Aucun produit dans votre panier.
Aucun produit dans votre panier.
Publié le - Mise à jour le
Les organismes d’assurance maladie complémentaires (OCAM) peuvent-ils collecter et utiliser les données personnelles de santé générées par les professionnels de santé ? Suite à de nombreuses plaintes reçues depuis 2020, la Commission nationale de l'informatique et des libertés (CNIL) vient de publier une analyse juridique complète à ce sujet. Elle précise les conditions dans lesquelles les données de santé peuvent être traitées au regard du règlement général sur la protection des données (RGPD) et du secret médical. Toutefois, elle conclut à l’insuffisance de cette protection et appelle le gouvernement à renforcer le cadre juridique actuel.
La CNIL confirme que les informations médicales (de type ordonnances, codes utilisés pour le remboursement des dépenses de santé, etc.) sont des données personnelles de santé protégées par le RGPD.
Les mutuelles doivent donc respecter les règles de collecte et de traitements prévues par cette réglementation, et se limiter en particulier au traitement des données strictement nécessaires au paiement des prestations.
En outre, la CNIL rappelle que le traitement des données de santé est en principe interdit par le RGPD, sauf dans les cas de dérogations prévus en son article 9. Or, certaines de ces dispositions ne se suffisent pas à elles-mêmes et nécessitent une autorisation par le droit national ou européen (par exemple : article 9.2.b et h).
Pour la CNIL, les textes sur lesquels s’appuient les OCAM pour utiliser les données de santé sont donc insuffisants. Ils ne permettent pas d’établir avec certitude une autorisation de traiter les données de santé dans tous les cas de figure.
Les informations portées à la connaissance des professionnels de santé dans un cadre médical sont soumises au secret médical. Cela inclut notamment les codes de regroupement, les codes affinés, ou les prescriptions.
Si le patient lui-même n’est pas lié par ce secret (il peut transmettre des informations de sa propre initiative aux mutuelles), tel n’est pas le cas des professionnels de santé. Ces derniers ne peuvent transmettre ces informations aux OCAM que s’ils y sont expressément autorisés par la loi (ou par un règlement pris en application d’une loi).
Or, pour la CNIL, il n’existe pas de disposition générale dans le droit français prévoyant une telle dérogation au secret médical pour les organismes complémentaires. Si la transmission des données nécessaires au tiers payant dans le cadre des « contrats responsables » peut être justifiée par l’article L. 871-1 du Code de la sécurité sociale, ce n’est pas le cas des autres contrats pour lesquels l’envoi de telles données ne s’appuie à ce jour sur aucune norme juridique particulière.
La CNIL estime donc indispensable de réviser le cadre juridique applicable au secret médical et au traitement des données de santé afin de garantir la vie privée des patients et d’assurer la sécurité juridique des traitements effectués par les mutuelles. L’objectif d’une nouvelle loi serait de confirmer la licéité des traitements de données et de préciser leurs modalités (catégories de données traitées, finalités, contrôle, etc.). La Commission a par conséquent alerté le gouvernement et les mutuelles sur cette problématique et leur a transmis son analyse.