les mesures techniques et organisationnelles sont définies dans
la PSSI-MCAS en application à la Cnam et dans les organismes.
• Elles concernent notamment la gestion des habilitations,
le contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures
opérationnelles.
40
LES MISSIONS DE L’ASSURANCE MALADIE
EXÉCUTION DES PRESTATIONS
link to page 2
03 CONTRÔLE DES PRESTATIONS
Finalités
FICHE 22
FICHE 19
Lutte contre les abus, fautes, fraudes
Gestion et réalisation
des professionnels et établissements de
du contrôle médical
santé, médico-sociaux, d’hébergement
de personnes âgées dépendantes
FICHE 20
FICHE 23
Lutte contre les abus,
Lutte contre les abus, fautes,
fautes, fraudes Internes
fraudes des employeurs et tiers
FICHE 21
Lutte contre les abus, fautes,
fraudes des assurés ayants droit
et bénéficiaires de droits
41
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2 link to page 41
03
CONTRÔLE DES PRESTATIONS - Fiche 19
Gestion et réalisation du contrôle médical
Sous-finalités
Fondements juridiques
• Réaliser les examens cliniques par le contrôle médical dans le
• Article 6-1-c du RGPD : le traitement est nécessaire au respect
cadre des missions de l’Assurance Maladie
d’une obligation légale
• Échange et partage de toute information utile avec les organismes • Articles L. 314-1, L. 315-1, L. 315-2 et L. 315-2-1, L. 142-1 du Code
de protection sociale et tout acteur prévu par la réglementation
de la sécurité sociale
• Produire, gérer, diffuser les avis du contrôle médical
• Article L. 732-5 du Code rural et de la pêche maritime
• Produire des statistiques, des indicateurs de pilotage et réaliser
des études et évaluations (mise en œuvre des politiques)
Catégories de personnes concernées
Type de données
• Bénéficiaires de l’Assurance Maladie
• Pour les bénéficiaires :
• Agents de l’Assurance Maladie
− Données d’identification dont Nom, prénom, NIR, NIA, sexe,
date de naissance, rang de naissance, date de décès, pièce
• Professionnels de santé, les établissements de santé, centres de
d’identité ou titre de séjour, la qualité d’assuré ou d’ayant droit
santé et structures médico-sociales, les auxiliaires médicaux et
et le lien familial éventuel avec l’assuré
autres prestataires de services
− Données de contact dont l’adresse complète, l’information
relative à la résidence en établissement d’hébergement de
personnes âgées dépendantes, l’adresse e-mail et l’adresse
postale
− Données relatives au rattachement dont organisme de
rattachement, l’organisme complémentaire et le régime
− Données relatives à la santé dont diagnostics, traitements, et
toutes les informations nécessaires à la prise en compte de
l’état de santé des personnes tels que la date et consommation
des soins et, les comptes rendu d’examens médicaux
− Données financières dont le bénéfice éventuel de la
couverture maladie universelle, de la couverture maladie
universelle complémentaire ou de l’aide à l’acquisition d’une
complémentaire santé
− Données d’ordre juridique dont l’existence d’une fraude ou d’un
recours contre tiers
• Pour les professionnels de santé, les établissements de santé,
centres de santé et structures médico-sociales, les auxiliaires
médicaux et autres prestataires de services :
− Données d’identification dont numéro FNPS, nom, prénom
− Données relatives à la situation professionnelle dont
profession, spécialité
− Données de contact : adresse, e-mail et numéro de téléphone
− Données d’ordre juridique dont l’existence d’une fraude ou d’un
recours contre tiers
• Pour les agents de l’Assurance Maladie :
− Données de connexion et actions dans le système d’information
de l’Assurance Maladie
Destinataires des données
Personnes accédant aux données
• Professionnels de santé et bénéficiaires destinataires des rapports
• Tout agent de l’Assurance Maladie strictement habilité à accéder
aux données dans le cadre de ses fonctions, dans le respect du
principe du besoin d’en connaître et des missions dévolues aux
praticiens conseils et personnes placées sous leur autorité
42
LES MISSIONS DE L’ASSURANCE MALADIE
CONTRÔLE DES PRESTATIONS
link to page 2 link to page 41
03
CONTRÔLE DES PRESTATIONS - Fiche 19
Gestion et réalisation du contrôle médical
Durée de conservation
Droits des personnes concernées
• Suivant les cas cités ci-dessous, les données sont conservées au
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs
maximum :
à la transparence sur les traitements et sur les informations
− 3 ans après le décès lorsqu’elles sont relatives à un assuré ou
à communiquer aux personnes concernées, les informations
un ayant droit concerné par une affection de longue durée ou
figurent dans la politique générale de protection des données
des prestations soumises à l’accord préalable du service du
personnelles présente sur ameli.fr.
contrôle médical
• Les droits d’accès et de rectification s’exercent auprès du
− 5 ans après le décès lorsqu’elles sont relatives à un assuré ou
directeur de la caisse de rattachement de la personne concernée
un ayant droit concerné par une invalidité ou une inaptitude
en contactant le DPO de la caisse.
− 10 ans après le décès lorsqu’elles sont relatives à un assuré
ou un ayant droit concerné par un accident du travail ou une
maladie professionnelle
• En outre, lorsqu’il existe un recours contre tiers ou un
contentieux, les données sont conservées jusqu’à l’intervention
de la décision définitive. Au-delà des délais susmentionnés,
les données peuvent être archivées pendant 10 ans dans un
environnement logique séparé afin d’assurer une meilleure
gestion des litiges, de la lutte contre la fraude et des recours
contre tiers.
Justification absence du droit d’opposition
Sécurité des données
• Obligation légale
• Les mesures techniques et organisationnelles sont définies dans
la PSSI-MCAS en application à la Cnam et dans les organismes.
• Elles concernent notamment la gestion des habilitations,
le contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures
opérationnelles.
43
LES MISSIONS DE L’ASSURANCE MALADIE
CONTRÔLE DES PRESTATIONS
link to page 2 link to page 41
03
CONTRÔLE DES PRESTATIONS - Fiche 20
Lutte contre les abus, fautes, fraudes Internes
Sous-finalités
Fondements juridiques
• Effectuer les opérations nécessaires au calcul des indus et des
• Article 6-1-c du RGPD : le traitement est nécessaire au respect
sanctions pour suivre et analyser des situations administratives,
d’une obligation légale.
des prestations versées, des soins produits et des biens délivrés
• Articles L. 114-9, L. 224-14 et L. 611-4 du Code de la sécurité
• Élaborer une typologie des risques de fautes, abus et fraudes
sociale.
permettant de mieux cibler les dossiers à contrôler
• Suivre les signalements de suspicions de fautes, abus et fraudes
afin de diligenter les contrôles, mener les investigations et, le cas
échéant, d’engager des actions contentieuses ou des mesures
d’accompagnement et/ou des sanctions RH
• Effectuer des requêtes et produire des statistiques relatives à la
fraude, diffuser les informations utiles et piloter le dispositif
• Réaliser les études et évaluations
Catégories de personnes concernées
Type de données
• Agents de l’Assurance Maladie
• Données d’identification dont NIR, Nom et prénom, date de
• Ayant droit de l’agent Conjoint de l’agent Ascendants et
naissance
descendants de l’agent
• Données de contact dont l’adresse postale
• Données de rattachement dont date de rattachement
• Données concernant le salarié dont numéro d’agent, organisme
de rattachement, niveau hiérarchique, NIR agent
• Données financières et économique dont Coordonnées bancaires
• Informations relatives aux droits et aux dispositifs d’accès aux
soins dont exonérations liées aux ALD et l’ouverture des droits aux
prestations en espèces
• Données relatives à la consommation de soins dont
remboursements des frais de santé et prestations en espèces
• Données d’ordre économique et financier dont déclarations de
ressources si complémentaire santé solidaire
• Données relatives à un accident du travail ou une maladie
professionnelle dont accès aux remboursements des prestations
relatives aux accidents de travail ou maladie professionnelle
• Données relatives à la situation professionnelle dont niveau de
rémunération, éventuellement mi-temps thérapeutique)
• Traces de connexion au système d’information
Destinataires des données
Personnes accédant aux données
• Antenne interrégionale de la Mission nationale de contrôle de la
• Tout agent de l’Assurance Maladie strictement habilité à accéder aux
sécurité sociale Donnée communiquée : nom de l’agent détecteur
données dans le cadre de ses fonctions, dans le respect du principe
du besoin d’en connaître et des missions spécialement confiées aux
praticiens conseils et personnes placées sous leur autorité
44
LES MISSIONS DE L’ASSURANCE MALADIE
CONTRÔLE DES PRESTATIONS
link to page 2 link to page 41
03
CONTRÔLE DES PRESTATIONS - Fiche 20
Lutte contre les abus, fautes, fraudes Internes
Durée de conservation
Droits des personnes concernées
• Les données utilisées pour les contrôles sont conservées au
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs à
maximum 3 ans.
la transparence sur les traitements et sur les informations à
• Les données qui ont fait l’objet d’un contentieux sont conservées
communiquer aux personnes concernées, plusieurs modalités
5 ans à compter de l’intervention d’une décision définitive.
sont réalisées :
− Des informations figurent dans la politique générale de
protection des données personnelles présente sur ameli.fr
− Une mention d’information spécifique le cas échéant a été
diffusée dans chaque caisse
• Les droits d’accès et de rectification s’exercent auprès du directeur
de l’organisme en contactant le DPO de l’organisme de l’agent.
Justification absence du droit d’opposition
Sécurité des données
• Obligation légale
• Les mesures techniques et organisationnelles sont définies dans
la PSSI-MCAS en application à la Cnam et dans les organismes.
• Elles concernent notamment la gestion des habilitations,
le contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures
opérationnelles.
45
LES MISSIONS DE L’ASSURANCE MALADIE
CONTRÔLE DES PRESTATIONS
link to page 2 link to page 41
03
CONTRÔLE DES PRESTATIONS - Fiche 21
Lutte contre les abus, fautes, fraudes des assurés ayants droit
et bénéficiaires de droits
Sous-finalités
Fondements juridiques
• Élaborer une typologie des risques de fautes, abus et fraudes
• Article 6-1-c du RGPD : le traitement est nécessaire au respect
permettant de mieux cibler les dossiers à contrôler
d’une obligation légale notamment :
• Détecter les suspicions de fraudes/fautes et abus en mettant en
− Articles L. 114-9, L. 224-14, L. 315-1, L. 114-10-1, L. 114-10-3,
œuvre des requêtes sur les bases de données ou par modélisation
L. 114-12, L. 114-14, L. 114-19 du Code de la sécurité sociale
(datamining), exploiter les signalements
• Mener les investigations des suspicions de fraudes/fautes et abus
en mettant en œuvre des contrôles
• Échanger et partager toute information utile entre les acteurs
concernés de l’Assurance Maladie
• Échanger et partager toute information utile avec les organismes
de protection sociale et tout acteur prévu par la réglementation
• Effectuer les opérations nécessaires au calcul des préjudices, des
indus et des sanctions financières
• Suivre les signalements de suspicions de fautes, abus et fraudes afin de
diligenter les contrôles, mener les investigations et, le cas échéant,
d’engager des actions contentieuses ou des mesures d’accompagnement
• Produire des statistiques, les exploiter et piloter le dispositif
Catégories de personnes concernées
Type de données
• Bénéficiaires Ayant droit, conjoint, ascendants ou descendants
• Pour les bénéficiaires :
du bénéficiaire
− Données d’identification des personnes, auteurs ou concernés
• Personnes concernées par l’abus, la faute, la fraude :
par une faute, abus ou fraude dont nom, prénom, NIR,
victime, témoin, co-auteur, complice
sexe, date de naissance, lieu de naissance, numéro de pièce
d’identité ou titre de séjour
• Agents de l’Assurance Maladie pour traces des actions dans les outils
− Données de contact dont coordonnées postales, téléphoniques
et électroniques
− Données relatives au rattachement et aux droits
− Coordonnées bancaires
− Données décrivant les caractéristiques de la faute, fraude ou
abus dont branche, service, prestation ou droit concerné,
période des faits, modalités de détection, type de faute, abus
ou fraude, évaluation du montant du préjudice subi ou évité
− Données relatives à la consommation de soins dont
remboursements des frais de santé et prestations en espèces
− Données d’ordre économique et financier dont déclarations de
ressources, surface habitable du logement, données issues du
droit de communication bancaire
− Données relatives à un accident du travail ou une maladie
professionnelle dont accès aux remboursements des prestations
relatives aux accidents de travail ou maladie professionnelle
− Le pays où les soins ont été réalisés
• Pour les tiers concernés en tant que victimes, témoins, complices,
co-auteusr potentiels :
− Données d’identification dont NIR à l’exception des témoins
sauf si cette information est utile à l’enquête
− En cas de faute, abus ou fraude avérés : Données relatives au suivi
et actions engagées, infractions, condamnations ou mesures de
sûreté, en particulier faits litigieux à l’origine de la procédure
• Pour les agents de l’Assurance Maladie :
− Données de connexion et traces techniques (logs, connexion)
46
LES MISSIONS DE L’ASSURANCE MALADIE
CONTRÔLE DES PRESTATIONS
link to page 2 link to page 41
03
CONTRÔLE DES PRESTATIONS - Fiche 21
Lutte contre les abus, fautes, fraudes des assurés ayants droit
et bénéficiaires de droits
Destinataires des données
Personnes accédant aux données
• Professionnels de santé et bénéficiaires destinataires des rapports
• Tout agent de l’Assurance Maladie strictement habilité à accéder
aux données dans le cadre de ses fonctions, dans le respect du
principe du besoin d’en connaître et des missions dévolues aux
praticiens conseils et personnes placées sous leur autorité
Durée de conservation
Droits des personnes concernées
• Suivant les cas cités ci-dessous, les données sont conservées au
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs
maximum :
à la transparence sur les traitements et sur les informations
− 3 ans après le décès lorsqu’elles sont relatives à un assuré ou
à communiquer aux personnes concernées, les informations
un ayant droit concerné par une affection de longue durée ou
figurent dans la politique générale de protection des données
des prestations soumises à l’accord préalable du service du
personnelles présente sur ameli.fr.
contrôle médical
• Les droits d’accès et de rectification s’exercent auprès du
− 5 ans après le décès lorsqu’elles sont relatives à un assuré ou
directeur de la caisse de rattachement de la personne concernée
un ayant droit concerné par une invalidité ou une inaptitude
en contactant le DPO de la caisse.
− 10 ans après le décès lorsqu’elles sont relatives à un assuré
ou un ayant droit concerné par un accident du travail ou une
maladie professionnelle
• En outre, lorsqu’il existe un recours contre tiers ou un
contentieux, les données sont conservées jusqu’à l’intervention
de la décision définitive. Au-delà des délais susmentionnés,
les données peuvent être archivées pendant 10 ans dans un
environnement logique séparé afin d’assurer une meilleure
gestion des litiges, de la lutte contre la fraude et des recours
contre tiers.
Justification absence du droit d’opposition
Sécurité des données
• Obligation légale
• Les mesures techniques et organisationnelles sont définies dans
la PSSI-MCAS en application à la Cnam et dans les organismes.
• Elles concernent notamment la gestion des habilitations,
le contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures
opérationnelles.
47
LES MISSIONS DE L’ASSURANCE MALADIE
CONTRÔLE DES PRESTATIONS
link to page 2 link to page 41
03
CONTRÔLE DES PRESTATIONS - Fiche 22
Lutte contre les abus, fautes, fraudes des professionnels et
établissements de santé, médico-sociaux, d’hébergement de
personnes âgées dépendantes
Sous-finalités
Fondements juridiques
• Élaborer une typologie des risques de fraudes, fautes, abus et pratiques • Article 6-1-c du RGPD : le traitement est nécessaire au respect
dangereuses permettant de mieux cibler les dossiers à contrôler
d’une obligation légale notamment :
• Détecter les suspicions de fraudes, fautes, abus et pratiques
− Articles L. 114-9 et suivants du Code de la sécurité sociale
dangereuses, en mettant en œuvre des requêtes sur les bases de
− Article L. 224-14 du Code de la sécurité sociale
données ou par des modèles statistiques et exploiter les signalements
− Article L. 315-1 du Code de la sécurité sociale
• Mener les investigations des suspicions de fraudes, fautes, abus
− Article L. 162-23-13 du Code de la sécurité sociale
et pratiques dangereuses, pour mettre en œuvre des contrôles et
− Article L. 162-1-19 du Code de la sécurité sociale
pour engager des actions dont des contentieux ou des mesures
d’accompagnement
• Échanger et partager toutes informations utiles entre les acteurs
concernés de l’Assurance Maladie
• Échanger et partager toutes informations utiles avec les organismes
de protection sociale et tout acteur prévu par la réglementation
• Effectuer les opérations nécessaires au calcul des préjudices,
des indus, des sanctions
• Produire des statistiques, les exploiter et piloter le dispositif
• Recueillir les informations susceptibles de constituer un manquement
aux règles de déontologie de la part d’un professionnel de santé inscrit
à un ordre professionnel et les communiquer à l’ordre compétent en
application du Code de la sécurité sociale
Catégories de personnes concernées
Type de données
• Assurés, Bénéficiaires ou leurs ayants droit
• Pour les Assurés ou leurs ayants droit, bénéficiaires ou
• Offreurs de soins et prestataires de biens et de services et leurs
demandeurs de droits :
salariés et/ou représentants légaux
− Données d’identification dont nom, prénom, NIR, date et rang
de naissance, photographie
• Personnes concernées par l’abus, la faute, la fraude et pratique
−
dangereuse : victime, témoin, co-auteur, complice
Données de contact dont domiciliation, information relative
à la résidence en établissement d’hébergement de personnes
• Données des agents de l’Assurance Maladie pour les traces des
âgées dépendantes, adresse e-mail et téléphone
agents dans les outils
− Données relatives au rattachement dont organisme de
rattachement, organisme complémentaire et régime
− Données de santé dont diagnostics, traitements, examens
complémentaires, contenu des pièces justificatives ; données issues
des protocoles de soins, nature des actes et des soins, données de
remboursement et de demandes de prestations, toutes les données
relatives à l’état de santé de l’assuré (existence d’une hospitalisation,
existence d’une grossesse ou d’une affection de longue durée,
existence d’une maladie professionnelle, d’un accident du travail
ou d’une inaptitude, etc.) ; données d’hospitalisation (données
administratives et de séjour et toutes données médicales)
− Données de codification dont code CIM, codes des prestations
remboursées, codes des actes remboursés
− Données financières dont le bénéfice éventuel de droits soumis
à condition de ressources (C2S, AME, ASI…)
− Données relatives à l’ouverture des droits dont données
administratives, exonération du ticket modérateur
− Personnes concernées par la fraude, faute, abus ou pratique
dangereuse : victime, témoin, co-auteur, complice
48
LES MISSIONS DE L’ASSURANCE MALADIE
CONTRÔLE DES PRESTATIONS
link to page 2 link to page 41
03
CONTRÔLE DES PRESTATIONS - Fiche 22
Lutte contre les abus, fautes, fraudes des professionnels et
établissements de santé, médico-sociaux, d’hébergement de
personnes âgées dépendantes
Catégories de personnes concernées
Type de données (suite)
• Assurés, Bénéficiaires ou leurs ayants droit
− Données d’identification dont l’identification des tiers concernés,
• Offreurs de soins et prestataires de biens et de services et leurs
en particulier en tant que victime, témoin des faits, complice ou
salariés et/ou représentants légaux
coauteur potentiel, comportant éventuellement, sauf pour les
témoins des faits, le NIR lorsque cette information est utile aux
• Personnes concernées par l’abus, la faute, la fraude et pratique
besoins de l’enquête ; copie du justificatif d’identité au besoin
dangereuse : victime, témoin, co-auteur, complice
− Données financières dont relevé de compte bancaire, sauf
• Données des agents de l’Assurance Maladie pour les traces des
concernant les personnes victimes ou témoin
agents dans les outils
− Données d’ordre juridique dont PV d’audition et pièces
complémentaires
• Pour les Offreurs de soins et prestataires de biens et de services et
leurs salariés et/ou représentants légaux
− Données d’identification dont nom, prénom, date de
naissance, numéro RPPS, numéro AM, raison sociale, identifiant
SIRET, noms, prénoms et date de naissance du représentant
légal et adresse du siège social ; validité du permis de conduire
− Données professionnelles dont spécialité, diplômes, compétences,
site(s) d’exercice, mode d’exercice, patientèle, plaque
d’immatriculation d’un véhicule et autorisation de stationnement
− Données de contact dont adresse de contact, lieu d’exercice,
numéro de téléphone, adresse e-mail, URL site web - Données
financières dont relevés de comptes bancaires, relevés
d’honoraires, RIAP, montant des revenus déclarés, salaire
− Données d’ordre juridique dont condamnation, interdiction
d’exercer ou du droit de donner des soins aux assurés, existence
d’une fraude ou faute antérieure, déconventionnement
− Données relatives aux actions engagées, dont indus, sanctions,
signalements auprès du Conseil de l’Ordre et/ou de l’ARS
• Pour les agents de l’Assurance Maladie
− Données de connexion et actions dans le système d’information
de l’Assurance Maladie
Destinataires des données
Personnes accédant aux données
• Ces informations peuvent être transmises à la direction et aux
• Tout agent de l’Assurance Maladie strictement habilité à accéder
services compétents d’un autre organisme d’assurance malade ou
aux données dans le cadre de ses fonctions, dans le respect du
du service médical, ainsi qu’aux autorités de tutelles et aux agents
principe du besoin d’en connaître et des missions dévolues aux
de l’Etat ou des organismes mentionnés l’article L. 114.16-3 du
agents des caisses, aux praticiens conseils et personnes placées
Code de la sécurité sociale, ainsi qu’aux Ordres professionnels et la
sous leur autorité
personne mis en cause.
