Assurance maladie complémentaire : la CNIL appelle à clarifier et sécuriser le cadre juridique pour l’utilisation de données de santé
En réponse à de nombreuses plaintes, la CNIL précise dans quelles conditions les organismes d’assurance maladie complémentaire peuvent collecter des données de santé. Elle constate que les textes applicables ne sont pas suffisamment précis et nécessitent parfois un consentement individuel du patient. Elle recommande l’adoption d’une loi.
De nombreuses plaintes reçues depuis 2020
Depuis 2020, la CNIL a reçu des centaines de plaintes mettant en cause une cinquantaine d’organismes d’assurance maladie complémentaire (également appelés OCAM ou mutuelles).
Ces plaintes portaient, en majorité, sur la possibilité légale (ou licéité), pour ces OCAM, de recevoir des données générées par les professionnels de santé pour :
- le suivi des patients, via les ordonnances et prescriptions médicales ;
- le remboursement des dépenses de santé, sous la forme de codes spécifiques, utilisés dans le cadre de la sécurité sociale (code dits affinés ou regroupés selon leur précision).
En réponse à ces plaintes, la CNIL a donc examiné la possibilité pour les OCAM de collecter et d’utiliser de telles données :
- en conformité avec le règlement général sur la protection des données (RGPD) et la loi Informatique et Libertés, qui encadrent les traitements de données sensibles ;
- mais également avec le secret professionnel applicable à ces données de santé.
La position de la CNIL
Une utilisation des données possible sous conditions
La CNIL considère que l’ensemble de ces données (codes, ordonnances, prescriptions…) sont des données personnelles de santé, protégées par le RGPD et couvertes par le secret médical.
En principe, la collecte et l’utilisation de données de santé sont interdites, sauf si elles sont concernées par une des exceptions prévues à l’article 9 du RGPD ou si un texte spécifique, comme une loi, le permet. En l’espèce, la CNIL constate que les OCAM peuvent utiliser des données de santé pour procéder aux remboursements de leurs assurés mais estime que les textes sont trop lacunaires : ces derniers devraient affirmer cette possibilité plus nettement, en fournissant un encadrement et des garanties appropriées, eu égard à la sensibilité de ces données.
En outre, la CNIL rappelle que les OCAM sont tenus de respecter les règles fixées par le RGPD, et de ne traiter que les données dont ils ont besoin pour assurer leurs prestations.
Un encadrement du secret médical insuffisant
La CNIL constate également une insuffisance des textes réglementant le secret médical. En effet, les informations transmises aux OCAM sont couvertes par le secret médical. Si ces informations sont transmises directement par les professionnels de santé aux OCAM, une dérogation au secret médical est nécessaire. Or la CNIL constate que cette dérogation est soit très implicite, soit inexistante. Il est donc nécessaire que la loi soit précisée, complétée, pour accorder cette dérogation en l’encadrant et en prévoyant des garanties appropriées.
Dans l’intervalle, la CNIL estime que les transmissions peuvent continuer à se faire pour les contrats dits « responsables », qui ouvrent droit à certains avantages fiscaux et s’inscrivent dans le cadre de la réforme du « 100% santé », et représentent l’immense majorité des contrats. Pour les autres, le patient doit soit transmettre les informations lui-même à son OCAM, soit autoriser au cas par cas son professionnel de santé à le faire.
La CNIL a écrit aux OCAM pour leur faire part de son analyse, ainsi qu’au ministre de la santé et de la prévention. Elle a réitèré son souhait qu’une loi soit adoptée afin de sécuriser et d’encadrer la transmission de ces informations pour garantir la vie privée des personnes et assurer la sécurité juridique des professionnels de santé et des mutuelles.
Enfin, compte tenu de la publication de cette position, la CNIL clôturera les plaintes qu’elle a reçues concernant la possibilité pour les OCAM de traiter des données de santé.