Données de santé: la Cnil reconnaît le droit des complémentaires d’en disposer pour effectuer leurs remboursements

La Cnil a publié, le 14 novembre 2022, sa position concernant les conditions dans lesquelles les organismes complémentaires d’assurance maladie (Ocam) peuvent collecter des données de santé.

En réponse aux centaines de plaintes reçues mettant en cause la possibilité d’une cinquantaine d’Ocam de recevoir des données générées par les professionnels de santé pour le suivi des patients ou encore le remboursement des dépenses de santé, la CNIL reconnaît déjà aux assureurs complémentaires «la possibilité d’utiliser des données de santé pour procéder aux remboursements de leurs assurés». Etant entendu que «les Ocam sont tenus de respecter les règles fixées par le RGPD et la loi informatique et libertés, et de ne traiter que les données dont ils ont besoin pour assurer leurs prestations».

La Cnil estime ainsi que le cadre juridique existant «permet le traitement de données de santé par les Ocam à des fins de liquidations des prestations uniquement pour les contrats dits responsables» qui, rappelle-t-elle, représente 95% du marché de la complémentaire santé». Pour les contrats non responsables, «seule l’exception du consentement (explicite, libre et éclairé de l’assuré) apparaît mobilisable» pour autoriser une telle utilisation des données de santé, estime la Cnil. En conséquence, «les conditions concrètes de passation du contrat (complémentaire de frais de santé) doivent faire l’objet d’une attention particulière afin de garantir la validité du consentement explicite de l’assuré», estime la Cnil. Et ce, d’autant plus dans le cas des contrats collectifs, où aucun consentement explicite et exprès n’est donné à la conclusion du contrat par chaque assuré individuellement, le consentement ne résultant, par défaut, que de la non-opposition au bénéfice des garanties du contrat.

De la même façon, au regard de la réglementation en vigueur concernant le secret médical imposé aux professionnels de santé, la Cnil estime que «pour pouvoir transmettre aux Ocam des informations couvertes par le secret médical, telles qu’une ordonnance, un code affiné ou un code de regroupement, les professionnels de santé doivent y être autorisés expressément par une norme législative», ce qui n’est aujourd’hui pas le cas. Toutefois, l’obligation introduite dans les contrats responsables d’inclure, à compter du 1^er janvier 2022, un mécanisme de tiers payant dispensant l’assuré de l’avance de frais de ses soins, implique la transmission aux Ocam d’informations couvertes par le secret médical», constate la Cnil. «Un encadrement législatif autorisant explicitement les professionnels de santé à transmettre aux OCAM des données couvertes par le secret médical et encadrant les modalités de cette transmission est donc nécessaire», estime la Cnil. Sachant qu’«en l’absence de décision contraire des juridictions compétentes, le patient peut mandater un tiers – ici, son professionnel de santé – pour transmettre à son OCAM les documents ou informations couverts par le secret médical nécessaires à la liquidation de ses dépenses.» Dans ce cas de figure, «il appartiendra aux OCAM de disposer de cet accord pour pouvoir recevoir et traiter les données en question», estime la Cnil.

Au vu de ces éléments, la Commission estime que «la loi est trop lacunaire» concernant l’encadrement et les garanties dans lesquels s’opèrent cette collecte «eu égard à la sensibilité de ces données». Elle estime donc «indispensable de revoir cet encadrement législatif en ce qui concerne l’exception mobilisable (en matière de consentement de l’assuré) pour le traitement des données et la levée du secret médical, afin de conforter la licéité des traitements dans tous les cas de figure».

Cette révision législative devraient, selon la Cnil, conduire à déterminer les finalités admises, les catégories de données pouvant être traitées, la présence et le contrôle par des professionnels de santé au sein des OCAM». Dans l’intervalle, le mandat du patient à la transmission de ses données de santé, recueilli par le professionnel de santé, et vérifié par l’OCAM peut permettre de satisfaire aux exigences relatives au secret médical pour les contrats non responsables», précise-t-elle.

Dans un communiqué commun publié le 15 novembre 2022, la Mutualité française, France Assureurs, le Centre technique des institutions de prévoyance (Ctip) et l’Union nationale des Ocam (Unocam) ont salué la position de la Cnil de «légitimer le traitement par les complémentaires santé de données de santé des assurés sociaux», et se déclarent prêts «à renforcer le cadre juridique dans lequel s’organisent aujourd’hui ces données de santé dans un esprit constructif et toujours pour améliorer le service rendu aux assurés». Sachant que les complémentaires ont déjà «mis en place des processus permettant de garantir la confidentialité, la sécurité et la traçabilité de ces données qui, même si elles appartiennent formellement à la catégorie des données de santé, ne permettent pas de connaitre la situation médicale des assurés».