49
LES MISSIONS DE L’ASSURANCE MALADIE
CONTRÔLE DES PRESTATIONS
link to page 2 link to page 41
03
CONTRÔLE DES PRESTATIONS - Fiche 22
Lutte contre les abus, fautes, fraudes des professionnels et
établissements de santé, médico-sociaux, d’hébergement de
personnes âgées dépendantes
Durée de conservation
Droits des personnes concernées
• Les données enregistrées dans les outils de gestion des alertes
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs à
sont conservées pour une durée maximale de 5 ans. Toute alerte
la transparence sur les traitements et sur les informations à
non pertinente est supprimée sans délai.
communiquer aux personnes concernées, les informations
• Les données de signalement des fautes, abus et fraudes et
figurent dans la politique générale de protection des données
anomalies sont conservées pour des durées maximales de :
personnelles présente sur ameli.fr.
− Un an pour les dossiers classés sans suite par l’organisme ou
• En plus de cette information générale, une information
ayant fait l’objet d’une décision de non-lieu ou de relaxe à
individuelle est apportée aux personnes concernées pour qu’elles
compter de la date de cette décision ;
soient en mesure de pouvoir apporter des observations dans le
− Un an pour les dossiers classés sans suite par le procureur de
respect du contradictoire. L’information est fournie par courriers
la République sauf s’ils font encore l’objet d’une procédure de
aux personnes concernées selon des modalités qui diffèrent selon
sanction ou conventionnelle ;
l’issue des investigations.
− 5 ans à compter de l’intervention d’une décision définitive en
• Les droits d’accès et de rectification s’exercent auprès du
cas de contentieux, dans les autres cas.
directeur de la caisse de rattachement de la personne concernée
• Les données issues de requêtes pour la réalisation du ciblage des
en contactant le DPO de la caisse.
dossiers à contrôler sont conservées jusqu’au ciblage suivant sur
le même type de faute, abus ou fraude ou la même personne et
pendant une durée qui ne peut excéder 3 ans.
• Au-delà de leur délai de conservation, les données mentionnées à
l’exception des données relatives aux dossiers classés sans suite,
peuvent être archivées pour une période de 5 ans maximum dans
un environnement logique séparé, aux fins d’évaluation.
• Les durées sont celles qui avaient fait l’objet d’une demande
d’avis à la Cnil sur le projet de décret en conseil d’Etat de 2015
(Décret n° 2015-389 du 3 avril 2015).
Justification absence du droit d’opposition
Sécurité des données
• Obligation légale
• Les mesures techniques et organisationnelles sont définies dans
la PSSI-MCAS en application à la Cnam et dans les organismes.
• Elles concernent notamment la gestion des habilitations,
le contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures
opérationnelles.
50
LES MISSIONS DE L’ASSURANCE MALADIE
CONTRÔLE DES PRESTATIONS
link to page 2 link to page 41
03
CONTRÔLE DES PRESTATIONS - Fiche 23
Lutte contre les abus, fautes, fraudes des employeurs et tiers
Sous-finalités
Fondements juridiques
• Élaborer une typologie des risques de fautes, abus et fraudes
• Article 6-1-c du RGPD : le traitement est nécessaire au respect
permettant de mieux cibler les dossiers à contrôler
d’une obligation légale.
• Détecter les suspicions de fraudes/fautes et abus en mettant en
• Articles L. 224-14 et L. 315-1 du Code de la sécurité sociale
œuvre des requêtes sur les bases de données ou par modélisation
Datamining, exploiter les signalements
• Mener les investigations des suspicions de fraudes/fautes et abus
en mettant en œuvre des contrôles
• Échanger et partager toute information utile entre les acteurs
concernés de l’Assurance Maladie
• Échanger et partager toute information utile avec les organismes
de protection sociale et tout acteur prévu par la réglementation
• Effectuer les opérations nécessaires au calcul des préjudices, des
indus et des sanctions financières
• Suivre les signalements de suspicions de fautes, abus et fraudes
afin de diligenter les contrôles, mener les investigations et, le cas
échéant, d’engager des actions contentieuses ou des mesures
d’accompagnement
• Produire des statistiques, les exploiter et piloter le dispositif
Catégories de personnes concernées
Type de données
• Assuré victime d’AT/MP
• Données d’identification assuré
• Employeur de la victime
• Victime dont nom, prénom, date de naissance, données de
• Agents des organismes (CPAM, CARSAT, CGSS…) pour les traces
rattachement
• Données décrivant les caractéristiques de la faute, l’abus ou la
fraude, dont identification des tiers concernés, information utiles
relatives à la prestation ou droit servi
• Données relatives à la situation professionnelle dont les données
concernant les circonstances du sinistre (numéro de sinistre, date,
type…)
• Données relatives aux professionnels de santé, établissement
• Données relatives à l’employeur dont SIRET, raison sociale
• Données relatives aux actions engagées à l’initiative des
organismes, dont montant indu, pénalité financière
• Données d’ordre économique dont données bancaires (mode de
paiement, RIB, etc.)
• Données de connexion et traces techniques (logs, connexion) des
agents exploitables en cas d’incident de sécurité ou de violation
de données personnelles
Destinataires des données
Personnes accédant aux données
• Les agents des organismes mentionnés à l’article L. 114-16-3 du
• Tout agent de l’Assurance Maladie strictement habilité à accéder aux
Code de la sécurité sociale
données dans le cadre de ses fonctions, dans le respect du principe
• Les agents dépendant du ministère chargé des finances publiques
du besoin d’en connaître et des missions spécialement confiées aux
chargés de la lutte contre la fraude
praticiens conseils et personnes placées sous leur autorité
51
LES MISSIONS DE L’ASSURANCE MALADIE
CONTRÔLE DES PRESTATIONS
link to page 2 link to page 41
03
CONTRÔLE DES PRESTATIONS - Fiche 23
Lutte contre les abus, fautes, fraudes des employeurs et tiers
Durée de conservation
Droits des personnes concernées
• 5 ans à compter de l’intervention d’une décision définitive en cas
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs à
de contentieux
la transparence sur les traitements et sur les informations à
communiquer aux personnes concernées, plusieurs modalités
sont réalisées :
− Des informations figurent dans la politique générale de
protection des données personnelles présente sur ameli.fr
− Une mention d’information spécifique le cas échéant
− Une mention dans les supports de la promotion (mention
e-mail, mention dans le courrier papier, par téléphone)
• Les droits d’accès et de rectification s’exercent auprès du
directeur de la caisse de rattachement de la personne concernée
en contactant le DPO de la caisse.
Justification absence du droit d’opposition
Sécurité des données
• Obligation légale
• Les mesures techniques et organisationnelles sont définies dans
la PSSI-MCAS en application à la Cnam et dans les organismes.
• Elles concernent notamment la gestion des habilitations,
le contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures
opérationnelles.
52
LES MISSIONS DE L’ASSURANCE MALADIE
CONTRÔLE DES PRESTATIONS
link to page 2 link to page 41
03
CONTRÔLE DES PRESTATIONS - Fiche 24
Gestion des indus, sommes dues auprès des assurés, professionnels,
établissements, employeurs (recouvrement des créances)
Sous-finalités
Fondements juridiques
• Identifier les sommes à recouvrer auprès des assurés,
• Article 6-1-c du RGPD : le traitement est nécessaire au respect
professionnels, établissements, employeurs
d’une obligation légale.
• Notifier des sommes dues après des personnes concernées
• Ce traitement est fondé sur les dispositions du Code de la sécurité
• Récupérer les indus de manière automatique ou manuelle
sociale (notamment les articles L. 133-4 et suivants, L. 161-1-5,
L. 861-1 et R. 861-22) et les dispositions du Code civil (notamment
• Traiter le recouvrement amiable par relances téléphoniques ou écrites
les articles 1302 et 1302-1).
• Traiter le recouvrement contentieux si nécessaire, par mise en
demeure, contrainte, injonction
• Produire des statistiques, des indicateurs de pilotage et réaliser
des études et évaluations (mise en œuvre des politiques)
Catégories de personnes concernées
Type de données
• Bénéficiaires de l’Assurance Maladie
• Pour les Bénéficiaires :
• Professionnels santé et autres acteurs du secteur
− Données d’identification dont le nom, prénom, NIR, immatriculation
sanitaire social et médico-social
temporaire ou numéro identifiant d’attente
•
−
Employeurs
Données de contact dont adresse postale, e-mail et n° de téléphone
− Données relatives au rattachement et aux droits dont médecin traitant déclaré
• Agents de l’Assurance Maladie pour traces des
− Données concernant le bénéfice d’une prestation frais de santé
actions dans les outils
− Coordonnées bancaires
− Données concernant la situation professionnelle dont retraité, chômage
− Données concernant la santé dont situation liée à la maternité, nature et
montants des actes, prestations, médicaments ou produits de santé, statut
invalidité, exonération du ticket modérateur, données relatives à un AT/MP,
prestations en espèce (indemnités journalières)
− Données relatives à la créance dont notamment la cause, la nature, le montant des
sommes réclamées et la date du ou des versements donnant lieu à recouvrement,
les dates et montants des récupérations sur prestations le cas échéant
− Données concernant la vie personnelle dont situation familiale et
composition du foyer
− Données concernant le rattachement à une complémentaire santé
− Toute information communiquée par le bénéficiaire ou tiers intervenant
à l’Assurance Maladie dans le cadre de ces procédures
• Pour les professionnels santé et autres acteurs
du secteur sanitaire social et médico-social :
− Données d’identification dont nom, prénom, numéros d’identification
− Données relatives à la situation professionnelle dont profession, spécialité,
situation conventionnelle
− Données de contact dont adresse postale, e-mail, n° de téléphone
− Données relatives aux prestations dont actes, produits et prestations prescrits
et exécutés, tarifs, indicateurs d’activité et relatifs à la pratique, honoraires et
rémunérations perçus ainsi que les indicateurs et la patientèle ayant servi au
calcul de ces rémunérations
− Données relatives à la créance dont notamment la cause, la nature, le montant des
sommes réclamées et la date du ou des versements donnant lieu à recouvrement,
les dates et montants des récupérations sur prestations le cas échéant
− Toute information communiquée par les professionnels ou tiers intervenants
à l’Assurance Maladie dans le cadre de ces procédures
• Pour les agents de l’Assurance Maladie :
− Données de connexion et actions dans le système d’information de
l’Assurance Maladie
53
LES MISSIONS DE L’ASSURANCE MALADIE
CONTRÔLE DES PRESTATIONS
link to page 2 link to page 41
03
CONTRÔLE DES PRESTATIONS - Fiche 24
Gestion des indus, sommes dues auprès des assurés, professionnels,
établissements, employeurs (recouvrement des créances)
Destinataires des données
Personnes accédant aux données
• Juridiction ou expert concernés (dont tiers intervenants) en cas
• Tout agent de l’Assurance Maladie strictement habilité à accéder
de recouvrement contentieux
aux données dans le cadre de ses fonctions, dans le respect du
• Autres organismes de sécurité sociale dans le cadre de la
principe du besoin d’en connaître et des missions dévolues aux
fongibilité interbranche prévue par l’article L.133-4-1 du Code de
praticiens conseils et personnes placées sous leur autorité
la sécurité sociale
Durée de conservation
Droits des personnes concernées
• Les durées de conservations des données sont celles déclarées
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs
dans le cadre des dispositifs à l’origine de la donnée. Le dossier
à la transparence sur les traitements et sur les informations
est conservé tant qu’il n’est pas soldé. Le dossier est soldé lorsque
à communiquer aux personnes concernées, les informations
la dette est éteinte. Les courriers composés dans le cadre de la
figurent dans la politique générale de protection des données
procédure de récupération de la créance sont conservés jusqu’à
personnelles présente sur ameli.fr.
extinction de la dette du redevable pour pouvoir mettre en œuvre
• Les droits d’accès et de rectification s’exercent auprès du
toutes les phases du recouvrement.
directeur de la caisse de rattachement de la personne concernée
en contactant le DPO de la caisse.
Justification absence du droit d’opposition
Sécurité des données
• Obligation légale
• Les mesures techniques et organisationnelles sont définies dans
la PSSI-MCAS en application à la Cnam et dans les organismes.
• Elles concernent notamment la gestion des habilitations,
le contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures
opérationnelles.
54
LES MISSIONS DE L’ASSURANCE MALADIE
CONTRÔLE DES PRESTATIONS
link to page 2
04 PRÉVENTION, COORDINATION
ET ORGANISATION DES SOINS
Finalités
FICHE 25
FICHE 29
Gestion des programmes de prévention
Gestion et mise en œuvre
et d’accompagnement des assurés
du Dossier Médical Partagé
sociaux « services en santé »
FICHE 26
FICHE 30
Gestion et mise en œuvre
Gestion et aide à l’organisation de
des campagnes et actions
la pratique des professionnels et
de prévention
des établissements de santé
FICHE 27
Gestion et mise en œuvre
FICHE 31
de la prévention des
Informer les publics sur l’offre de soins
risques professionnels
FICHE 32
FICHE 28
Espace numérique de santé (ENS).
Gestion et mise en œuvre de
Permettre aux usagers de gérer leurs
l’information des publics sur les risques
données de santé en lien avec les
liés à des produits de santé
acteurs des secteurs sanitaires, social
et médico-social afin de favoriser la
prévention, la coordination, la qualité
et la continuité des soins
55
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2 link to page 55
04
PRÉVENTION, COORDINATION
ET ORGANISATION DES SOINS - Fiche 25
Gestion des programmes de prévention et d’accompagnement
des assurés sociaux « services en santé »
Sous-finalités
Fondements juridiques
• Identification, sélection des assurés, professionnels et employeurs
• Article 6-1-e du RGPD : le traitement est nécessaire à l’exécution
• Sollicitation des assurés, employeurs et professionnels
d’une mission d’intérêt public de la Cnam.
• Mise en œuvre des programmes
• La mission d’intérêt public est notamment fondée sur les articles
L. 162-1-11 et L. 221-1 du Code de la sécurité sociale.
• Opérations de communication
• En fonction des programmes ou services en santé, les textes
• Échanges d’informations entre les acteurs et restitution de
qui fondent le traitement peuvent également se rapporter à
l’information
des dispositions des textes conventionnels conclus avec les
• Invitation et gestion de RDV
représentants des professionnels de santé.
• Traitement des honoraires, montants, forfaits et prestations des
professionnels de santé et prestataires et fournisseurs de services
dont gestion des contestations
• Suivi statistique et pilotage des dispositifs et actions de gestion
du risque
• Évaluation de la satisfaction
• Évaluation médico-économique
Catégories de personnes concernées
Type de données
• Assurés : éligibles, témoins (ex : autres départements), adhérents • Pour les assurés :
aux programmes de prévention ou d’accompagnement
− Données d’identification dont NIR, nom, prénom, date et
• Professionnels participant aux programmes de prévention ou
lieu de naissance, statut d’éligibilité ou adhésion, numéro
d’accompagnement en santé
identifiant spécifique au projet
•
−
Professionnels de groupes ou territoires témoins
Données de contact dont adresse postale, numéros de
téléphone, adresse électronique
• Autres professionnels ou acteurs concernés par les programmes
− Données relatives au rattachement et aux droits à l’Assurance
• Agents de l’Assurance Maladie pour traces des actions dans les outils
Maladie dont organisme de rattachement, régime d’affiliation,
•
exonération du ticket modérateur, protection complémentaire,
Les adhérents aux programmes, régime général ou autres
régimes, ont donné leur accord pour participer. Ils sont libres de
− Données concernant la santé dont consommation de soins, de
quitter le programme à tout moment.
médicaments ou produits de santé, grossesse, hospitalisation,
− Données d’identification et contact du médecin traitant
− Données relatives à la vie personnelle dont habitudes de vie,
alimentaires, relatives à l’activité physique, poids
− Données relatives à la situation professionnelle
− Données relatives à l’accompagnement et aux actions mises en
œuvre dans le cadre des programmes de prévention dont date
d’adhésion, dates d’entretien, type d’accompagnement,
• Pour les professionnels de santé et acteurs des programmes de
prévention ou de groupes témoins :
− Données d’identification dont numéro identifiant
− Données de contact dont adresse électronique, téléphone
− Données relatives à l’activité professionnelle dont la spécialité
− Données relatives aux programmes auxquels ils participent ou
pour lesquels ils sont identifiés comme témoins
• Pour les agents de l’Assurance Maladie
− Données d’activité des centres d’accompagnement dont dates
des entretiens, de recueil des informations
56
LES MISSIONS DE L’ASSURANCE MALADIE
PRÉVENTION, COORDINATION ET ORGANISATION DES SOINS
link to page 2 link to page 55
04
PRÉVENTION, COORDINATION
ET ORGANISATION DES SOINS - Fiche 25
Gestion des programmes de prévention et d’accompagnement
des assurés sociaux « services en santé »
Destinataires des données
Personnes accédant aux données
• Bénéficiaires pour les données les concernant
• Tout agent de l’Assurance Maladie strictement habilité à accéder
• Professionnels de santé intervenant dans le cadre des
aux données dans le cadre de ses fonctions, dans le respect du
programmes ou témoins pour les patients dont ils participent à la
principe du besoin d’en connaître et des missions dévolues aux
prise en charge
praticiens conseils et personnes placées sous leur autorité
• Médecin traitant des bénéficiaires des programmes
• Autres régimes pour leurs bénéficiaires
• Sont destinataires des données anonymisées, le cas échéant
agrégées, strictement nécessaires à l’exercice de leurs missions,
dans la limite du besoin d’en connaître, les agents du ministère
de la santé et des solidarités et les autorités sanitaires concernées
(HAS, ARS, ANSM, etc…).
