L’Identifiant National de Santé et la Protection des Données – PiaLab : audit, conseil et formation cybersécurité et RGPD

Qu’est-ce que l’INS ?

L’INS c’est l’Identifiant National de Santé, constitué par le décret n°2019-341 du 19 avril 2019 relatif à la mise en œuvre de traitements comportant l’usage du numéro d’inscription au répertoire national d’identification des personnes physiques ou nécessitant la consultation de ce répertoire dans son article 2.B et le décret n° 2019-1036 du 8 octobre 2019 modifiant le décret n° 2017-412 du 27 mars 2017 relatif à l’utilisation du numéro d’inscription au répertoire national d’identification des personnes physiques comme identifiant national de santé.

Quel est le cadre en matière de protection des données pour l’INS ?

Le cadre de l’INS est celui du RGPD art.87 relatif au numéro d’inscription au registre, décliné dans le décret cadre n°2019-341, indique qu’aucun traitement du NIR n’est possible en dehors du cadre prévu par la loi nationale. Le Code de la Santé Publique indique dans son article R1111-8-1 que « l’identifiant national de santé défini à l’article L. 1111-8-1 est le numéro d’inscription au répertoire national d’identification des personnes physiques (NIR) ». Ainsi les règles valables pour le NIR en France s’appliquent pour l’INS.

Quel calendrier pour l’INS ?

Le Code de Santé Publique prévoit la mise en œuvre de l’INS à compter du 1^er janvier 2021. Les responsables de traitements doivent donc le mettre en œuvre dans les traitements prévus par la loi.

Protection des données dès la conception : quels impacts de l’arrivée de l’INS ?

L’arrivée de l’INS début 2021 implique de nouveaux traitements et des modifications à apporter à des traitements existants. La connaissance scientifique et la législation sont très claires dans ce cas : il faut prendre en compte la protection des données dès la conception de nouveaux traitements ou avant tout changement (RGPD art.25). De plus, pour des raisons d’accountability (RGPD art.5.2), le responsable de traitement doit garder les traces de cette démarche.

Ainsi pour être irréprochables et efficaces, impliquez votre DPO dès l’amont des changements prévus. C’est une action très forte pour assurer la protection des données. Ne perdez pas de temps, et gardez-en une trace !