Le gouvernement prévoit de déposer un amendement gouvernemental au PLFSS pour 2025 en vue de renforcer les échanges d’informations entre la Caisse nationale d’assurance maladie (CNAM) et les organismes complémentaires d’assurance maladie (OCAM) afin d’accroître les leviers de lutte contre la fraude (lire KPS du 26 septembre 2024). Dans cette perspective, la CNIL, saisie par la Direction de la Sécurité sociale (DSS), a rendu, le 5 septembre 2024, son avis sur le nouveau dispositif de coopération envisagé, comme l’a révélé le 17 octobre 2024 News Assurance Pro.
Alors que le gouvernement a fixé à l’assurance maladie, dans le PLFSS pour 2025, l’objectif d’économiser 900M€ grâce à la lutte contre la fraude aux prestations sociales en 2025, le nouveau dispositif envisagé par la DSS vise plusieurs cibles :
- Organiser l’échange d’informations dans un cadre juridiquement sécurisé notamment du point de vue de la protection des données personnelles de santé (RGPD) ;
- Chiffrer le préjudice global de la fraude en intégrant celui des OCAM ;
- Faciliter, au moment du dépôt de la plainte au pénal par la caisse primaire d’assurance maladie, l’identification des OCAM concernés par la fraude ;
- Prendre des mesures conservatoires adaptées en cas de fraudes massives mises à jour de la part d’une catégorie d’acteurs du système de santé, majoritairement solvabilisés en tiers payant par les complémentaires santé.
Dans son avis, la CNIL reconnaît déjà que «la modification ou la création de traitements de données à caractère personnel visant à améliorer la coopération entre les organismes de la sphère sociale (AMO et OCAM) (à des fins de lutte contre la fraude ayant valeur constitutionnelle) remplissent les conditions posées par l’article 5 du RGPD (finalités déterminées, explicites et légitimes)». Bien que les OCAM ne soient pour autant pas investis d’une mission de lutte contre la fraude, l’utilisation de données de santé à cette fin, entrent dans le cadre des exceptions autorisées au sens de l’article 9-2 du RGPD. Sous réserve que le traitement de ces données et son régime juridique fasse l’objet d’un projet de loi ou d’un décret.
S’agissant des flux de données échangées entre l’assurance maladie et les OCAM, la CNIL souhaite qu’ils se limitent, de façon symétrique et dans les deux sens (AMO vers OCAM et OCAM vers AMO), «aux informations nécessaires à l’identification de l’auteur des faits et des prestations en cause».
Concernant les agents habilités à traiter de ces données, la CNIL recommande de soumettre les salariés des OCAM concernés au secret professionnel et surtout d’organiser une séparation fonctionnelle stricte avec les agents intervenant dans la gestion des prestations.
A propos de l’intermédiaire souhaité par les pouvoirs publics pour collecter les informations en provenance de l’assurance maladie, la CNIL souhaite que le rôle de celui-ci se limite à l’identification des OCAM concernés par la suspicion de fraude.
Par ailleurs, la CNIL valide, au nom du bon usage et de la proportionnalité du dispositif, le principe excluant une transmission systématique et indifférenciée des données de santé présumées frauduleuses au profit d’une transmission limitée aux cas de fraude présentant un certain seuil de gravité et un fort enjeu financier. Enfin, la Commission encourage le gouvernement à poursuivre, au-delà de la lutte contre la fraude, le travail législatif de consolidation du cadre juridique applicable à l’utilisation des données de santé par les OCAM qu’elle appelle de ses vœux depuis 2022 (lire KPS du 16 novembre 2022).