Durée de conservation
Droits des personnes concernées
• Pour les adhérents :
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs à
− Toute la durée de l’accompagnement puis 3 ans à partir de la
la transparence sur les traitements et sur les informations à
sortie du programme données conservées en base courante ;
communiquer aux personnes concernées, les informations
• Pour les éligibles :
figurent dans la politique générale de protection des données
personnelles présente sur ameli.fr.
− 3 ans à compter du dernier événement ;
• Les droits d’accès et de rectification s’exercent auprès du
• Pour les professionnels :
directeur de la caisse de rattachement de la personne concernée
− 3 ans après constatation de l’inactivité d’un professionnel
en contactant le DPO de la caisse.
n’ayant plus de patients éligibles au service ;
• Au-delà de ce délai :
− Archivage intermédiaire de 3 ans + année en cours pour
données de consommation et données du programme
− 5 ans à des fins d’évaluation, sous forme de cohorte pour
un échantillon représentatif de personnes éligibles et de
personnes adhérentes à compter de la dernière proposition
d’adhésion ou de la sortie du programme et jusqu’à 15 ans pour
les programmes destinés à l’accompagnement des pathologies
chroniques
Justification absence du droit d’opposition
Sécurité des données
• Les mesures techniques et organisationnelles sont définies dans
la PSSI-MCAS en application à la Cnam et dans les organismes.
• Elles concernent notamment la gestion des habilitations,
le contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures
opérationnelles.
57
LES MISSIONS DE L’ASSURANCE MALADIE
PRÉVENTION, COORDINATION ET ORGANISATION DES SOINS
link to page 2 link to page 55
04
PRÉVENTION, COORDINATION
ET ORGANISATION DES SOINS - Fiche 26
Gestion et mise en œuvre des campagnes et actions de prévention
Sous-finalités
Fondements juridiques
• Identifier et cibler les bénéficiaires et/ou des professionnels concernés • Article 6-1-c du RGPD : le traitement est nécessaire au respect
• Réaliser ou permettre aux autorités publiques compétentes de
d’une obligation légale.
réaliser des sollicitations, invitations, relances, mise à disposition
• Article 6-1-e du RGPD : le traitement est nécessaire à l’exécution
de bons de prise en charge, de produits/dispositifs médicaux
d’une mission d’intérêt public de la Cnam.
(ex : masques) ou d’opérations de communication
• L’obligation comme la mission d’intérêt public sont notamment
• Assurer ou permettre aux autorités publiques compétentes
fondés sur les articles L. 162-1-11 et L. 221-1 du Code de la sécurité
d’assurer la sensibilisation et l’incitation au recours à certains
sociale en fonction du périmètre et des opérations de traitements.
actes ou produits de santé
• Les actions spécifiques de prévention ou dépistage peuvent
• Réaliser les échanges avec les organismes ou structures
également relever de textes qui leur sont propres (par exemple
compétentes (ex : centres régionaux de coordination des
arrêtés relatifs aux dépistages organisés des cancers).
dépistages des cancers)
• Produire des statistiques, indicateurs de pilotage et réaliser des études,
enquêtes préalables et évaluations (mise en œuvre des politiques)
Catégories de personnes concernées
Type de données
• Bénéficiaires de l’Assurance Maladie et leurs ayants-droit
• Pour les Bénéficiaires et leurs ayants-droit :
• Professionnels de santé et autres acteurs du secteur sanitaire
− Données d’identification dont le nom, prénom, sexe, date, lieu
social et médico-social
et rang de naissance, NIR
•
−
Agents de l’Assurance Maladie pour traces des actions dans les outils
Données de contact dont adresse postale, e-mail et n° de téléphone
− Données relatives au rattachement et aux droits dont médecin
traitant déclaré
− Données concernant le rattachement à une complémentaire santé
− Données relative au bénéfice d’une prestation frais de santé
− Données concernant la situation professionnelle dont retraité,
chômage
− Données relatives à la santé dont situation liée à la maternité, nature
et montants des actes, prestations, médicaments ou produits de
santé, statut invalidité, exonération du ticket modérateur, données
relatives à un accident du travail/maladie professionnelle
− Données concernant la vie personnelle dont situation familiale
et composition du foyer
• Pour les Professionnels santé et autres acteurs du secteur
sanitaire social et médico-social :
− Données d’identification dont nom, prénom, numéros
d’identification
− Données relatives à la situation professionnelle dont
profession, spécialité, situation conventionnelle
− Données de contact dont adresse postale, e-mail, n° de téléphone
− Données relatives aux prestations dont actes, produits et
prestations prescrits et exécutés, tarifs, indicateurs d’activité et
relatifs à la pratique, honoraires et rémunérations perçus ainsi
que les indicateurs et la patientèle ayant servi au calcul de ces
rémunérations
− Données relatives aux offres et produits de l’Assurance Maladie
dont les programmes dans le cadre desquels le professionnel
intervient ou participe
• Pour les agents de l’Assurance Maladie
− Données de connexion et actions dans le système d’information
de l’Assurance Maladie
58
LES MISSIONS DE L’ASSURANCE MALADIE
PRÉVENTION, COORDINATION ET ORGANISATION DES SOINS
link to page 2 link to page 55
04
PRÉVENTION, COORDINATION
ET ORGANISATION DES SOINS - Fiche 26
Gestion et mise en œuvre des campagnes et actions de prévention
Destinataires des données
Personnes accédant aux données
• Les bénéficiaires eux-mêmes et leurs ayants-droit via le compte
• Tout agent de l’Assurance Maladie strictement habilité à accéder aux
ameli ou par courrier
données dans le cadre de ses fonctions, dans le respect du principe
• Les professionnels sont destinataires des informations
du besoin d’en connaître et des missions spécialement confiées aux
concernant leurs prescriptions ainsi que leur patientèle
praticiens conseils et personnes placées sous leur autorité
• Les organismes ou structures compétentes en matière de
prévention et dépistage selon les missions et l’encadrement
prévus par les textes
• Les Centres Régionaux de Coordination des Dépistages des
Cancers sont destinataires des seules données d’identification,
médicales et des professionnels de santé pour leur périmètre
géographique
• Le sous-traitants des autorités publiques compétentes peuvent
être destinataires des données d’identification et de contact
nécessaires à la réalisation d’une action/campagne
• Le ministère des solidarités et de la santé et les autorités
sanitaires concernées (ARS, ANSM, etc.) sont destinataires des
données statistiques et agrégées nécessaires à l’exercice de leurs
missions, dans la limite du besoin d’en connaître.
Durée de conservation
Droits des personnes concernées
• Les données des personnes concernées sont conservées pendant • Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs à
toute la durée de la campagne ou de l’action augmentée
la transparence sur les traitements et sur les informations à
d’un délai de gestion de 12 mois permettant, notamment,
communiquer aux personnes concernées, les informations
de ne pas les solliciter trop fréquemment.
figurent dans la politique générale de protection des données
• Les données de connexion de l’Assurance Maladie sont
personnelles présente sur ameli.fr.
conservées 12 mois conformément à la Politique de Sécurité
• Les droits d’accès et de rectification s’exercent auprès du
des Systèmes d’Information de l’Assurance Maladie (PSSI-MCAS).
directeur de la caisse de rattachement de la personne concernée
en contactant le DPO de la caisse.
Justification absence du droit d’opposition
Sécurité des données
• Droit d’opposition non applicable au regard du motif légitime et
• Les mesures techniques et organisationnelles sont définies dans
impérieux de santé publique sauf dispositions spécifiques prévues
la PSSI-MCAS en application à la Cnam et dans les organismes.
par les textes (ex : dépistage cancer et actions mises en oeuvre dans • Elles concernent notamment la gestion des habilitations,
le cadre de l’article L. 162-2-3 du code de la sécurité sociale)
le contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures
opérationnelles.
59
LES MISSIONS DE L’ASSURANCE MALADIE
PRÉVENTION, COORDINATION ET ORGANISATION DES SOINS
link to page 2 link to page 55
04
PRÉVENTION, COORDINATION
ET ORGANISATION DES SOINS - Fiche 27
Gestion et mise en œuvre de la prévention des risques professionnels
Sous-finalités
Fondements juridiques
• Ciblage des employeurs
• Article 6-1-c du RGPD : le traitement est nécessaire au respect
• Coordination entre les services sociaux, prévention de la
d’une obligation légale.
désinsertion professionnelle
• Article 6-1-e du RGPD : le traitement est nécessaire à l’exécution
• Échange d’information entre les acteurs de protection sociale
d’une mission d’intérêt public de la Cnam.
• Mise en œuvre et déploiement des programmes de prévention
• La mission d’intérêt public et l’obligation légales sontnotamment
des risques professionnels (TMS Pros, Risques Chimiques Pros,
fondés sur les textes suivants : L. 215-1 2°, L. 422-4 et L. 422-5 du
chutes, actions TPE…)
Code de la sécurité sociale et L. 4163-1 et suivants du Code du
travail.
• Renforcement des leviers d’incitation à la prévention en direction des
entreprises (subventions prévention TPE, contrats de prévention…)
• Prévention de la pénibilité (compte personnel de prévention-C2P)
Catégories de personnes concernées
Type de données
• Bénéficiaire de l’Assurance Maladie (assuré victime, salariés…)
• Données d’identification et de contact des salariés dont noms
• Médecin du travail ou personnel du habilité Service de Santé au
(famille, usage), prénoms, date et lieu de naissance, sexe, date de
Travail (SST)
décès, email, téléphone
• Médecin traitant
• Données de rattachement dont données relatives aux droits NIR/NIA,
date de retraite, droits aux indemnités journalières
• Employeur
• Données concernant la santé dont Affection de Longue Durée
• Agents de l’Assurance Maladie pour traces des actions dans les outils
(ALD), Incapacité Permanente (IP), etc.
• Données de localisation (Code INSEE de la commune)
• Données relatives aux accidents du travail/ maladie
professionnelle (AT/MP) dont sinistralité
• Données relatives à la situation professionnelle dont exposition à
des risques, souhait de formation professionnelle
• Données relatives aux professionnels de santé, établissement
• Données relatives à l’employeur dont SIRET, raison sociale,
représentants du personnel
• Données d’ordre économique dont coordonnées bancaires,
salaires, type d’indemnisations, taux de cotisation additionnelle
de pénibilité, montant de cotisation déclaré
• Données identification du service financeur et coordonnées bancaires
• Données de connexion et traces des actions des agents dans les outils
• Traces (IP) des accès aux sites ou applications de l’Assurance Maladie
60
LES MISSIONS DE L’ASSURANCE MALADIE
PRÉVENTION, COORDINATION ET ORGANISATION DES SOINS
link to page 2 link to page 55
04
PRÉVENTION, COORDINATION
ET ORGANISATION DES SOINS - Fiche 27
Gestion et mise en œuvre de la prévention des risques professionnels
Destinataires des données
Personnes accédant aux données
• Les CARSAT/services de prévention
• Tout agent de l’Assurance Maladie strictement habilité à accéder
• Le service de santé au travail ou le médecin du travail de
aux données dans le cadre de ses fonctions, dans le respect du
l’établissement
principe du besoin d’en connaître
• L’employeur ou Chef établissement ou personne en charge du
• Employeurs
suivi du programme de prévention
• Représentants du personnel des employeurs
• Les agents individuellement désignés e et dûment habilités des
• Service de Santé au travail
organismes contributeurs à la prévention du risque
• Caisse de retraite
• Les services de l’Etat placés sous l’autorité des ministres chargés
• Caisse des Dépôts et Consignation (CDC)
de la sécurité sociale, de l’agriculture, du budget et de la fonction
publique pour l’accès aux données de la base d’archivage
Durée de conservation
Droits des personnes concernées
• Données relatives à la prévention de la désinsertion
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs à
professionnelle : 2 ans
la transparence sur les traitements et sur les informations à
• Données relatives à aux programmes de prévention des risques
communiquer aux personnes concernées, plusieurs modalités
professionnels : en fonction du programme de prévention.
sont respectées :
Maximum 20 ans pour suivi des mesures mises en place
− Politique générale de protection des données personnelles
présente sur ameli.fr
• Données relatives au C2P : 3 ans après la liquidation de la pension
−
de vieillesse du salarié ou, le cas échéant, après son décès,
Une mention d’information spécifique le cas échéant
ou jusqu’à l’intervention d’une décision définitive en cas de
• Les droits d’accès et de rectification s’exercent auprès du
contentieux
directeur de la caisse de rattachement de la personne concernée
en contactant le DPO de la caisse.
Justification absence du droit d’opposition
Sécurité des données
• Obligation légale
• Les mesures techniques et organisationnelles sont définies dans
la PSSI-MCAS en application à la Cnam et dans les organismes.
• Elles concernent notamment la gestion des habilitations,
le contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures
opérationnelles.
61
LES MISSIONS DE L’ASSURANCE MALADIE
PRÉVENTION, COORDINATION ET ORGANISATION DES SOINS
link to page 2 link to page 55
04
PRÉVENTION, COORDINATION
ET ORGANISATION DES SOINS - Fiche 28
Gestion et mise en œuvre de l’information des publics
sur les risques liés à des produits de santé
Sous-finalités
Fondements juridiques
• Cibler les personnes concernées en lien avec les autorités
• Article 6-1-e du RGPD , mission d’intérêt public de l’Assurance
publiques compétentes
Maladie
• Informer de façon individuelle les publics concernés et
• Articles L. 162-1-11 et L. 221-1 du Code de la sécurité sociale.
notamment les prescripteurs, les professionnels assurant le suivi,
les bénéficiaires de l’Assurance Maladie
• Gérer les éventuels recours, contentieux et actions juridiques
liées aux produits de santé
• Transmettre les informations nécessaires aux autorités
compétentes
pour les actions de suite
• Produire des statistiques, des indicateurs de pilotage
• Réaliser des études et évaluations
Catégories de personnes concernées
Type de données
• Bénéficiaires de l’Assurance Maladie
• Pour les Bénéficiaires :
• Professionnels de santé et autres acteurs du secteur sanitaire
− Données d’identification dont le nom, prénom, NIR
social et médico-social
− Données de contact dont adresse postale, e-mail et n° de téléphone
• Agents de l’Assurance Maladie pour traces des actions dans les outils
− Données relatives au rattachement et aux droits dont médecin
traitant déclaré
− Données relatives au bénéfice d’une prestation
− Données relatives à la santé dont situation liée à la maternité,
nature et montants des actes, prestations, médicaments ou
produits de santé, statut invalidité, exonération du ticket
modérateur, données relatives à un AT/MP
− Données relatives à la vie personnelle dont situation familiale
et composition du foyer
• Pour les Professionnels de santé et autres acteurs du secteur
sanitaire social et médico-social :
− Données d’identification dont nom, prénom, numéros
d’identification
− Données relatives à la situation professionnelle dont
profession, spécialité, situation conventionnelle
− Données de contact dont adresse postale, e-mail, n° de
téléphone
− Données relatives aux prestations dont actes, produits et
prestations prescrits et exécutés, tarifs, indicateurs d’activité et
relatifs à la pratique, honoraires et rémunérations perçus ainsi
que les indicateurs et la patientèle ayant servi au calcul de ces
rémunérations
− Données relatives aux offres et produits de l’Assurance Maladie
dont les programmes dans le cadre desquels le professionnel
intervient et/ou participe
• Pour les agents de l’Assurance Maladie :
− Données de connexion et traces techniques (logs, connexion)
62
LES MISSIONS DE L’ASSURANCE MALADIE
PRÉVENTION, COORDINATION ET ORGANISATION DES SOINS
link to page 2 link to page 55
04
PRÉVENTION, COORDINATION
ET ORGANISATION DES SOINS - Fiche 28
Gestion et mise en œuvre de l’information des publics
sur les risques liés à des produits de santé
Destinataires des données
Personnes accédant aux données
• Les professionnels sont destinataires des informations
• Tout agent de l’Assurance Maladie strictement habilité à accéder
concernant leurs prescriptions ainsi que leur patientèle
aux données dans le cadre de ses fonctions, dans le respect du
• Les bénéficiaires sont informés sur les produits qui leur ont été
principe du besoin d’en connaître.
délivrés ou dispensés ainsi qu’aux personnes dont ils assurent la
représentation (notamment leurs enfants mineurs)
• Le ministère des solidarités et de la santé et les autorités
sanitaires concernées (ARS, ANSM, etc.) sont destinataires des
données statistiques et agrégées relatives aux campagnes
d’information
• Les autorités en charge de l’indemnisation ont l’ONIAM peuvent
être destinataires de l’identification des personnes ciblées pour
assurer leurs missions
Durée de conservation
Droits des personnes concernées
• Les données des personnes ciblées et informées sont conservées
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs à
pendant toute la durée de l’action de santé publique.
la transparence sur les traitements et sur les informations à
• Les données de connexion de l’Assurance Maladie sont
communiquer aux personnes concernées, plusieurs modalités
conservées 12 mois conformément à la Politique de Sécurité des
sont réalisées :
Systèmes d’Information de l’Assurance Maladie (PSSI-MCAS).
− Des informations figurent dans la politique générale de
protection des données personnelles présente sur ameli.fr
− Une mention d’information spécifique le cas échéant
• Les droits d’accès et de rectification s’exercent auprès du
directeur de la caisse de rattachement de la personne concernée
en contactant le DPO de la caisse.
Justification absence du droit d’opposition
Sécurité des données
• Droit d’opposition non applicable au regard du motif légitime
• Les mesures techniques et organisationnelles sont définies dans
et impérieux de santé publique
la PSSI-MCAS en application à la Cnam et dans les organismes.
• Elles concernent notamment la gestion des habilitations,
le contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures
opérationnelles.
63
LES MISSIONS DE L’ASSURANCE MALADIE
PRÉVENTION, COORDINATION ET ORGANISATION DES SOINS
link to page 2 link to page 55
04
PRÉVENTION, COORDINATION
ET ORGANISATION DES SOINS - Fiche 29
Gestion et mise en œuvre du Dossier Médical
Sous-finalités
Fondements juridiques
• Information et communication auprès des publics concernés
• Article 6-1-c du RGPD : le traitement est nécessaire au respect
(bénéficiaires de l’Assurance Maladie, professionnels de santé et
d’une obligation légale.
