La CNIL met le nez dans les affaires des mutuelles, à la suite de centaines de plaintes reçues. L’autorité compétente en matière de protection des données personnelles appelle à clarifier et sécuriser le cadre juridique pour l’utilisation de données de santé par les organismes d’assurance maladie complémentaire (OCAM) sans consentement, en dehors du cercle médical autorisé à y accéder.
Les données de santé sont doublement protégées – par le RGPD d’une part, et le secret médical de l’autre. La CNIL rappelle que toute collecte et utilisation de ces données très personnelles est « en principe interdite ». Les mutuelles ont toutefois besoin d’accéder à certaines données pour procéder aux remboursements de leurs assurés.
Dans son analyse juridique publiée le 14 novembre, la CNIL tire la sonnette d’alarme sur le manque de clarté des textes réglementaires qui encadrent ces transferts de données entre personnels de santé et assureurs, et pousse pour « un encadrement et des garanties appropriées, eu égard à la sensibilité de ces données ».
Quid des transferts de données sans consentement ?
Puisque « les informations transmises aux OCAM sont couvertes par le secret médical », la CNIL note que lorsque ces informations sont transmises directement par les professionnels de santé aux OCAM, elles ont besoin d’une dérogation au secret médical. Or, cette dérogation est « soit très implicite, soit inexistante », constate la Commission.
Jusqu’alors, les échanges sont autorisés uniquement pour les contrats dits « responsables », qui ouvrent droit à certains avantages fiscaux dans le cadre de la réforme du 100 % santé, et qui représentent 95 % des contrats, rappelle la CNIL. En effet, les contrats dis « responsables » incluent un mécanisme de tiers payant qui « dispense le patient de l’avance des frais et conduit nécessairement le praticien à demander et justifier lui-même le paiement à l’OCAM compétent, les données transitant généralement par les organismes d’assurance maladie obligatoire (AMO) » dit la CNIL.
A contrario, pour les autres contrats dits « non responsables » – soit les 5 % restants – « le patient doit soit transmettre les informations lui-même à son OCAM, soit autoriser au cas par cas son professionnel de santé à le faire ».
Dès lors, les contrats « non responsables » sont plus complexes à interpréter en l’absence de consentement. Ce consentement, selon la CNIL, peut se faire sur le fondement d’une loi, qui jusqu’à présent est manquante. « En l’espèce, la Commission n’a identifié aucune disposition générale créant une telle dérogation au secret médical au profil des OCAM. »
Renforcer les mécanismes de protection par une loi
Dans l’intervalle, la Commission reconnaît que le patient doit « se voir effectivement proposer les deux voies alternatives, à savoir l’envoi par ses soins ou l’envoi par l’intermédiaire de son professionnel de santé » des documents à son OCAM. Et si « le patient décide de mandater son professionnel, la Commission considère que ce mandat devrait être donné acte par acte et ne saurait avoir une portée générale conduisant à délier le professionnel de son obligation ».
En réponse à l’analyse de la CNIL, la Fédération nationale de la Mutualité Française indique que « les organismes complémentaires d’assurance maladie sont prêts à renforcer le cadre juridique dans lequel s’organisent aujourd’hui ces données de santé dans un esprit constructif et toujours pour améliorer le service rendu aux assurés ».
Loin de l’inaction sur ce volet, la fédération explique que « les complémentaires, bien conscientes de leur responsabilité et conformément au droit, ont mis en place des processus permettant de garantir la confidentialité, la sécurité et la traçabilité de ces données qui, même si elles appartiennent formellement à la catégorie des données de santé, ne permettent pas de connaître la situation médicale des assurés. Le système de transmission de ces données respecte le RGPD et le secret médical ».
Qui plus est, « un recueil du consentement de l’assuré est réalisé avant chaque envoi de ses données à l’organisme complémentaire qui prend en charge ses dépenses de santé », note la fédération.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));