établissements de santé)
• Article 6-1-e du RGPD : le traitement est nécessaire à l’exécution
• Gestion du recueil du consentement à la création du dossier
d’une mission d’intérêt public de la Cnam.
médical partagé Gestion de la création, existence, clôture,
• L’obligation légale et la mission d’intérêt public sont notamment
destruction et paramétrage du dossier médical partagé
fondés sur les textes suivants : Articles L. 1111-8-1 et L. 1111-14 et
• Gestion des accès, de la consultation et de l’alimentation par les
suivants du Code de la santé publique.
professionnels concernés
• Article L. 161-28-1 du Code de la sécurité sociale
• Gestion des accès, de la consultation et de l’alimentation par les
• Décret n° 2016-914 du 04/07/2016 relatif au DMP
titulaires des DMP ou leurs représentants légaux
•
•
Décret n° 2016-1545 du 16/11/2016 d’autorisation de traitement
Gestion de l’alimentation des données issues des procésqsdures de
remboursement, de prise en charge ou de toute base de données
prévue par les textes
• Gestion des extractions et versements de données au moyen de
logiciel
Catégories de personnes concernées
Type de données
• Bénéficiaires de l’Assurance Maladie
• Les identifiants du dossier médical partagé dont l’identifiant
• Titulaires de DMP
national de santé
• Représentants légaux, proches, personnes de confiance et
• Pour tous les bénéficiaires de l’Assurance Maladie :
personnes à contacter en cas d’urgence
− Les données d’identification dont le NIR des ouvrants-droit
•
−
Professionnels accédant au DMP ou en charge de la création/
Les données de rattachement de l’assuré à un organisme
clôture DMP
d’assurance maladie obligatoire
− Les données de contact de l’assuré (adresses postale,
électronique, téléphone)
• Pour tous les titulaires d’un dossier médical partagé :
− Les données énumérées à l’article R. 1111-30 du Code de la
santé publique
− Les données de gestion relatives au dossier médical partagé
− Les données relatives aux personnes autorisées à accéder aux
données du dossier médical partagé
− Les données de gestion du compte internet d’accès au dossier
médical partagé du titulaire
• Les données d’identification et de contact des représentants
légaux, proches, personnes de confiance et personnes à contacter
en cas d’urgence.
• Les données d’identification et de contact des professionnels de
santé dont le médecin traitant et les professionnels ayant déclaré
être autorisés à accéder au dossier médical partagé ainsi que la
liste des professionnels de santé auxquels le titulaire a interdit
l’accès à son dossier médical partagé.
• Les données relatives aux traces des accès, contacts et notifications.
• Les données nécessaires au pilotage du déploiement des dossiers
médicaux partagés et au suivi de la mise en œuvre du dossier
médical partagé.
64
LES MISSIONS DE L’ASSURANCE MALADIE
PRÉVENTION, COORDINATION ET ORGANISATION DES SOINS
link to page 2 link to page 55
04
PRÉVENTION, COORDINATION
ET ORGANISATION DES SOINS - Fiche 29
Gestion et mise en œuvre du Dossier Médical
Destinataires des données
Personnes accédant aux données
• Aucune donnée traitée n’est communiquée à des tiers autres que
• Le titulaire du DMP, ou son représentant légal, a accès aux
ceux accédant aux données comme défini ci-dessous.
données contenues dans son DMP.
• Les professionnels de santé ont accès aux données du DMP dans
les conditions prévues par la réglementation et notamment
conformément à la matrice des habilitations.
• Les personnes assurant des fonctions d’accueil des patients en
établissement de santé, laboratoire de biologie médicale, services
de santé ou en établissement et service social/médico-social ont
accès aux données strictement nécessaires à la création et à la
gestion des DMP.
• Les agents des organismes d’assurance maladie ont accès aux
seules données nécessaires à l’accomplissement des missions de
création et gestion des DMP, et de pilotage du déploiement.
Durée de conservation
Droits des personnes concernées
• Les données sont conservées en archive courante pour toute la
• Publication sur le portail mis à disposition pour la création et
durée du DMP.
la consultation des DMP Publication sur les sites institutionnels
• Les données sont archivées 10 ans après la clôture du DMP
Information via les conditions générales d’utilisation (CGU).
(décès de la personne valant clôture) pour tout recours gracieux
ou contentieux.
Justification absence du droit d’opposition
Droits des personnes concernées
• Le DMP applique la Politique générale de sécurité des systèmes
d’information de santé (PGSSI-S) qui définit le cadre de
sécurisation. Le sous traitant qui héberge les données est certifié
« Hébergeur de données de santé » (HDS), certification rendue
obligatoire par décret.
65
LES MISSIONS DE L’ASSURANCE MALADIE
PRÉVENTION, COORDINATION ET ORGANISATION DES SOINS
link to page 2 link to page 55
04
PRÉVENTION, COORDINATION
ET ORGANISATION DES SOINS - Fiche 30
Gestion et aide à l’organisation de la pratique des professionnels
et des établissements de santé
Sous-finalités
Fondements juridiques
• Fournir les informations pertinentes sur la patientèle pour la mise • Article 6-1-e du RGPD : le traitement est nécessaire à l’exécution
en œuvre d’action de prévention et santé publique
d’une mission d’intérêt public de la Cnam.
• Fournir des listes de patients ciblées dans le cadre d’actions de
• La mission d’intérêt public est notamment fondée sur les articles
gestion du risque
L. 162-4-3, L. 162-2-3 et L. 162-1-11 du Code de la sécurité sociale.
• Fournir les services et prestations nécessaires à la pratique et à la
gestion du risque (commandes de kit de dépistage, gestion de la
mise à disposition d’appareils médicaux de masques, désignation
médecin traitant, etc.)
• Produire des statistiques, des indicateurs de pilotage et réaliser
des études et évaluations
Catégories de personnes concernées
Type de données
• Bénéficiaires de l’Assurance Maladie
• Pour les Bénéficiaires de l’Assurance Maladie :
• Professionnels de santé et personnes placées sous leur autorité
− Données d’identification dont le nom, prénom, NIR
•
−
Etablissements de santé, établissements sociaux et médico-sociaux
Données relatives au rattachement et aux droits dont médecin
traitant déclaré
− Données concernant le bénéfice d’une prestation (transport)/
frais de santé et durée hospitalisation
− Données concernant la santé dont situation liée à la maternité,
nature et montants, taux de remboursement des actes,
prestations, médicaments ou produits de santé, codage, statut
invalidité, exonération du ticket modérateur, données relatives
à un AT/MP, ALD éléments du protocole de soins, données de
prescription, IMC taille poids
− Données relatives à l’adhésion à des services de l’Assurance
Maladie, notamment à des services en santé
− Arrêt de travail et les indemnités, allocations journalières versées
• Pour les Professionnels santé et établissements de santé centres
de santé et structures médico-sociales :
− Données d’identification dont nom, prénom, numéros
d’identification, carte CPX , identifiant de la structure (AM
FINESS), raison sociale
− Données de contact dont téléphone, e-mail
− Données relatives à la situation professionnelle dont
profession, spécialité, situation conventionnelle
− Données relatives aux prestations dont actes, produits et
prestations prescrits et exécutés, tarifs, indicateurs d’activité et
relatifs à la pratique, honoraires et rémunérations perçus ainsi
que les indicateurs et la patientèle ayant servi au calcul de ces
rémunérations (patientèle MT)
− Acceptation des CGU
• Pour les utilisateurs du télé-service :
− Données de traçabilités exigées par la réglementation
(données de la carte CPX)
• Pour les agents de l’Assurance Maladie :
− Données de connexion et actions dans le système
d’information de l’Assurance Maladie
66
LES MISSIONS DE L’ASSURANCE MALADIE
PRÉVENTION, COORDINATION ET ORGANISATION DES SOINS
link to page 2 link to page 55
04
PRÉVENTION, COORDINATION
ET ORGANISATION DES SOINS - Fiche 30
Gestion et aide à l’organisation de la pratique des professionnels
et des établissements de santé
Destinataires des données
Personnes accédant aux données
• Les professionnels de santé et personnes placées sous leur
• Tout agent de l’Assurance Maladie strictement habilité à accéder
autorité sont destinataires des données relatives à leur patientèle.
aux données dans le cadre de ses fonctions, dans le respect du
• Les bénéficiaires de l’Assurance Maladie sont destinataires des
principe du besoin d’en connaître et des missions dévolues aux
messages d’information les concernant ou concernant leurs
praticiens conseils et personnes placées sous leur autorité le cas
ayants-droit.
échéant, les employés du prestataire autorisés à accéder aux
données en cas de recours à la sous-traitance.
• Sont destinataires des données anonymisées, le cas échéant
agrégées, strictement nécessaires à l’exercice de leurs missions,
• Ces accès ainsi que les droits sur les données (lecture, modification,
dans la limite du besoin d’en connaître, les agents des autorités
écriture, suppression) sont établis et encadrés dans une convention
publiques compétentes.
signée entre l’Assurance Maladie et le sous-traitant.
Durée de conservation
Droits des personnes concernées
• La durée de conservation des données est différente en fonction
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs
de la source des données mises à disposition des acteurs pour la
à la transparence sur les traitements et sur les informations
gestion et l’organisation de leur pratique ainsi qu’en fonction des
à communiquer aux personnes concernées, les informations
actions de gestion du risque/de santé publique.
figurent dans la politique générale de protection des données
• Si les données sont adossées à un compte utilisateur, les données
personnelles présente sur ameli.fr.
notamment d’identification peuvent être conservées pendant
• Les droits d’accès et de rectification s’exercent auprès du
toutes la durée d’exercice/de détention du compte.
directeur de la caisse de rattachement de la personne concernée
• La durée moyenne est de 3 ans et peut aller jusqu’à 10 ans après
en contactant le DPO de la caisse.
un évènement (clôture, décès, etc.)
Justification absence du droit d’opposition
Sécurité des données
• Droit d’opposition non applicable au regard de la mission
• Les mesures techniques et organisationnelles sont définies dans
d’intérêt public de l’Assurance Maladie sauf dispositions
la PSSI-MCAS en application à la Cnam et dans les organismes.
spécifiques prévues par les textes (ex : L. 162-2-3 CSS)
• Elles concernent notamment la gestion des habilitations,
le contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures
opérationnelles.
67
LES MISSIONS DE L’ASSURANCE MALADIE
PRÉVENTION, COORDINATION ET ORGANISATION DES SOINS
link to page 2 link to page 55
04
PRÉVENTION, COORDINATION
ET ORGANISATION DES SOINS - Fiche 31
Informer les publics sur l’offre de soins
Sous-finalités
Fondements juridiques
• Informer les publics concernés sur les conditions de prise en charge • Article 6-1-c du RGPD : traitement nécessaire au respect d’une
des actes de prévention, de diagnostics ou de soins (offre sanitaire)
obligation légale.
• Faciliter l’accès aux soins et à la protection sociale
• Article 6-1-e du RGPD : le traitement est nécessaire à l’exécution
• Adapter l’information en lien avec des crises sanitaires ou des
d’une mission d’intérêt public de la Cnam.
adaptations ponctuelles de l’offre
• La mission d’intérêt public et l’obligation légale sont notamment
• Produire des statistiques, des indicateurs de pilotage et réaliser
fondés sur l’article L. 162-1-11 du Code de la sécurité sociale.
des études et évaluations
Catégories de personnes concernées
Type de données
• Professionnels de santé et établissements de santé et médico-social
• Pour les Professionnels de santé :
• Bénéficiaires de l’Assurance Maladie
− Données d’identification dont nom, prénom, numéros
d’identification
• Agents de l’Assurance Maladie pour traces des actions dans les outils
− Données relatives à la situation professionnelle dont
profession, spécialité, situation conventionnelle dont adhésion
à certains dispositifs conventionnels, interdiction d’exercice
− Données de contact dont adresse postale, e-mail, n° de téléphone
− Données relatives aux prestations dont tarifs, indicateurs
d’activité et relatifs à la pratique
− Données relatives aux offres et produits de l’Assurance Maladie
dont les programmes dans le cadre desquels le professionnel
intervient et/ou participe
• Pour les établissements :
− Données d’identification dont nom, numéros d’identification
(FINESS), adresse, catégorie, type d’établissement
− Données relatives aux prestations dont tarifs, indicateurs
d’activité et relatifs à la pratique
• Pour les bénéficiaires de l’Assurance Maladie et leurs ayants-droit :
− Données relatives au bénéfice d’une prestation frais de santé
− Données relatives à la santé dont situation liée à la maternité,
nature et montants des actes, prestations, médicaments ou
produits de santé, statut invalidité, exonération du ticket
modérateur, données relatives à un accident du travail, maladie
professionnelle
• Pour les agents de l’Assurance Maladie :
− Données de connexion et traces techniques (logs, connexion)
Destinataires des données
Personnes accédant aux données
• Les bénéficiaires de l’Assurance Maladie eux-mêmes de façon
• Tout agent de l’Assurance Maladie strictement habilité à accéder
générale sur le site de l’Assurance Maladie ou en contactant sa
aux données dans le cadre de ses fonctions, dans le respect du
caisse d’affiliation
principe du besoin d’en connaître et des missions spécialement
• Aucune donnée n’est transmise à des tiers
confiées aux praticiens conseils et personnes placées sous leur
autorité
• Les autorités publiques concernées telles qu’encadré par la
réglementation
68
LES MISSIONS DE L’ASSURANCE MALADIE
PRÉVENTION, COORDINATION ET ORGANISATION DES SOINS
link to page 2 link to page 55
04
PRÉVENTION, COORDINATION
ET ORGANISATION DES SOINS - Fiche 31
Informer les publics sur l’offre de soins
Durée de conservation
Droits des personnes concernées
• Les données sont conservées pendant toute la durée de l’exercice • Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs à
du professionnel concerné Les données de connexion de
la transparence sur les traitements et sur les informations à
l’Assurance Maladie sont conservées 12 mois conformément à la
communiquer aux personnes concernées, les informations
Politique de Sécurité des Systèmes d’Information de l’Assurance
figurent dans la politique générale de protection des données
Maladie (PSSI-MCAS).
personnelles présente sur ameli.fr.
• Les droits d’accès et de rectification s’exercent auprès du
directeur de la caisse de rattachement de la personne concernée
en contactant le DPO de la caisse.
Justification absence du droit d’opposition
Sécurité des données
• Obligation légale
• Les mesures techniques et organisationnelles sont définies dans
la PSSI-MCAS en application à la Cnam et dans les organismes.
• Elles concernent notamment la gestion des habilitations,
le contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures
opérationnelles.
69
LES MISSIONS DE L’ASSURANCE MALADIE
PRÉVENTION, COORDINATION ET ORGANISATION DES SOINS
link to page 2 link to page 55
04
PRÉVENTION, COORDINATION
ET ORGANISATION DES SOINS - Fiche 32
Espace numérique de santé (ENS). Permettre aux usagers
de gérer leurs données de santé en lien avec les acteurs des
secteurs sanitaires, social et médico-social afin de favoriser la
prévention, la coordination, la qualité et la continuité des soins.
Sous-finalités
Fondements juridiques
• Mettre à disposition des usagers une messagerie sécurisée
• Article 6-1-e du RGPD : le traitement est nécessaire à l’exécution
de santé permettant à ces derniers d’échanger avec les
d’une mission d’intérêt public.
professionnels de santé qui le prennent en charge.
• Article L. 1111-13-1 du Code de Santé publique
• Mettre à disposition des usagers un espace de stockage de leurs
• Décret n° 2021-1048 du 4 août 2021 relatif à la mise en œuvre de
documents de santé (DMP) nécessaires à la prévention et à la
l’espace numérique de santé
coordination des soins.
• Mettre à disposition des usagers un questionnaire de santé
librement renseigné par ce dernier Mettre à disposition des
usagers un agenda permettant à ce dernier d’organiser les
évènements relatifs à leur santé.
• Piloter et évaluer le service
Catégories de personnes concernées
Type de données
• L’usager titulaire de Mon espace santé ou ses représentants
• Pour l’usager ou ses représentants légaux :
légaux
− Les données administratives dont nom, prénoms, sexe, date et
• Les professionnels participant à la prise en charge des usagers
lieu de naissance, identifiant national de santé
•
−
Les agents habilités en charge du support de Mon espace santé
L’identité des tiers de confiance de l’usager dont nom prénom
adresse et coordonnées
− Les données de rattachement de l’usager
− Les données de contact dont coordonnées postales,
électroniques, et téléphoniques
− Les données de santé contenues dans le dossier médical
partagé, alimenté par le professionnel, la Cnam ou l’usager
listées à l’article R.1111-42 du Code de la santé publique
− Les données saisies par l’usager dans la rubrique mesure de
santé et antécédents médicaux
− Les données issues des échanges entre professionnels et
l’usager au travers de la messagerie sécurisé
− Les données de traçabilité dont nom, prénom, date, heure
• Pour les professionnels :
− Les données d’identification dont nom prénom
− Les données de contact saisie par l’usager dont adresse
− Les données de traçabilité dont nom prénom date et heure des
actions
• Pour les agents du support de l’Assurance Maladie :
− Les données de traçabilité dont nom prénom date et heure des
actions
70
LES MISSIONS DE L’ASSURANCE MALADIE
PRÉVENTION, COORDINATION ET ORGANISATION DES SOINS
link to page 2 link to page 55
04
PRÉVENTION, COORDINATION
ET ORGANISATION DES SOINS - Fiche 32
Espace numérique de santé (ENS). Permettre aux usagers
de gérer leurs données de santé en lien avec les acteurs des
secteurs sanitaires, social et médico-social afin de favoriser la
prévention, la coordination, la qualité et la continuité des soins.
Destinataires des données
Personnes accédant aux données
• L’usager lui-même à son espace de santé, à celle de ses enfants ou • Les agents spécialement habilités de l’Assurance Maladie, dans
de la personne dont elle a la représentation.
le respect du besoin d’en connaitre, dans le cadre des missions
• Les professionnels de santé et personnes placées sous leur
qui leur sont confiées qui concernent notamment la gestion du
responsabilité qui participent à la prise en charge effective des
support.
personnes.
Durée de conservation
Droits des personnes concernées
• Conformément à l’article R-1113-36, a compter de la date de
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs à
la clôture, les données contenues dans l’espace numérique de
la transparence sur les traitements et sur les informations à
santé sont archivées pendant une période de 10 ans. Elles sont
communiquer aux personnes concernées, les informations
supprimées automatiquement au-delà de ce délai.
figurent dans la politique des données personnelles présente sur
• Lors de la clôture de son espace, l’usager peut demander la
le site monespacesante.fr.
suppression des données contenues dans Mon espace santé
• Les droits s’exercent auprès du directeur de la caisse de
avant l’expiration du délai des 10 ans.
rattachement de la personne concernée en contactant le DPO
de la caisse ou directement en ligne sur le site Monespacesante
ou auprès du support téléphonique au 3422.
Justification absence du droit d’opposition
Sécurité des données
• Les mesures techniques et organisationnelles sont définies dans
la PSSI-MCAS en application à la Cnam et dans les organismes.
• Elles concernent notamment la gestion des habilitations,
le contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures
opérationnelles.
71
LES MISSIONS DE L’ASSURANCE MALADIE
PRÉVENTION, COORDINATION ET ORGANISATION DES SOINS
link to page 2
05 GESTION RELATION ASSURÉS
Finalités
FICHE 36
FICHE 33
Promouvoir les produits et offres
Suivi de la relation et
de services de l’Assurance Maladie
connaissance des assurés
auprès des assurés
FICHE 34
FICHE 37
Tester la pertinence auprès des assurés
Compte assuré ameli :
d’une nouvelle offre de service/
Simplifier les démarches, restituer
prestation ou d’une évolution
les informations aux bénéficiaires
FICHE 35
Évaluer la satisfaction des assurés et les
usages des offres, services, produits de
l’Assurance Maladie
72
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2 link to page 72
05
GESTION RELATION ASSURÉS - Fiche 33
Suivi de la relation et connaissance des assurés
Sous-finalités
Fondements juridiques
• Gestion des référentiels des coordonnées de contact
• Article 6-1-e du RGPD : le traitement est nécessaire à l’exécution
• Contrôle de l’identité des bénéficiaires
d’une mission d’intérêt public de la Cnam.
• Réponse multicanal (accueil téléphonique, physique, courriers,
• La mission d’intérêt public est notamment fondée sur l’article
courriels)
L. 162-1-11 du Code de la sécurité sociale.
• Accompagnement des publics particuliers
• Suivi et évaluation qualité des contacts et échanges (multicanaux
dont écoutes téléphoniques)
• Gestion et conservation de l’historique des échanges (multicanaux)
• Gestion des signalements et incivilités
• Production et exploitation de données statistiques à des fins
de pilotage, d’amélioration de la qualité des services et de la
connaissance des publics (cartographie, segmentation)
Catégories de personnes concernées
Type de données
• Bénéficiaires de l’Assurance Maladie
• Pour les bénéficiaires :
• Agents de l’Assurance Maladie pour traces des actions dans les outils
− Données d’identification dont le nom, prénom, sexe, date, lieu
et rang de naissance, NIR
− Données de contact dont adresse postale, e-mail, numéros de
téléphone, autorisation d’envoyer des messages non sollicités à
des fins de promotion
− Données relatives au rattachement et aux droits dont médecin
traitant déclaré, caisse de rattachement, exonération ticket
modérateur, complémentaire santé, informations sur les cartes
d’assurance maladie, derniers remboursements, créances
éventuelles, revenus de remplacement, présence et statut
compte assuré (ouvert/désactivé)
− Données relatives au contenu des échanges dont motif de
contact
− Données nécessaires à la gestion de la demande, extraites
des bases de gestion et affichées sur la fiche client mise à
disposition de l’agent dont informations concernant la santé
comme existence d’une grossesse, d’un accident du travail
− Données relatives aux modalités des échanges dont canal de
contact, rendez-vous, horodatage
• Pour les agents de l’Assurance Maladie :
− Données d’identification, caisse de rattachement
− Données de connexion et traces techniques (logs, connexion)
73
LES MISSIONS DE L’ASSURANCE MALADIE
GESTION RELATION ASSURÉS
link to page 2 link to page 72
05
GESTION RELATION ASSURÉS - Fiche 33
Suivi de la relation et connaissance des assurés
Destinataires des données
Personnes accédant aux données
• Les bénéficiaires eux-mêmes pour tout ou partie des données les
• Tout agent de l’Assurance Maladie strictement habilité à accéder aux
concernant restituées via les différents canaux
données dans le cadre de ses fonctions, dans le respect du principe
• Agents habilités des autres organismes d’assurance maladie à des
du besoin d’en connaître et des missions spécialement confiées aux
fins de supervision croisée et d’amélioration de la relation client
praticiens conseils et personnes placées sous leur autorité
• Agents habilités par le Directeur de leur organisme des régimes et
mutuelles partenaires (RMP)
• Au niveau national, l’exploitation des données ne peut être
réalisée que sur des données anonymes et agrégées.
• Agents des organismes de protection sociale mentionnés comme
destinataires et dans les conditions prévues par les textes relatifs
au répertoire national commun de la protection sociale (RNCPS)
Durée de conservation
Droits des personnes concernées
• Les données sont conservées pour la durée nécessaire à la gestion • Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs à
de la relation avec le bénéficiaire le temps de son affiliation. Les
la transparence sur les traitements et sur les informations à
données relatives aux contacts ne sont pas conservées plus de
communiquer aux personnes concernées, les informations
deux ans.
figurent dans la politique générale de protection des données
• Pour les appels téléphoniques qui font l’objet d’un
personnelles présente sur ameli.fr.
enregistrement : deux mois maximum en l’absence d’exploitation
• Les droits d’accès et de rectification s’exercent auprès du
et 6 mois en cas d’exploitation de l’enregistrement.
directeur de la caisse de rattachement de la personne concernée
• Les données sont conservées en archivage intermédiaire, dans
en contactant le DPO de la caisse.
un environnement logique séparé, à des fins de gestion des
• Le droit d’opposition ne s’applique pas pour la gestion des
réclamations ou de contentieux.
démarches et le suivi administratif des dossiers.
• Les personnes concernées sont aussi informées qu’elles peuvent
s’opposer à l’enregistrement des appels téléphoniques.
Justification absence du droit d’opposition
Sécurité des données
• Droit d’opposition non applicable au regard de la mission
• Les mesures techniques et organisationnelles sont définies dans
d’intérêt public de l’Assurance Maladie à l’exception de
la PSSI-MCAS en application à la Cnam et dans les organismes.
l’enregistrement des appels téléphoniques
• Elles concernent notamment la gestion des habilitations,
le contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures
opérationnelles.
74
LES MISSIONS DE L’ASSURANCE MALADIE
GESTION RELATION ASSURÉS
link to page 2 link to page 72
05
GESTION RELATION ASSURÉS - Fiche 34
Tester la pertinence auprès des assurés d’une nouvelle offre de
service/prestation ou d’une évolution
Sous-finalités
Fondements juridiques
• Aider les directions et services concernés à tester et évaluer une
• Article 6-1-e du RGPD : le traitement est nécessaire à l’exécution
nouvelle offre de service ou une offre existante modifiée
d’une mission d’intérêt public de la Cnam.
• Piloter la stratégie relationnelle avec les assurés
• La mission d’intérêt public est notamment fondée sur l’article
• Identifier les opportunités d’actions et de développement et faire
L. 162-1-11 du Code de la sécurité sociale.
des préconisations
• Optimiser la relation client de l’Assurance Maladie avec les assurés
• Piloter et évaluer l’efficacité et l’efficience des enquêtes
Catégories de personnes concernées
Type de données
• Bénéficiaires de l’Assurance Maladie
• Pour les bénéficiaires :
• Professionnels de santé, prestataires et fournisseurs de services
− Données d’identification dont NIR, nom, prénom, sexe, date de
naissance
• Agents de l’Assurance Maladie pour traces des actions dans les outils
− Données de contact dont adresse postale, e-mail, n° de téléphone
− Données relatives au rattachement et aux droits dont médecin
traitant déclaré, bénéfice d’une prestation, situation liée à la
maternité
− Données relatives aux offres et produits de l’Assurance Maladie
dont données relatives à l’adhésion, à la carte Vitale
− Données relatives à la vie personnelle dont habitudes de vie,
situation familiale et composition du foyer
− Données relatives à la situation professionnelle dont niveau de
diplôme, type de poste, retraité, chômage
− Données d’ordre économique et financier
− Données identifiants bancaires
− Données relatives à la santé dont situation liée à la maternité,
nature et montants des actes, prestations, médicaments ou
produits de santé, statut invalidité, exonération du ticket
modérateur, données relatives à un accident du travail/maladie
professionnelle (AT/MP)
• Pour les professionnels de santé,
prestataires et fournisseurs de services :
− Données d’identification dont nom, prénom, numéro
d’identification
− Données relatives à la situation professionnelle dont
profession, spécialité, situation conventionnelle
− Données de contact dont adresse postale, e-mail, n° de téléphone
− Données relatives aux prestations dont actes, produits et
prestations prescrits et exécutés, tarifs, indicateurs d’activité et
relatifs à la pratique
• Pour les agents de l’Assurance Maladie :
− Données de connexion et traces techniques (logs, connexion)
Destinataires des données
Personnes accédant aux données
• Aucune donnée traitée n’est communiquée à des tiers.
• Tout agent de l’Assurance Maladie strictement habilité à accéder aux
données dans le cadre de ses fonctions, dans le respect du principe
du besoin d’en connaître et des missions spécialement confiées aux
praticiens conseils et personnes placées sous leur autorité
75
LES MISSIONS DE L’ASSURANCE MALADIE
GESTION RELATION ASSURÉS
link to page 2 link to page 72
05
GESTION RELATION ASSURÉS - Fiche 34
Tester la pertinence auprès des assurés d’une nouvelle offre de
service/prestation ou d’une évolution
Durée de conservation
Droits des personnes concernées
• La durée maximale de conservation est fixée à 6 mois. Les
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs
données de connexion de l’Assurance Maladie sont conservées
à la transparence sur les traitements et sur les informations
12 mois conformément à la Politique de Sécurité des Systèmes
à communiquer aux personnes concernées, les informations
d’Information de l’Assurance Maladie (PSSI-MCAS).
figurent dans la politique générale de protection des données
personnelles présente sur ameli.fr.
• Les droits d’accès et de rectification s’exercent auprès du
directeur de la caisse de rattachement de la personne concernée
en contactant le DPO de la caisse.
Justification absence du droit d’opposition
Sécurité des données
• Droit d’opposition non applicable au regard de la mission
• Les mesures techniques et organisationnelles sont définies dans
d’intérêt public de l’Assurance Maladie
la PSSI-MCAS en application à la Cnam et dans les organismes.
• Elles concernent notamment la gestion des habilitations,
le contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures
opérationnelles.
76
LES MISSIONS DE L’ASSURANCE MALADIE
GESTION RELATION ASSURÉS
link to page 2 link to page 72
05
GESTION RELATION ASSURÉS - Fiche 35
Évaluer la satisfaction des assurés et les usages des offres,
services, produits de l’Assurance Maladie
Sous-finalités
Fondements juridiques
• Comprendre et connaître les attentes et avoir l’avis des assurés
• Article 6-1-e du RGPD : le traitement est nécessaire à l’exécution
• Connaître les attentes et préférences des assurés pour adapter la
d’une mission d’intérêt public de la Cnam.
stratégie de l’Assurance Maladie
• La mission d’intérêt public est notamment fondée sur l’article
• Aider chaque service de la Cnam proposant une nouvelle offre ou un
L. 162-1-11 du Code de la sécurité sociale.
nouveau service et/ou en le/la faisant évoluer à la/le tester et évaluer
• Piloter la stratégie relationnelle avec les assurés
• Identifier les opportunités d’actions et de développement et faire
des préconisations
• Élaborer les indicateurs de satisfaction des contrats pluriannuels
de gestion et les conventions d’objectif de gestion
• Optimiser la relation client de l’Assurance Maladie avec les assurés
• Évaluer statistiquement ce type d’enquête
Catégories de personnes concernées
Type de données
• Bénéficiaires de l’Assurance Maladie et leurs ayants-droit
• Pour les bénéficiaires:
• Professionnels de santé, prestataires et fournisseurs de services
− Données d’identification dont NIR, nom, prénom, sexe, date de
naissance
• Agents de l’Assurance Maladie pour traces des actions dans les outils
− Données de contact dont adresse postale, e-mail, n° de téléphone
− Données relatives au rattachement et aux droits dont médecin
traitant déclaré, bénéfice d’une prestation, situation liée à la
maternité
− Données relatives aux offres et produits de l’Assurance Maladie
dont données relatives à l’adhésion, à la carte Vitale
− Données relatives à la vie personnelle dont habitudes de vie,
situation familiale et composition du foyer
− Données relatives à la situation professionnelle dont niveau de
diplôme, type de poste, retraité, chômage
− Données d’ordre économique et financier
− Données identifiants bancaires
− Données relatives à la santé dont situation liée à la maternité,
nature et montants des actes, prestations, médicaments ou
produits de santé, statut invalidité, exonération du ticket
modérateur, données relatives à un accident du travail/maladie
professionnelle (AT/MP)
• Pour les professionnels de santé,
prestataires et fournisseurs de services :
− Données d’identification dont nom, prénom, numéro
d’identification
− Données relatives à la situation professionnelle dont
profession, spécialité, situation conventionnelle
− Données de contact dont adresse postale, e-mail, n° de téléphone
− Données relatives aux prestations dont actes, produits et
prestations prescrits et exécutés, tarifs, indicateurs d’activité et
relatifs à la pratique
• Pour les agents de l’Assurance Maladie :
− Données de connexion et traces techniques (logs, connexion)
77
LES MISSIONS DE L’ASSURANCE MALADIE
GESTION RELATION ASSURÉS
link to page 2 link to page 72
05
GESTION RELATION ASSURÉS - Fiche 35
Évaluer la satisfaction des assurés et les usages des offres,
services, produits de l’Assurance Maladie
Destinataires des données
Personnes accédant aux données
• Aucune donnée traitée n’est communiquée à des tiers.
• Tout agent de l’Assurance Maladie strictement habilité à accéder aux
données dans le cadre de ses fonctions, dans le respect du principe
du besoin d’en connaître et des missions spécialement confiées aux
praticiens conseils et personnes placées sous leur autorité
Durée de conservation
Droits des personnes concernées
• La durée maximale de conservation est fixée à 6 mois.
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs à
• Les données de connexion de l’Assurance Maladie sont
la transparence sur les traitements et sur les informations à
conservées 12 mois conformément à la Politique de Sécurité des
communiquer aux personnes concernées, les informations
Systèmes d’Information de l’Assurance Maladie (PSSI-MCAS).
figurent dans la politique générale de protection des données
personnelles présente sur ameli.fr.
• Les droits d’accès et de rectification s’exercent auprès du
directeur de la caisse de rattachement de la personne concernée
en contactant le DPO de la caisse.
Justification absence du droit d’opposition
Sécurité des données
• Droit d’opposition non applicable au regard de la mission
• Les mesures techniques et organisationnelles sont définies dans
d’intérêt public de l’Assurance Maladie
la PSSI-MCAS en application à la Cnam et dans les organismes.
• Elles concernent notamment la gestion des habilitations,
le contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures
opérationnelles.
78
LES MISSIONS DE L’ASSURANCE MALADIE
GESTION RELATION ASSURÉS
link to page 2 link to page 72
05
GESTION RELATION ASSURÉS - Fiche 36
Promouvoir les produits et offres de services de
l’Assurance Maladie auprès des assurés
Sous-finalités
Fondements juridiques
• Constituer des groupes d’assurés sur des critères pertinents
• Article 6-1-e du RGPD : le traitement est nécessaire à l’exécution
• Optimiser le ciblage des offres de service
d’une mission d’intérêt public de la Cnam.
• Favoriser l’accès à l’information et aux droits des bénéficiaires
• La mission d’intérêt public est notamment fondée sur l’article
de l’Assurance Maladie
L. 162-1-11 du Code de la sécurité sociale.
• Améliorer l’image de l’Assurance Maladie
• Piloter et évaluer statistiquement les activités de promotion
Catégories de personnes concernées
Type de données
• Bénéficiaires de l’Assurance Maladie
• Pour les bénéficiaires :
• Professionnels de santé, prestataires et fournisseurs de services
− Données d’identification dont NIR, nom, prénom, sexe, date de
naissance
• Agents de l’Assurance Maladie pour traces des actions dans les outils
− Données de contact dont adresse postale, e-mail, n° de téléphone
− Données relatives au rattachement et aux droits dont médecin
traitant déclaré, bénéfice d’une prestation, situation liée à la
maternité
− Données relatives aux offres et produits de l’Assurance Maladie
dont données relatives à l’adhésion, à la carte Vitale
− Données relatives à la vie personnelle dont habitudes de vie,
situation familiale et composition du foyer
− Données relatives à la situation professionnelle dont niveau de
diplôme, type de poste, retraité, chômage
− Données d’ordre économique et financier
− Coordonnées bancaires
− Données relatives à la santé dont situation liée à la maternité,
nature et montants des actes, prestations, médicaments ou
produits de santé, statut invalidité, exonération du ticket
modérateur, données relatives à un AT/MP
• Pour les professionnels de santé,
prestataires et fournisseurs de services :
− Données d’identification dont nom, prénom, numéro
d’identification
− Données relatives à la situation professionnelle dont
profession, spécialité, situation conventionnelle
− Données de contact dont adresse postale, e-mail, n° de téléphone
− Données relatives aux prestations dont actes, produits et
prestations prescrits et exécutés, tarifs, indicateurs d’activité et
relatifs à la pratique
• Pour les agents de l’Assurance Maladie :
− Données de connexion et traces techniques (logs, connexion)
Destinataires des données
Personnes accédant aux données
• Aucune donnée traitée n’est communiquée à des tiers.
• Tout agent de l’Assurance Maladie strictement habilité à accéder aux
données dans le cadre de ses fonctions, dans le respect du principe
du besoin d’en connaître et des missions spécialement confiées aux
praticiens conseils et personnes placées sous leur autorité
79
LES MISSIONS DE L’ASSURANCE MALADIE
GESTION RELATION ASSURÉS
link to page 2 link to page 72
05
GESTION RELATION ASSURÉS - Fiche 36
Promouvoir les produits et offres de services de
l’Assurance Maladie auprès des assurés
Durée de conservation
Droits des personnes concernées
• Pour une campagne de promotion, la durée de conservation est
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs
fixée à 6 mois.
à la transparence sur les traitements et sur les informations
• Les données de connexion de l’Assurance Maladie sont
à communiquer aux personnes concernées, les informations
conservées 12 mois conformément à la Politique de Sécurité des
figurent dans la politique générale de protection des données
Systèmes d’Information de l’Assurance Maladie (PSSI-MCAS).
personnelles présente sur ameli.fr.
• Les droits d’accès et de rectification s’exercent auprès du
directeur de la caisse de rattachement de la personne concernée
en contactant le DPO de la caisse.
Justification absence du droit d’opposition
Sécurité des données
• Droit d’opposition non applicable au regard de la mission
• Les mesures techniques et organisationnelles sont définies dans
d’intérêt public de l’Assurance Maladie
la PSSI-MCAS en application à la Cnam et dans les organismes.
• Elles concernent notamment la gestion des habilitations,
le contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures
opérationnelles.
80
LES MISSIONS DE L’ASSURANCE MALADIE
GESTION RELATION ASSURÉS
link to page 2 link to page 72
05
GESTION RELATION ASSURÉS - Fiche 37
Compte assuré ameli : Simplifier les démarches,
restituer les informations aux bénéficiaires
Sous-finalités
Fondements juridiques
• Pour les bénéficiaires :
• Article 6-1-e du RGPD : mission d’intérêt public de l’Assurance
− Gérer un espace personnel multiservices (création, suivi,
Maladie
résiliation du compte)
• Article L. 162-1-11 du Code de la sécurité sociale pour les missions
− Accéder aux informations relatives à leur identité, leur situation
générales d’information des publics
personnelle et aux données relatives aux droits et paiements
− Effectuer certaines démarches comme obtenir des documents
ou attestations, fournir des pièces justificatives, déclarer des
changements de situation
− Communiquer de façon individuelle avec leur caisse via
formulaire de contact, messagerie
− Recevoir des communications personnalisées,- Disposer de
conseils et d’informations en santé et prévention
− Obtenir des informations générales sur les droits et démarches
à l’aide d’un agent conversationne
− Localiser des services et offres de proximité, -Exercer leurs
droits en matière I&L
− Donner leur avis sur le compte ameli Pour l’Assurance Maladie
− Proposer d’autres canaux de communication aux assurés (web,
smartphone)
− Produire des statistiques et analyses à des fins de pilotage,
d’évaluation et d’amélioration des services
Catégories de personnes concernées
Type de données
• Bénéficiaires majeurs de l’Assurance Maladie (Régime général,
• Pour les Bénéficiaires et leurs ayants droit :
régimes et mutuelles partenaires RMP) pour l’ouverture du
− Données d’identification dont NIR, nom, prénom, sexe, date de
compte et leurs ayants droit pour les données les concernant
naissance
− Données de contact dont adresse électronique, adresse
postale, numéros de téléphone
− Données relatives au rattachement et aux droits dont médecin
traitant déclaré, prise en charge à 100%, rattachement à une
complémentaire santé dont complémentaire santé solidaire,
− Coordonnées bancaires et données financières dont paiements
et remboursements
− Données concernant la santé dont nature et montants des actes,
prestations, médicaments ou produits de santé, situation liée à
la maternité, statut invalidité, données relatives à un AT/MP
− Données relatives à la vie personnelle dont les bénéficiaires
(enfants ou autres cas) rattachés au dossier de l’assuré ouvreur
de droits, situation familiale et composition du foyer
− Autorisations de contact
− Données contenues dans les échanges avec la caisse via la
messagerie
− Données d’usage du compte Professionnels de santé
Employeur, Tiers
− Nom et prénom du médecin traitant du bénéficiaire
− Nom et prénom ou raison sociale du destinataire des
règlements financiers en cas de tiers-payant ou subrogation
Destinataires des données
Personnes accédant aux données
• Assuré adhérent du compte
• Assuré adhérent du compte ameli
81
LES MISSIONS DE L’ASSURANCE MALADIE
GESTION RELATION ASSURÉS
link to page 2 link to page 72
05
GESTION RELATION ASSURÉS - Fiche 37
Compte assuré ameli : Simplifier les démarches,
restituer les informations aux bénéficiaires
Durée de conservation
Droits des personnes concernées
• Historique des décomptes jusqu’à 27 mois pour les frais de santé
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs à
et 6 mois pour les revenus de substitution, pension d’invalidité et
la transparence sur les traitements et sur les informations à
rentes
communiquer aux personnes concernées, les informations
• 6 mois pour les communications accessibles dans la messagerie
figurent dans la politique générale de protection des données
du compte ameli à l’exception de la lettre recommandée
personnelles présente sur ameli.fr.
électronique qui sera conservée avec valeur probante pour une
• Les droits d’accès et de rectification s’exercent auprès du
durée de 5 ans
directeur de la caisse de rattachement de la personne concernée
• Données d’usage : 7 jours glissants
en contactant le DPO de la caisse.
• Cookies : 60 jours
• Exercice des droits d’accès et rectification directement via la
messagerie du compte ameli par le bénéficiaire.
• Le compte ameli est un service facultatif dont la création est
conditionnée à l’acceptation des CGU et la fourniture d’une
adresse email personnelle unique. Toute personne qui a créé son
compte et souhaite exercer son droit d’opposition a la possibilité
de le résilier directement.
Justification absence du droit d’opposition
Sécurité des données
• Les mesures techniques et organisationnelles sont définies dans
la PSSI-MCAS en application à la Cnam et dans les organismes.
• Elles concernent notamment la gestion des habilitations,
le contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures
opérationnelles.
82
LES MISSIONS DE L’ASSURANCE MALADIE
GESTION RELATION ASSURÉS
link to page 2
06 GESTION RELATION PS
ET ÉTABLISSEMENTS DE SANTÉ
Finalités
FICHE 42
FICHE 38
Tester la pertinence auprès
Suivi de la relation
des professionnels d’une nouvelle
et connaissance des
offre de service/prestation
professionnels de santé
ou d’une évolution
FICHE 43
FICHE 39
Accompagner l’évolution des pratiques et
Gestion du conventionnement
des comportements en adéquation avec
et de l’installation
le système de santé (professionnels et
établissements de santé et médico sociaux)
FICHE 44
FICHE 40
Compte amelipro : Permettre aux
Promouvoir les offres de services de
professionnels de santé de disposer
l’Assurance Maladie auprès
des informations nécessaires à la
des professionnels
fiabilisation de la facturation
FICHE 45
FICHE 41
Permettre aux acteurs autorisés d’accéder
Évaluer la satisfaction des
à l’identifiant national de santé (INS) afin de
professionnels et les usages de
procéder au référencement des données de
nos services (y compris dématérialisés)
santé nécessaires à la prise en charge à des
pour adapter nos offres de services
fins sanitaires et médico-sociales
83
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2 link to page 83
84
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2 link to page 83
85
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2 link to page 83
86
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2 link to page 83
87
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2 link to page 83
88
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2 link to page 83
89
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2 link to page 83
90
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2 link to page 83
91
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2 link to page 83
92
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2 link to page 83
93
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2 link to page 83
94
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2 link to page 83
95
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2 link to page 83
96
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2 link to page 83
97
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2 link to page 83
98
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2
07 GESTION RELATION EMPLOYEUR
Finalités
FICHE 49
FICHE 46
Évaluer la satisfaction des employeurs
Suivi des relations
et les usages de nos services (y compris
et connaissance employeurs
dématérialisés) pour adapter nos offres
de services
FICHE 47
Tester la pertinence auprès
FICHE 50
des employeurs d’une nouvelle offre de
Tarification AT/MP
service/prestation ou d’une évolution
FICHE 48
Promouvoir les offres de
services de l’Assurance Maladie auprès
des employeurs
99
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2 link to page 99
07
GESTION RELATION EMPLOYEUR - Fiche 46
Suivi des relations et connaissance employeurs
Sous-finalités
Fondements juridiques
• Réponse multicanale (Accueil téléphonique, Accueil physique,
• Article 6-1-e du RGPD : le traitement est nécessaire à l’exécution
Courriers-Courriels)
d’une mission d’intérêt public de la Cnam.
• Gestion de la qualité des contacts et échanges (multicanaux)
• La mission d’intérêt public est notamment fondée sur les textes
• Gestion et contrôle de l’identité des employeurs
suivants : L. 162-1-11, L. 215-1 2°, L 422-1 et L. 221-1 2° du Code de
la sécurité sociale.
• Gérer les référentiels des coordonnées de contact
• Gestion et conservation l’historique des contacts multicanaux
• Connaissance client à des fins analytiques
• Production de statistiques, pilotage
• Gestion des signalements et incivilités
• Accompagnement des publics spécifiques
• Cookies et production de cartographie des publics (segmentation
analytique)
• Optimiser la relation client de l’Assurance Maladie avec les employeurs
Catégories de personnes concernées
Type de données
• Employeurs
• Tiers déclarants
• Agents de l’Assurance Maladie (pour la traçabilité des actions)
• Médecins généralistes et spécialistes
• Assurés
Destinataires des données
Personnes accédant aux données
• Les employeurs eux-mêmes pour tout ou partie des données les
• Tout agent de l’Assurance Maladie strictement habilité à accéder aux
concernant restituées via les différents canaux
données dans le cadre de ses fonctions, dans le respect du principe
• Les agents habilités des autres organismes d’assurance maladie
du besoin d’en connaître et des missions spécialement confiées aux
à des fins de supervision croisée et d’amélioration de la relation
praticiens conseils et personnes placées sous leur autorité
client
• Au niveau national, l’exploitation des données ne peut être
réalisée que sur des données anonymes et agrégées.
100
LES MISSIONS DE L’ASSURANCE MALADIE
GESTION RELATION EMPLOYEUR
link to page 2 link to page 99
07
GESTION RELATION EMPLOYEUR - Fiche 46
Suivi des relations et connaissance employeurs
Durée de conservation
Droits des personnes concernées
• Les données sont conservées pour la durée nécessaire à
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs
la gestion de la relation avec l’employeur.
à la transparence sur les traitements et sur les informations
• Les données relatives aux contacts ne sont pas conservées
à communiquer aux personnes concernées, les informations
plus de deux ans.
figurent dans la politique générale de protection des données
personnelles présente sur ameli.fr.
• Pour les appels téléphoniques qui font l’objet d’un enregistrement :
deux mois maximum en l’absence d’exploitation et 6 mois en cas
• Les droits d’accès et de rectification s’exercent auprès
d’exploitation de l’enregistrement.
du directeur de la caisse de rattachement de la personne
concernée en contactant le DPO de la caisse.
• Les données sont conservées en archivage intermédiaire,
dans un environnement logique séparé, à des fins de gestion
• Le droit d’opposition ne s’applique pas pour la gestion des
des réclamations ou de contentieux.
démarches et le suivi administratif des dossiers.
• L’employeur peut refuser de recevoir des messages qui ne
relèvent pas de cette finalité comme la promotion de services non
sollicités. Les personnes concernées sont aussi informées qu’elles
peuvent s’opposer à l’enregistrement des appels téléphoniques.
Justification absence du droit d’opposition
Sécurité des données
• Droit d’opposition non applicable au regard de la mission
• Les mesures techniques et organisationnelles sont définies dans
d’intérêt public de l’Assurance Maladie
la PSSI-MCAS en application à la Cnam et dans les organismes.
• Elles concernent notamment la gestion des habilitations,
le contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures opérationnelles.
101
LES MISSIONS DE L’ASSURANCE MALADIE
GESTION RELATION EMPLOYEUR
link to page 2 link to page 99
07
GESTION RELATION EMPLOYEUR - Fiche 47
Tester la pertinence auprès des employeurs d’une nouvelle offre
de service/prestation ou d’une évolution
Sous-finalités
Fondements juridiques
• Aider les directions et services concernés à tester et évaluer une
• Article 6-1-e du RGPD : le traitement est nécessaire à l’exécution
nouvelle offre de service ou une offre existante modifiée
d’une mission d’intérêt public de la Cnam.
• Piloter la stratégie relationnelle avec les employeurs
• La mission d’intérêt public est notamment fondée sur les textes
• Identifier les opportunités d’actions et de développement et faire
suivants : L. 162-1-11, L. 215-1 2°, L. 422-1 et L. 221-1 2° du Code de
des préconisations
la sécurité sociale.
• Optimiser la relation client de l’Assurance Maladie avec les
employeurs
• Piloter et évaluer l’efficacité et l’efficience des enquêtes
Catégories de personnes concernées
Type de données
• Employeurs (leur(s) représentant(s), leur(s) tiers déclarant)
• Pour les employeurs , leur(s) représentant(s), leur(s) tiers déclarant :
• Bénéficiaires de l’Assurance Maladie
− Données d’identification dont numéros et codes d’identification
de l’employeur, secteur de l’entreprise (SIRET, APE, NAF,
• Agents de l’Assurance Maladie pour traces des actions dans les outils
forme juridique), raison sociale, nom de l’employeur et des
interlocuteurs, caisse de rattachement, nombre de salariés
− Données de contact dont adresse e-mail, n° de téléphone de
l’employeur et de l’interlocuteur, fonction, lien avec l’entreprise
− Données relatives aux accidents du travail/maladies
professionnelles (AT/MP) dont taux d’accidents du travail,
déclaration de salaires pour versement des indemnités
journalières (DSIJ), déclaration sociale nominative (DSN),
déclarations d’accidents du travail (DAT), offres de service AT/MP
− Données relatives aux services et produits de l’Assurance
Maladie dont données relatives à l’adhésion et/ou le recours
aux services et téléservices de l’Assurance Maladie Risques
professionnels
− Données relatives à l’activité économique dont activité
principale de l’employeur
• Pour les bénéficiaires :
− Données relatives aux accidents du travail/maladies
professionnelles
• Pour les agents de l’Assurance Maladie :
− Données de connexion et traces techniques (logs, connexion)
Destinataires des données
Personnes accédant aux données
• Les agents habilités d’autres organismes avec lesquels l’Assurance • Tout agent de l’Assurance Maladie strictement habilité à accéder aux
Maladie et de l’Assurance Maladie
données dans le cadre de ses fonctions, dans le respect du principe
• Risques professionnels ont un partenariat comme le GIP-MDS,
du besoin d’en connaître et des missions spécialement confiées aux
autres OPS (URSSAF, ...)
praticiens conseils et personnes placées sous leur autorité
102
LES MISSIONS DE L’ASSURANCE MALADIE
GESTION RELATION EMPLOYEUR
link to page 2 link to page 99
07
GESTION RELATION EMPLOYEUR - Fiche 47
Tester la pertinence auprès des employeurs d’une nouvelle offre
de service/prestation ou d’une évolution
Durée de conservation
Droits des personnes concernées
• Une durée de conservation de 6 mois maximum est fixée.
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs
• Les données de connexion de l’Assurance Maladie sont
à la transparence sur les traitements et sur les informations
conservées 12 mois conformément à la Politique de Sécurité des
à communiquer aux personnes concernées, les informations
Systèmes d’Information de l’Assurance Maladie (PSSI-MCAS).
figurent dans la politique générale de protection des données
personnelles présente sur ameli.fr.
• Les droits d’accès et de rectification s’exercent auprès du
directeur de la caisse de rattachement de la personne concernée
en contactant le DPO de la caisse.
Justification absence du droit d’opposition
Sécurité des données
• Droit d’opposition non applicable au regard de la mission
• Les mesures techniques et organisationnelles sont définies dans
d’intérêt public de l’Assurance Maladie
la PSSI-MCAS en application à la Cnam et dans les organismes.
• Elles concernent notamment la gestion des habilitations,
le contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures opérationnelles.
103
LES MISSIONS DE L’ASSURANCE MALADIE
GESTION RELATION EMPLOYEUR
link to page 2 link to page 99
07
GESTION RELATION EMPLOYEUR - Fiche 48
Promouvoir les offres de services de
l’Assurance Maladie auprès des employeurs
Sous-finalités
Fondements juridiques
• Informer les employeurs sur leurs droits et sur les offres de
• Article 6-1-e du RGPD : le traitement est nécessaire à l’exécution
service de l’Assurance Maladie
d’une mission d’intérêt public de la Cnam.
• Piloter et évaluer statistiquement les activités de promotion
• La mission d’intérêt public est notamment fondée sur les textes
auprès des employeurs
suivants : L. 162-1-11, L. 215-1 2°, L. 422-1 et L. 221-1 2° du Code de
la sécurité sociale.
Catégories de personnes concernées
Type de données
• Employeurs (représentants et tiers déclarant)
• Pour les employeurs, leur(s) représentants et leur(s) tiers déclarant :
• Bénéficiaires
− Données d’identification dont numéros et codes
d’identification de l’employeur et secteur de l’entreprise (SIRET,
• Agents de l’Assurance Maladie pour traces des actions dans les outils
APE, NAF, forme juridique), raison sociale, nom de l’employeur
et des interlocuteurs, caisse de rattachement, nombre de
salariés
− Données de contact dont adresse e-mail, n° de téléphone de
l’employeur et de l’interlocuteur, adresse postale
− Données relatives aux accidents du travail/maladies
professionnelles (AT/MP) dont taux d’accidents du travail,
déclaration de salaires pour versement des indemnités
journalières (DSIJ), déclaration sociale nominative (DSN),
déclarations d’accidents du travail (DAT)
− Données relatives aux services et produits de l’Assurance
Maladie dont données relatives à l’adhésion et/ou le recours
aux services et téléservices de l’Assurance Maladie
− Données relatives à l’activité économique dont activité
principale de l’employeur
• Pour les bénéficiaires :
− Données relatives à un accident du travail, maladie
professionnelle
• Pour les agents de l’Assurance Maladie :
− Données de connexion et traces techniques (logs, connexion)
Destinataires des données
Personnes accédant aux données
• Aucune donnée traitée n’est communiquée à des tiers.
• Tout agent de l’Assurance Maladie strictement habilité à accéder aux
données dans le cadre de ses fonctions, dans le respect du principe
du besoin d’en connaître et des missions spécialement confiées aux
praticiens conseils et personnes placées sous leur autorité
104
LES MISSIONS DE L’ASSURANCE MALADIE
GESTION RELATION EMPLOYEUR
link to page 2 link to page 99
07
GESTION RELATION EMPLOYEUR - Fiche 48
Promouvoir les offres de services de
l’Assurance Maladie auprès des employeurs
Durée de conservation
Droits des personnes concernées
• Pour une campagne de promotion, la durée de conservation est
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs
fixée à 6 mois.
à la transparence sur les traitements et sur les informations
• Les données de connexion de l’Assurance Maladie sont
à communiquer aux personnes concernées, les informations
conservées 12 mois conformément à la Politique de Sécurité des
figurent dans la politique générale de protection des données
Systèmes d’Information de l’Assurance Maladie (PSSI-MCAS).
personnelles présente sur ameli.fr.
• Les droits d’accès et de rectification s’exercent auprès du
directeur de la caisse de rattachement de la personne concernée
en contactant le DPO de la caisse.
Justification absence du droit d’opposition
Sécurité des données
• Droit d’opposition non applicable au regard de la mission
• Les mesures techniques et organisationnelles sont définies dans
d’intérêt public de l’Assurance Maladie
la PSSI-MCAS en application à la Cnam et dans les organismes.
• Elles concernent notamment la gestion des habilitations,
le contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures opérationnelles.
105
LES MISSIONS DE L’ASSURANCE MALADIE
GESTION RELATION EMPLOYEUR
link to page 2 link to page 99
07
GESTION RELATION EMPLOYEUR - Fiche 49
Évaluer la satisfaction des employeurs et les usages de nos services
(y compris dématérialisés) pour adapter nos offres de services
Sous-finalités
Fondements juridiques
• Comprendre les attentes et avoir l’avis des employeurs pour
• Article 6-1-e du RGPD : le traitement est nécessaire à l’exécution
adapter la stratégie de l’Assurance Maladie
d’une mission d’intérêt public de la Cnam.
• Aider chaque entité à tester et évaluer les nouvelles offres de
• La mission d’intérêt public est notamment fondée sur les textes
service ou des évolutions majeures des offres de service existantes
suivants : L. 162-1-11, L. 215-1 2°, L. 422-1 et L. 221-1 2° du Code de
• Piloter la stratégie relationnelle avec les employeurs
la sécurité sociale.
• Identifier les opportunités d’actions et de développement et
concevoir des préconisations
• Élaborer les indicateurs de satisfaction des contrats pluriannuels
de gestion et les conventions d’objectif de gestion
• Optimiser la relation client de l’Assurance Maladie avec les employeurs
• Évaluer statistiquement ce type d’enquête
Catégories de personnes concernées
Type de données
• Employeurs (leur(s) représentant(s), leur(s) tiers déclarant)
• Pour les employeurs :
• Bénéficiaires de l’Assurance Maladie
− Données d’identification dont numéros et codes d’identification
de l’employeur et secteur de l’entreprise (SIRET, APE, NAF,
• Agents de l’Assurance Maladie pour traces des actions dans les outils
forme juridique), raison sociale, nom de l’employeur et des
interlocuteurs, caisse de rattachement, nombre de salariés
− Données de contact dont adresse e-mail, adresse postale,
n° de téléphone de l’employeur et de l’interlocuteur
− Données relatives aux accidents du travail/maladies
professionnelles (AT/MP) dont taux d’accidents du travail,
déclaration de salaires pour versement des indemnités
journalières (DSIJ), déclaration sociale nominative (DSN),
déclarations d’accidents du travail (DAT), offres de service AT/
MP et à l’appréciation de la relation client de la part des cibles
concernées
− Données relatives aux services et produits de l’Assurance
Maladie dont données relatives à l’adhésion et/ou le recours
aux services et téléservices de l’Assurance Maladie et de
l’Assurance Maladie - Risques professionnels
− Données relatives à l’activité économique dont activité
principale de l’employeur
• Pour les bénéficiaires :
− Données relatives aux accidents du travail/maladies
professionnelles
• Pour les agents de l’Assurance Maladie :
− Données de connexion et traces techniques (logs, connexion)
Destinataires des données
Personnes accédant aux données
• Les agents habilités d’autres organismes avec lesquels l’Assurance • Tout agent de l’Assurance Maladie strictement habilité à accéder aux
Maladie a un partenariat comme les Caisses régionales ainsi que
données dans le cadre de ses fonctions, dans le respect du principe
des organismes avec lesquels l’Assurance Maladie et l’Assurance
du besoin d’en connaître et des missions spécialement confiées aux
Maladie - Risques professionnels ont un partenariat comme le
praticiens conseils et personnes placées sous leur autorité
GIP-MDS, autres OPS (URSSAF, ...).
106
LES MISSIONS DE L’ASSURANCE MALADIE
GESTION RELATION EMPLOYEUR
link to page 2 link to page 99
07
GESTION RELATION EMPLOYEUR - Fiche 49
Évaluer la satisfaction des employeurs et les usages de nos services
(y compris dématérialisés) pour adapter nos offres de services
Durée de conservation
Droits des personnes concernées
• Une durée de conservation de 6 mois maximum est fixée.
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs
• Les données de connexion de l’Assurance Maladie sont
à la transparence sur les traitements et sur les informations
conservées 12 mois conformément à la Politique de Sécurité des
à communiquer aux personnes concernées, les informations
Systèmes d’Information de l’Assurance Maladie (PSSI-MCAS).
figurent dans la politique générale de protection des données
personnelles présente sur ameli.fr.
• Les droits d’accès et de rectification s’exercent auprès du
directeur de la caisse de rattachement de la personne concernée
en contactant le DPO de la caisse.
Justification absence du droit d’opposition
Sécurité des données
• Droit d’opposition non applicable au regard de la mission
• Les mesures techniques et organisationnelles sont définies dans
d’intérêt public de l’Assurance Maladie
la PSSI-MCAS en application à la Cnam et dans les organismes.
• Elles concernent notamment la gestion des habilitations,
le contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures opérationnelles.
107
LES MISSIONS DE L’ASSURANCE MALADIE
GESTION RELATION EMPLOYEUR
link to page 2 link to page 99
07
GESTION RELATION EMPLOYEUR - Fiche 50
Tarification AT/MP
Sous-finalités
Fondements juridiques
• Calcul des cotisations AT/MP
• Article 6-1-c du RGPD : traitement nécessaire au respect d’une
• Notification des taux de cotisation portant sur le risque AT/MP
obligation légale.
• Gestion des contestations
• L’obligation légale est notamment fondée sur les articles L. 215-1 2°
et L. 242-5 du Code de la sécurité sociale.
• Contrôle interne
• Produire des statistiques, des indicateurs de pilotage et réaliser
des études et évaluations
Catégories de personnes concernées
Type de données
• Victimes d’AT/MP consolidés
• Données d’identification assuré-victime et/ou autre bénéficiaire
• Employeur
d’indemnisation, dont NIR
• Agents de l’Assurance Maladie pour traces des actions dans les outils
• Données de contact dont identité de l’interlocuteur en entreprise,
adresse
• Données relatives à la situation professionnelle dont les données
concernant le sinistre (numéro de sinistre, date, type…)
• Données concernant la santé et la consommation de soins dont
type maladie professionnelle, allocation temporaire amiante,
résumé des séquelles
• Données relatives aux professionnels de santé, établissement
• Données relatives à l’employeur dont SIRET, raison sociale
• Données concernant des tiers impliqués ou témoins d’accidents
• Données d’ordre économique dont nature de l’emploi exercé,
données de salaire, type d’indemnisation, données liées à
l’appréciation des difficultés sociales
• Données de connexion et traces techniques (logs, connexion) des
agents exploitables en cas d’incident de sécurité ou de violation
de données personnelles
Destinataires des données
Personnes accédant aux données
• Agents des CARSAT
• Tout agent de l’Assurance Maladie strictement habilité à accéder aux
• Employeur
données dans le cadre de ses fonctions, dans le respect du principe
du besoin d’en connaître et des missions spécialement confiées aux
• Agents des organismes de recouvrement (Urssaf, Acoss)
praticiens conseils et personnes placées sous leur autorité
108
LES MISSIONS DE L’ASSURANCE MALADIE
GESTION RELATION EMPLOYEUR
link to page 2 link to page 99
07
GESTION RELATION EMPLOYEUR - Fiche 50
Tarification AT/MP
Durée de conservation
Droits des personnes concernées
• 3 ans pour le calcul du taux
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs à
• 15 ans pour la gestion des contentieux relatifs au calcul du taux
la transparence sur les traitements et sur les informations à
communiquer aux personnes concernées, plusieurs modalités
sont réalisées :
− Des informations figurent dans la politique générale de
protection des données personnelles présente sur ameli.fr
− Une mention d’information spécifique le cas échéant
− Une mention dans les supports de la promotion (mention
e-mail, mention dans le courrier papier, par téléphone)
• Les droits d’accès et de rectification s’exercent auprès
du directeur de la caisse de rattachement de la personne
concernée en contactant le DPO de la caisse.
Justification absence du droit d’opposition
Sécurité des données
• Obligation légale
• Les mesures techniques et organisationnelles sont définies dans
la PSSI-MCAS en application à la Cnam et dans les organismes.
• Elles concernent notamment la gestion des habilitations,
le contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures opérationnelles.
109
LES MISSIONS DE L’ASSURANCE MALADIE
GESTION RELATION EMPLOYEUR
link to page 2
08 GESTION DE LA DÉLIVRANCE
DES SOINS ET ACCOMPAGNEMENT
Finalités
FICHE 51
FICHE 53
Gestion de la délivrance
Gestion des activités des œuvres (centre
des soins dans les établissements
de soins dentaires, centre médical
sanitaires du Groupe UGECAM
polyvalent, centre de soins infirmiers...)
FICHE 52
FICHE 54
Accompagnement dans
Gestion et réalisation des missions
les établissements et services
des Centres Examens Santé (CES)
médico-sociaux du Groupe UGECAM
110
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2 link to page 110
111
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2 link to page 110
112
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2 link to page 110
113
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2 link to page 110
114
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2 link to page 110
115
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2 link to page 110
116
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2 link to page 110
117
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2 link to page 110
118
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2
09 ACCOMPAGNEMENT ACCÈS
AUX DROITS/AUX SOINS ET
GESTION DES INTERVENTIONS
DU SERVICE SOCIAL
Finalités
FICHE 55
FICHE 56
Gérer les situations de fragilité
Mettre en œuvre les interventions
au regard de l’accès
du service social auprès des assuré(e)s
aux droits et aux soins
119
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2 link to page 119
09
ACCOMPAGNEMENT ACCÈS AUX DROITS/
AUX SOINS ET GESTION DES INTERVENTIONS
DU SERVICE SOCIAL - Fiche 55
Gérer les situations de fragilité au regard de l’accès
aux droits et aux soins
Sous-finalités
Fondements juridiques
• Détecter les situations de fragilité (ciblage)
• Article 6-1-e du RGPD : le traitement est nécessaire à l’exécution
• Gérer et mettre en œuvre l’accompagnement (réceptionner le
d’une mission d’intérêt public de la Cnam.
formulaire de saisine, proposer l’offre de service d’accompagnement
• La mission d’intérêt public est notamment fondée sur l’article
et/ou faire connaitre les droits aux assurés ciblés
L. 162-1-11 du Code de la sécurité sociale.
• Orienter dans le système de soins, guider vers les professionnels
de santé et les partenaires...)
• Échanger les informations utiles à la mise en œuvre des missions
du service
• Acquérir, contrôler traiter et enregistrer les informations utiles
• Suivre, piloter et évaluer le dispositif d’accompagnement réalisé
par les Missions accompagnement santé
Catégories de personnes concernées
Type de données
• Bénéficiaires de l’Assurance Maladie
• Données des bénéficiaires :
• Professionnels de santé et/ou partenaires détecteurs
− Données d’identification dont nom, prénom, date de naissance, NIR
•
−
Agents de l’Assurance Maladie pour traces des actions dans les outils
Données de contact dont téléphone, adresse postale, e-mail
− Données relatives aux droits dont médecin traitant, couverture
de base et complémentaire
− Données de santé dont parcours de soins, consommation de
soins (devis, pharmacie, etc), données de prévention et de
dépistage
− Données concernant la vie personnelle dont situation familiale
et composition du foyer
− Données d’ordre économique et financière dont ressources
− Données diverses : la présence d’un champ libre peut
permettre aux agents de l’Assurance Maladie de saisir des
informations complémentaires sur la situation du bénéficiaire
• Données des agents, professionnels de santé ou partenaire
détecteurs :
− Données d’identification dont nom, prénom
− Données de contact dont Téléphone et adresse e-mail
• Pour les agents de l’Assurance Maladie :
− Données de connexion et actions dans le système d’information
de l’Assurance Maladie
LES MISSIONS DE L’ASSURANCE MALADIE
120
ACCOMPAGNEMENT ACCÈS AUX DROITS/AUX SOINS ET GESTION DES INTERVENTIONS DU SERVICE SOCIAL
link to page 2 link to page 119
09
ACCOMPAGNEMENT ACCÈS AUX DROITS/
AUX SOINS ET GESTION DES INTERVENTIONS
DU SERVICE SOCIAL - Fiche 55
Gérer les situations de fragilité au regard de l’accès
aux droits et aux soins
Destinataires des données
Personnes accédant aux données
• Pas de destinataires externes
• Tout agent de l’Assurance Maladie strictement habilité à accéder
aux données dans le cadre de ses fonctions, dans le respect du
principe du besoin d’en connaître et des missions dévolues aux
praticiens conseils et personnes placées sous leur autorité
• La CPAM du Gard peut être sollicitée et de ce fait collecter des
données des assurés rattachés à d’autres caisses primaires
d’assurance maladie, pour des évaluations.
Durée de conservation
Droits des personnes concernées
• Les données sont conservées pour la durée nécessaire à
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs
l’instruction des dossiers des assurés, à l’accompagnement et aux
à la transparence sur les traitements et sur les informations à
évaluations du dispositif.
communiquer aux personnes concernées, les informations figurent
• Elles sont conservées 18 mois à compter de la clôture de
dans la politique générale de protection des données personnelles
l’accompagnement, pour des besoins d’évaluation, de
présente sur ameli.fr et sur le courrier envoyé à l’assuré.
réclamation ou tout autre besoin relatif à la gestion des dossiers
• Les droits d’accès et de rectification s’exercent auprès du
et répondant aux sous-finalités prévues par le traitement.
directeur de la caisse de rattachement de la personne concernée
• Elles sont ensuite désidentifiées puis 3 ans après, elles font l’objet
en contactant le DPO de la caisse.
d’une purge automatique et mensuelle.
• L’accompagnement proposé relève des missions de l’Assurance
Maladie. Il est possible de refuser cet accompagnement. Le droit
d’opposition ne s’exerce que sur ce périmètre.
Justification absence du droit d’opposition
Sécurité des données
• Invitation/ciblage : droit d’opposition non applicable au regard
• Les mesures techniques et organisationnelles sont définies dans
de la mission d’intérêt public de l’Assurance Maladie
la PSSI-MCAS en application à la Cnam et dans les organismes.
• Accompagnement : possibilité de refuser l’accompagnement
• Elles concernent notamment la gestion des habilitations,
proposé
le contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures opérationnelles.
LES MISSIONS DE L’ASSURANCE MALADIE
121
ACCOMPAGNEMENT ACCÈS AUX DROITS/AUX SOINS ET GESTION DES INTERVENTIONS DU SERVICE SOCIAL
link to page 2 link to page 119
09
ACCOMPAGNEMENT ACCÈS AUX DROITS/
AUX SOINS ET GESTION DES INTERVENTIONS
DU SERVICE SOCIAL - Fiche 56
Mettre en œuvre les interventions du service social
auprès des assuré(e)s
Sous-finalités
Fondements juridiques
• Détection des fragilités
• Article 6-1-e du RGPD : Mission d’intérêt public de l’Assurance
• Recevoir les sollicitations (détections/signalements)
Maladie
• Gérer et mettre en œuvre l’accompagnement (réceptionner le
• Article 6-1-c du RGPD : le traitement est nécessaire au respect
formulaire de saisine, proposer l’offre de service d’accompagnement
d’une obligation légale (loi n° 2021-1018 du 2 août 2021 pour
et/ou faire connaitre les droits aux assurés ciblés...)
renforcer la prévention en santé au travail)
• Gérer les rendez-vous (individuels/collectifs) et mettre en place le
traitement social adapté (individuel et/ou collectif)
• Échanger des informations utiles à la mise en œuvre des
interventions du service social (assuré/partenaires)
• Acquérir, contrôler, traiter et enregistrer les informations utiles
• Suivi, pilotage et évaluation
• Production de statistiques, pilotage et mise en œuvre des
politiques du service social
• Évaluation de la satisfaction
Catégories de personnes concernées
Type de données
• Assurés (actifs et retraités)/Ayants-droits
• Pour les assurés pris en charge :
• Public fragilisé au regard de l’accès aux droits et aux soins
− Données d’identification et de contact dont noms (famille,
usage), prénoms, date et lieu de naissance, sexe, date de décès,
• Partenaires de la sphère sociale et/ou partenaires associés
e-mail, téléphone
pour la mise en œuvre des interventions du Service social
−
(accompagnement et prise en charge des bénéficiaires)
Données de rattachement dont données relatives aux droits
NIR / NIA
• Salariés de l’organisme
− Données concernant la situation familiale
− Données concernant la vie professionnelle
− Informations d’ordre économique et financier
− Données personnelles relatives à l’instruction du dossier :
motifs des signalements et demandes d’intervention et
d’évaluation
• Pour les partenaires de la sphère sociale :
− Données d’identification et de contact dont noms, prénoms,
e-mail et téléphone (professionnel ou personnel)
• Pour les agents des organismes:
− Données de connexion et traces des actions des agents dans les
outils
LES MISSIONS DE L’ASSURANCE MALADIE
122
ACCOMPAGNEMENT ACCÈS AUX DROITS/AUX SOINS ET GESTION DES INTERVENTIONS DU SERVICE SOCIAL
link to page 2 link to page 119
09
ACCOMPAGNEMENT ACCÈS AUX DROITS/
AUX SOINS ET GESTION DES INTERVENTIONS
DU SERVICE SOCIAL - Fiche 56
Mettre en œuvre les interventions du service social
auprès des assuré(e)s
Destinataires des données
Personnes accédant aux données
• Les données peuvent être communiquées aux partenaires de la
• Agents du service social
sphère sociale, ces derniers les traiteront dans le cadre strict de la • Partenaires de la sphère sociale
finalité du traitement.
• Autres partenaires (exemples : EDF / CIBC / Lieux de permanence tels
MDS, Mairies, Maisons France Service… / Conseil départemental…)
Durée de conservation
Droits des personnes concernées
• Concernant les données relatives au bénéficiaire : dans la
• Les droits d’accès, de rectification et d’opposition s’exercent
limite de 18 mois après la fin de l’action, à compter du moment
auprès du Délégué à la protection des données (DPO) de votre
où l’assistant(e) de service social estime que la situation qui
caisse de retraite de rattachement locale.
lui a été soumise a trouvé sa solution. Au-delà de ce délai et
• Vous pouvez retrouver leurs coordonnées publiques sous l’onglet
sauf opposition de la part de l’assuré ou de l’ayant-droit, ces
en bas de page du site de l’Assurance retraite « Informatique et
données peuvent être archivées dans la limite de 3 ans dans un
Libertés ».
environnement logique séparé.
• Concernant les traces d’accès au dossier du bénéficiaire : dans la
limite de 6 mois.
Justification absence du droit d’opposition
Sécurité des données
• Les mesures de sécurité sont mises en œuvre conformément à
la Politique de sécurité des systèmes d’information (PSSI) de la
CNAV, issue de la PSSI de l’Etat.
LES MISSIONS DE L’ASSURANCE MALADIE
123
ACCOMPAGNEMENT ACCÈS AUX DROITS/AUX SOINS ET GESTION DES INTERVENTIONS DU SERVICE SOCIAL
link to page 2
10 SITUATIONS D’URGENCE
OU DE CRISE SANITAIRE
Finalités
FICHE 60
Déclare ameli - Déclaration des arrêts de
FICHE 57
travail et demandes de prestations liées au
Dispositif victimes attentats
Contact Covid Information des personnes
« cas contact » ayant reçu un SMS
FICHE 61
FICHE 58
Déclare maladiepro - Effectuer
Organiser et réaliser
les demandes de reconnaissance
les opérations de Contact COVID
de maladie professionnelle liée à la
contamination par le Covid-19
FICHE 59
Organiser la traçabilité et le suivi
de la vaccination COVID-19
124
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2 link to page 124
125
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2 link to page 124
126
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2 link to page 124
127
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2 link to page 124
128
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2 link to page 124
129
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2 link to page 124
130
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2 link to page 124
131
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2 link to page 124
132
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2 link to page 124
133
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2 link to page 124
134
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2 link to page 124
135
LES MISSIONS DE L’ASSURANCE MALADIE
link to page 2
11 GESTION DES RECOURS,
CONTENTIEUX ET
ACTIONS JURIDIQUES
Finalités
FICHE 62
FICHE 64
Gérer les droits dits
Suivre et traiter les procédures
« Informatique et Libertés »
amiables, médiation, CADA
et les recours, contentieux
et recours gracieux
et actions associés
FICHE 63
FICHE 65
Gérer les contentieux
Gérer les recours contre les tiers
de l’Assurance Maladie
136
LES MISSIONS SUPPORTS
link to page 2 link to page 136
LES MISSIONS SUPPORTS
link to page 2 link to page 136
LES MISSIONS SUPPORTS
link to page 2 link to page 136
LES MISSIONS SUPPORTS
link to page 2 link to page 136
LES MISSIONS SUPPORTS
link to page 2 link to page 136
LES MISSIONS SUPPORTS
link to page 2 link to page 136
LES MISSIONS SUPPORTS
link to page 2 link to page 136
LES MISSIONS SUPPORTS
link to page 2
12 INSTANCES DE GOUVERNANCE
ET RELATION PRESSE
Finalités
FICHE 67
FICHE 66
Communication avec la presse
Gestion de la communication
pour médiatiser l’action publique
sur les réseaux sociaux
de l’Assurance Maladie
144
LES MISSIONS SUPPORTS
link to page 2 link to page 144
12
INSTANCES DE GOUVERNANCE
ET RELATION PRESSE - Fiche 66
Gestion de la communication sur les réseaux sociaux
Sous-finalités
Fondements juridiques
• Administration des comptes sur les réseaux
• Article 6-1-f du RGPD : le traitement est nécessaire aux fins des
• Gestion des interactions avec le public
intérêts légitimes de la Cnam
• Organisation et gestion de l’ambassadorat
Catégories de personnes concernées
Type de données
• Collaborateurs de l’Assurance Maladie volontaires
• Données d’identification dont Nom, prénom, date de naissance;
(Cnam et organismes du réseau)
• Données de contact dont l’adresse complète, le numéro de
• Personnes pouvant être bénéficiaire de l’Assurance Maladie
téléphone et l’adresse e-mail
• Données relatives à l’activité professionnelle dont la profession
• Données de connexion des agents
• Données liées à la vie personnelle (habitude de vie,
comportements, etc.) dont la taille de chaussure par exemple,
fumeur ou non, etc.
Destinataires des données
Personnes accédant aux données
• Aucune donnée traitée n’est communiquée à des tiers.
• Les personnes pouvant accéder aux données sont :
− Tout agent de l’Assurance Maladie strictement habilité à
accéder aux données dans le cadre de ses fonctions, dans le
respect du principe du besoin d’en connaître.
− Le cas échéant, les employés du prestataire autorisés à accéder
aux données en cas de recours à la sous-traitance. Cet accès
ainsi que les droits sur les données (lecture, modification,
écriture, suppression) sont établis et encadrés dans une
convention signée entre l’Assurance Maladie et le sous-traitant.
Durée de conservation
Droits des personnes concernées
• Les données de conservation peuvent varier en fonction de la
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs à
finalité de la communication mise en place. Les durées sont
la transparence sur les traitements et sur les informations à
définies en fonction de chaque évènement et des mesures sont
communiquer aux personnes concernées, plusieurs modalités
prises pour qu’elles ne soient pas conservées au-delà de la durée
sont réalisées :
nécessaire au regard des finalités pour lesquelles elles sont
− Informations des personnes via les règlements des jeux
traitées.
concours sur Facebook
− Charte sur la protection des données de Facebook, Twitter et
Linkedin
− Supports de communication internes relatifs au programme
(Flyer, article intranet) et les CGU de l’outil (qui seront adaptées
au projet de la Cnam) et acceptées lors de la première
connexion de l’utilisateur.
145
• Droit d’accès, de rectification ou de suppression portant sur les
données personnelles collectées s’exerce sur demande e-mail à
l’adresse : xxxxxxxxxxxxxx@xxxxxxxxxxxxxxxxx.xx (pour les jeux
concours)
• Le droit d’accès, de rectification ou de suppression portant sur
les données personnelles collectées s’exerce sur demande de
l’utilisateur au référent local du programme ambassadorat.
145
LES MISSIONS SUPPORTS
INSTANCES DE GOUVERNANCE ET RELATION PRESSE
link to page 2 link to page 144
12
INSTANCES DE GOUVERNANCE
ET RELATION PRESSE - Fiche 66
Gestion de la communication sur les réseaux sociaux
Justification absence du droit d’opposition
Sécurité des données
• La participation étant basée sur le volontariat, le droit
• Les mesures techniques et organisationnelles sont définies dans la
d’opposition n’a pas lieu de s’appliquer.
PSSI-MCAS en application à la Cnam et dans les organismes.
• Elles concernent notamment la gestion des habilitations, le
contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures opérationnelles.
146
146
LES MISSIONS SUPPORTS
INSTANCES DE GOUVERNANCE ET RELATION PRESSE
link to page 2 link to page 144
12
INSTANCES DE GOUVERNANCE
ET RELATION PRESSE - Fiche 67
Communication avec la presse pour médiatiser
l’action publique de l’Assurance Maladie
Sous-finalités
Fondements juridiques
• Gestion d’un vivier de professionnels intervenant potentiellement • Article 6-1-f du RGPD : le traitement est nécessaire aux fins des
sur les activités de l’Assurance Maladie
intérêts légitimes de la Cnam
• Gestion et mise à jour des fichiers de presse
• Gestion des demandes et réponse de journalistes
• Organisation et gestion d’évènements presse
• Organisation et gestion d’outils de communication
Catégories de personnes concernées
Type de données
• Professionnels de presse identifiés par l’Assurance Maladie
• Données d’identification dont le nom, prénom
• Données de contact professionnel dont adresse postale, e-mail et
numéro de téléphone
• Données relatives à l’activité professionnelle dont fonction, nature
des médias couverts, domaines couverts, réseaux sociaux couverts,
langue, titres, nominations, actions traitées, publications…)
Destinataires des données
Personnes accédant aux données
• Aucune donnée traitée n’est communiquée à des tiers.
• Agents de l’Assurance Maladie strictement habilité à accéder aux
données dans le cadre de ses fonctions, dans le respect du principe
du besoin d’en connaître
Durée de conservation
Droits des personnes concernées
• Les données de contact presse sont accessibles via une solution
• Les mentions d’information sont traitées par la solution logicielle
externe. La durée de conservation ne peut excéder la date
externe souscrite qui offre les fonctionnalités suivantes :
d’expiration du contrat de sous-traitance souscrit
− E-mail d’information communiqué à tous les nouveaux
contacts presse inscrits
− Demande de consentement pour pouvoir conserver les
données de contact dans la base
− Droit d’accès, de rectification
Justification absence du droit d’opposition
Sécurité des données
• Les mesures techniques et organisationnelles sont définies dans
la PSSI-MCAS en application à la Cnam et dans les organismes.
Elles concernent notamment la gestion des habilitations, le
contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
147
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures opérationnelles.
• Dans le cadre de cette finalité, la sécurité des données est
principalement assurée par le fournisseur de la solution externe, les
responsabilités sont formalisées dans le contrat de l’offre de service.
147
LES MISSIONS SUPPORTS
INSTANCES DE GOUVERNANCE ET RELATION PRESSE
link to page 2
13 ACTIVITÉS COMPTABLES
ET FINANCIÈRES, CONTRÔLE
DE GESTION
Finalités
FICHE 68
FICHE 70
Tenue de la comptabilité
Gestion des paiements
(générale, soins de ville
(bénéficiaire de prestations
et établissements)
et tous autres destinataires)
FICHE 69
Gestion de la trésorerie
148
LES MISSIONS SUPPORTS
link to page 2 link to page 148
149
LES MISSIONS SUPPORTS
link to page 2 link to page 148
150
LES MISSIONS SUPPORTS
link to page 2 link to page 148
151
LES MISSIONS SUPPORTS
link to page 2 link to page 148
152
LES MISSIONS SUPPORTS
link to page 2
14 PRODUITS ET SERVICES
INFORMATIQUE
Finalités
FICHE 71
FICHE 73
Fabrication et maintenance
Recette des outils,
de services et outils
services et référentiels
FICHE 72
FICHE 74
Hébergement et exploitation
Gestion de la sécurité
des référentiels, outils et services
des systèmes d’information
153
LES MISSIONS SUPPORTS
link to page 2 link to page 153
14
PRODUITS ET
SERVICES INFORMATIQUE - Fiche 71
Fabrication et maintenance de services et outils
Sous-finalités
Fondements juridiques
• Gestion des commandes informatiques
• Article 6-1-e du RGPD : le traitement est nécessaire à l’exécution
• Réalisation d’outils, services et référentiels et de leurs correctifs
d’une mission d’intérêt public.
(maintenance)
• Article 6-1-f du RGPD : intérêts légitimes de l’employeur dans le
• Remontée et gestion des anomalies et assistance aux utilisateurs
cas de recettes destinées aux ressources humaines.
• Pilotage et évaluation de l’activité
Catégories de personnes concernées
Type de données
• Bénéficiaires de l’Assurance Maladie, professionnels, employeurs, • Toutes les catégories de données peuvent être potentiellement
salariés de la Cnam et des organismes de l’Assurance Maladie.
utilisées par l’Assurance Maladie pour les besoins de ses missions.
Destinataires des données
Personnes accédant aux données
• N/A
• Les personnes pouvant accéder aux données sont tout agent de
l’Assurance Maladie strictement habilité à accéder aux données
dans le cadre de ses fonctions, dans le respect du principe du
besoin d’en connaître. Il s’agit plus particulièrement des agents
en charge des développements et de la maintenance des services
et outils informatiques.
Durée de conservation
Droits des personnes concernées
• Les données sont conservées pour la durée nécessaire à leur
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs à
gestion et fonction du type et finalité de chacun des référentiels,
la transparence sur les traitements et sur les informations à
outil ou services.
communiquer aux personnes concernées, plusieurs modalités
• Les données de connexion aux services et outils de l’Assurance
sont réalisées :
Maladie sont conservées 12 mois conformément à la Politique
− Des informations sont dans la politique générale de protection
de Sécurité des Systèmes d’Information de l’Assurance Maladie
des données personnelles présente sur ameli.fr.
(PSSI-MCAS).
− Une mention d’information spécifique le cas échéant
• Les droits d’accès et de rectification s’exercent auprès du
directeur de la caisse de rattachement de la personne concernée
en contactant le DPO de la caisse.
• Pour les traitements destinés aux ressources humaines,
les mentions d’information sont accessibles aux salariés sur
l’intranet de l’organisme.
Justification absence du droit d’opposition
Sécurité des données
• Droit d’opposition non applicable au regard de la mission
• Les mesures techniques et organisationnelles sont définies dans
d’intérêt public de l’Assurance Maladie
la PSSI-MCAS en application à la Cnam et dans les organismes.
• Elles concernent notamment la gestion des habilitations, le
contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures opérationnelles.
154
LES MISSIONS SUPPORTS
PRODUITS ET SERVICES INFORMATIQUE
link to page 2 link to page 153
14
PRODUITS ET
SERVICES INFORMATIQUE - Fiche 72
Hébergement et exploitation des référentiels, outils et services
Sous-finalités
Fondements juridiques
• Intégration des outils, services et référentiels
• Article 6-1-e du RGPD : le traitement est nécessaire à l’exécution
• Exploitation des outils, services et référentiels et définition des
d’une mission d’intérêt public.
modalités d’accès aux données
• Article 6-1-f du RGPD : intérêts légitimes de l’employeur dans le
• Mise en place d’infrastructures réseau et flux vers nos partenaires
cas de recettes destinées aux ressources humaines.
externes (OPS, ministère, Professionnels, OCAM, etc.)
• Hébergement des outils services et référentiels
Catégories de personnes concernées
Type de données
• Bénéficiaires de l’Assurance Maladie
• Toutes les catégories de données peuvent être potentiellement
• Professionnels
utilisées par l’Assurance Maladie pour les besoins de ses missions.
• Employeurs
• Salariés des organismes de l’Assurance Maladie
Destinataires des données
Personnes accédant aux données
• Autorités en cas de requête judiciaire
• Les personnes pouvant accéder aux données sont tout agent de
l’Assurance Maladie strictement habilité à accéder aux données
dans le cadre de ses fonctions, dans le respect du principe du
besoin d’en connaître. Il s’agit plus particulièrement des agents
en charge de l’exploitation des outils et bases de données de
l’Assurance Maladie.
Durée de conservation
Droits des personnes concernées
• Les données sont conservées pour la durée nécessaire à leur
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs à
gestion et fonction du type et finalité de chacun des référentiels,
la transparence sur les traitements et sur les informations à
outil ou services.
communiquer aux personnes concernées, plusieurs modalités
• Les données de connexion aux services et outils de l’Assurance
sont réalisées :
Maladie sont conservées 12 mois conformément à la Politique
− Des informations sont dans la politique générale de protection
de Sécurité des Systèmes d’Information de l’Assurance Maladie
des données personnelles présente sur ameli.fr.
(PSSI-MCAS).
− Une mention d’information spécifique le cas échéant
• Les droits d’accès et de rectification s’exercent auprès du
directeur de la caisse de rattachement de la personne concernée
en contactant le DPO de la caisse.
• Pour les traitements destinés aux ressources humaines,
les mentions d’information sont accessibles aux salariés sur
l’intranet de l’organisme.
155
LES MISSIONS SUPPORTS
PRODUITS ET SERVICES INFORMATIQUE
link to page 2 link to page 153
14
PRODUITS ET
SERVICES INFORMATIQUE - Fiche 72
Hébergement et exploitation des référentiels, outils et services
Justification absence du droit d’opposition
Sécurité des données
• Droit d’opposition non applicable au regard de la mission
• Les mesures techniques et organisationnelles sont définies dans
d’intérêt public de l’Assurance Maladie
la PSSI-MCAS en application à la Cnam et dans les organismes.
• Elles concernent notamment la gestion des habilitations, le
contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures opérationnelles.
156
LES MISSIONS SUPPORTS
PRODUITS ET SERVICES INFORMATIQUE
link to page 2 link to page 153
14
PRODUITS ET
SERVICES INFORMATIQUE - Fiche 73
Recette des outils, services et référentiels
Sous-finalités
Fondements juridiques
• Gestion des demandes de recette et de la documentation de
• Article 6-1-e du RGPD : le traitement est nécessaire à l’exécution
contrôle interne afférent
d’une mission d’intérêt public.
• Constitution de référentiels de test et d’échantillon
• Article 6-1-f du RGPD : intérêts légitimes de l’employeur dans le
• Gestion des campagnes de recette et exécution de la recette
cas de recettes destinées aux ressources humaines.
(automatisation ou non)
• Benchmarking (tests de charge)
• Pilotage et suivi de l’activité recette
Catégories de personnes concernées
Type de données
• Bénéficiaires de l’Assurance Maladie
• Toutes les catégories de données qui sont traitées par
• Professionnels
l’Assurance Maladie pour les besoins de ses missions, ou en tant
qu’employeur peuvent être potentiellement utilisées.
• Employeurs
• Salariés de la Cnam et des organismes de l’Assurance Maladie
Destinataires des données
Personnes accédant aux données
• N/A
• Les personnes pouvant accéder aux données sont toutes agent de
l’Assurance Maladie strictement habilité à accéder aux données
dans le cadre de ses fonctions, dans le respect du principe du
besoin d’en connaître.
• Ce sont principalement les agents ou prestataires en charge des
recettes des outils, services et référentiels, ou ceux en charge de
l’administration des environnements techniques pour ces recettes.
Durée de conservation
Droits des personnes concernées
• Les données sont conservées pour la durée nécessaire à leur
• Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs à
gestion et fonction du type et finalité de chacun des référentiels,
la transparence sur les traitements et sur les informations à
outil ou services.
communiquer aux personnes concernées, plusieurs modalités
• Les données de connexion aux services et outils de l’Assurance
sont réalisées :
Maladie sont conservées 12 mois conformément à la Politique
− Des informations sont dans la politique générale de protection
de Sécurité des Systèmes d’Information de l’Assurance Maladie
des données personnelles présente sur ameli.fr.
(PSSI-MCAS).
− Une mention d’information spécifique le cas échéant
• Pour les traitements destinés aux ressources humaines,
les mentions d’information sont accessibles aux salariés sur
l’intranet de l’organisme.
157
LES MISSIONS SUPPORTS
PRODUITS ET SERVICES INFORMATIQUE
link to page 2 link to page 153
14
PRODUITS ET
SERVICES INFORMATIQUE - Fiche 73
Recette des outils, services et référentiels
Justification absence du droit d’opposition
Sécurité des données
• Droit d’opposition non applicable au regard de la mission
• Les mesures techniques et organisationnelles sont définies dans
d’intérêt public de l’Assurance Maladie
la PSSI-MCAS en application à la Cnam et dans les organismes.
Elles concernent notamment la gestion des habilitations, le
contrôle des accès, la transmission sécurisée des données,
la traçabilité des actions sur les données personnelles,
l’encadrement de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures opérationnelles.
• Le principe de minimisation de l’accès aux données personnelles
est appliqué par mise à disposition de jeux de données fictives ou
dispositifs d’anonymisation/pseudonymisation dès que possible.
158
LES MISSIONS SUPPORTS
PRODUITS ET SERVICES INFORMATIQUE
link to page 2 link to page 153
14
PRODUITS ET
SERVICES INFORMATIQUE - Fiche 74
Gestion de la sécurité des systèmes d’information
Sous-finalités
Fondements juridiques
• Gestion et délivrance des habilitations (cartes agents, droits
• La base juridique est l’article 6-1-c du RGPD : le traitement est
d’accès), contrôles associés et supervision de la politique des accès
nécessaire au respect d’une obligation légale à laquelle la Cnam
• Traçabilité des accès utilisateurs dans les outils
est soumise :
−
•
Référentiel général de sécurité (RGS)
Management de la sécurité des SI
− Politique de sécurité des systèmes d’information PSSI-MCAS
• Exploitation régulière des journaux de sécurité, analyse
permanente des alertes des dispositifs de protection du SI
(antivirus, pare feux…)
• Gestion des accès à Internet/intranet, contenus illicites et abusifs
• Gestion des vulnérabilités et incidents de sécurité
• Pilotage et suivi de l’activité
Catégories de personnes concernées
Type de données
• Salariés de la Cnam et des organismes
• Pour les salariés ou prestataires opérant
• Prestataires intervenant pour le compte de la Cnam ou des organismes
sur le SI de l’Assurance Maladie :
−
•
Données d’identification (dont matricule agent)
Toute personne se connectant sur les sites Internet ou
−
applications mobiles de l’Assurance Maladie (bénéficiaires,
Trace des connexions au système d’information et des actions
professionnels, employeurs)
dans les outils informatique
− Trace des url Internet consultées
• Bénéficiaires dont les données sont accédées par les agents de
− Dans le cas d’analyse d’un incident de sécurité, contenu du
l’Assurance Maladie ou les professionnels
poste de travail et messagerie du salarié, conformément aux
mesures décrites dans la charte d’utilisation des ressources
informatique
• Pour les personnes qui consultent les sites Internet
ou applications mobiles :
− Trace des connexions (IP)
• Pour les personnes qui se connectent à leur espace personnel ou
professionnel (bénéficiaires, professionnels, employeurs) sur sites
Internet, via webservices ou applications mobiles :
− Trace des actions opérées sur ces espaces et des données
accédées, dont le NIR des bénéficiaires
Destinataires des données
Personnes accédant aux données
• MSSI, RSSI, hiérarchie des salariés dans le strict respect de la
• Administrateurs techniques (Informaticiens) habilités en charge
procédure d’accès aux traces
de la supervision de la sécurité du système d’information
• Autorités dans le cas d’une requête judiciaire
159
LES MISSIONS SUPPORTS
PRODUITS ET SERVICES INFORMATIQUE
link to page 2 link to page 153
14
PRODUITS ET
SERVICES INFORMATIQUE - Fiche 74
Gestion de la sécurité des systèmes d’information
Durée de conservation
Droits des personnes concernées
• Les données de connexion aux services et outils de l’Assurance
• Les mentions d’information sont publiées sur le site ameli.fr ainsi
Maladie sont conservées 12 mois conformément à la Politique
que sur l’intranet de l’entreprise accessible à tous les salariés.
de Sécurité des Systèmes d’Information de l’Assurance Maladie
(PSSI-MCAS).
• Les actions des agents dans les outils de l’Assurance Maladie sont
conservées sur la même durée que les données nécessaires à la
gestion et fonction du type et finalité de chacun des référentiels,
outil ou services.
Justification absence du droit d’opposition
Sécurité des données
• Obligation légale
• Les mesures techniques et organisationnelles sont définies dans la
PSSI-MCAS en application à la Cnam et dans les organismes.
• Elles concernent notamment la gestion des habilitations, le
contrôle des accès, la transmission sécurisée des données, la
traçabilité des actions sur les données personnelles, l’encadrement
de la sous-traitance, la sensibilisation des acteurs.
• La PSSI définit les mesures organisationnelles et les contrôles
associés. Ces mesures sont déclinées en procédures opérationnelles.
160
LES MISSIONS SUPPORTS
PRODUITS ET SERVICES INFORMATIQUE
link to page 2
15 RESSOURCES HUMAINES
Finalités
FICHE 80
FICHE 75
Évaluer la satisfaction et les usages des
Gestion du recrutement
offres, produits et services pour les
du personnel
salariés
FICHE 76
FICHE 81
Gestion administrative
Déontologie et alertes
des personnels
FICHE 82
Organiser et opérer l’intégration dans
FICHE 77
les organismes dépendant du régime
Gestion des carrières et mobilité
général d’assurance maladie des
effectifs d’organismes de sécurité
sociale ou autres entités
FICHE 78
FICHE 83
Gestion de la formation
Gestion de l’action sociale
du personnel
et des risques psycho-sociaux
FICHE 79
Gestion des relations sociales
161
LES MISSIONS SUPPORTS
link to page 2 link to page 161
162
162
link to page 2 link to page 161
163
163
link to page 2 link to page 161
164
164
link to page 2 link to page 161
165
165
link to page 2 link to page 161
166
166
link to page 2 link to page 161
167
167
link to page 2 link to page 161
168
168
link to page 2 link to page 161
169
169
link to page 2 link to page 161
170
170
link to page 2 link to page 161
171
171
link to page 2 link to page 161
172
172
link to page 2 link to page 161
173
173
link to page 2 link to page 161
174
174
link to page 2
16 MOYENS GÉNÉRAUX
Finalités
FICHE 84
FICHE 86
Gestion des achats, subvention
Assurer la sécurité des personnes
et fonds pour les activités
et des biens dans les organismes
de l’Assurance Maladie
de l’Assurance Maladie
FICHE 87
FICHE 85
Traitements nécessaires
Gestion des ressources
au fonctionnement courant
informatiques et télécoms
de l’organisme
175
LES MISSIONS SUPPORTS
link to page 2 link to page 175
176
link to page 2 link to page 175
177
link to page 2 link to page 175
178
link to page 2 link to page 175
179
link to page 2 link to page 175
180
link to page 2 link to page 175
181
