Face aux centaines de plaintes reçues, mettant en cause les OCAM qui accèdent et traitent illégalement des données de santé, la Cnil a publié ses réponses en une note articulée en deux points : le traitement des données de santé et l’accès à ces données.
Licéité du traitement des données de santé
Pour que les OCAM traitent des données médicales de leurs assurés, il leur faut une dérogation qui doit être précisée dans un texte législatif. Or aujourd’hui, ni la loi informatique et libertés (LIL), ni le règlement général sur la protection des données (RGPD) ne le permettent. Un tel traitement doit être autorisé par le droit national ou par le droit de l’Union européenne (UE). En effet, la simple exécution du contrat d’assurance qui lie les OCAM à l’assuré n’est pas suffisante. Il faut qu’une loi indique le motif de la dérogation qui justifiera le traitement des données de santé par les OCAM. La Cnil avance l’idée que, pour les contrats responsables1, l’article L.871-1 CSS pourrait2 être le support législatif autorisant ce traitement nécessaire à l’exécution de ces contrats (liquidation des prestations).
Mais ce raisonnement ne tient pas. À aucun moment, cet article ne permet de violer les dispositions du RGPD qui interdisent le traitement des données de santé hors les cas explicitement prévus par la loi. Apparemment, le ministère de la Santé partagerait ce point de vue puisqu’il se demande avec la Cnil comment trouver un équivalent pour les contrats non responsables.
Le consentement de l’intéressé est alors avancé comme une possible porte de sortie. La Cnil explique que ce consentement ne peut être déduit de la nécessité d’exécuter le contrat de complémentaire santé. C’est encore plus vrai lorsque le contrat est collectif, conclu par l’employeur ; or, le consentement individuel n’est, dans la majorité des cas, jamais recueilli. C’est ce que Les CDF ont toujours affirmé, que le contrat soit « responsable » ou « non responsable ».
Réponse de la Cnil
La licéité du traitement des informations médicales par les OCAM n’est pas constatée par la Cnil. Il n’y a aucun cadre législatif actuel permettant de déduire avec certitude que les OCAM ont l’autorisation de traiter des données de santé de leurs assurés. Le droit applicable pourrait être saucissonné en contrat « responsable / non responsable » pour déduire que dans le premier cas, au titre de l’exécution du contrat de complémentaire santé, l’article L.871-1 du Code de la sécurité sociale « pourrait autoriser » ce traitement, limitativement aux « ordonnances [d’optique], au code affiné ou au code de regroupement ». Mais dans le second cas, on est sans réponse. Et il n’est nullement fait mention, dans l’avis de la Cnil, d’une licéité, même conditionnelle, de traitement d’autres données médicales comme les radiographies, les devis ou encore les fiches de traçabilité des prothèses. Alors que ces données sont concernées par de nombreux signalements adressés à la Cnil.
Licéité des demandes d’accès aux données de santé
La Cnil rappelle que le secret médical s’oppose catégoriquement à toute transmission par le professionnel de santé aux OCAM, d’informations couvertes par ce secret (ex. : ordonnance, code affiné ou code de regroupement). Même quand le patient croit le « délier » de son obligation de secret, il ne le peut pas, sauf cas exceptionnels prévus par la loi. Ainsi, quand les OCAM exercent une pression illégitime sur l’assuré (avec le chantage au remboursement) pour qu’il réclame des informations à son praticien qui leur seraient destinées, la démarche est illégale. La Cnil admet donc l’évidence : l’absence totale de normes législatives autorisant cette transmission, même via le patient-assuré. Mais, s’appuyant sur l’article L.871-1 CSS et la mise en œuvre du tiers payant prévue par ce texte pour les contrats responsables, la Cnil croit pouvoir y déceler, toujours au conditionnel, une possible transmission d’informations couvertes par le secret médical vers les OCAM indispensables à ce tiers payant. En revanche, pour les autres contrats, un mandat du patient est nécessaire. Il doit être fait, acte par acte et ne peut être de portée générale, pour toutes les prestations à venir.
Réponse de la Cnil
Les demandes d’informations médicales formulées par les complémentaires, via l’assuré, sont également illicites, même si la nécessité de transmettre des données aux OCAM « pourrait a priori être déduite » de l’art. L.871-1 CSS pour réaliser le tiers payant. Mais cette licéité déduite ne le serait que pour les données nécessaires au tiers payant. Il s’agit, selon la Cnil « des ordonnances [d’optique], du code affiné ou du code de regroupement ». La conclusion, adressée au ministère de la Santé et aux OCAM est, encore une fois, que le recours à la loi est indispensable, une antienne reprise pas moins de 4 fois en 4 pages. Un texte législatif clair et précis est donc nécessaire pour autoriser explicitement et encadrer la levée du secret médical ainsi que l’autorisation de traitement de certaines données de santé par les OCAM.
Que faut-il en penser ?
S’il y avait la moindre justification légale par les textes actuels permettant aux OCAM d’accéder aux données de santé et de traiter ces données, la Cnil l’aurait formulée en quelques lignes et n’aurait pas tant insisté sur l’indispensable loi pour l’autoriser. Cette loi lèverait le secret médical au profit des OCAM pour des données de santé limitées au besoin de liquidation des prestations et avec des garanties sérieuses. En attendant cette loi, la question demeure compliquée pour la Cnil, même si celle-ci clôt l’instruction de toutes les plaintes reçues, sans prononcer la moindre sanction ! Elle reconnaît cependant la pertinence de la position des CDF, comme celles d’autres instances professionnelles, sur l’impossible consentement à la transmission des données dans les contrats collectifs (la majorité des contrats responsables actuels). Elle admet surtout que la demande d’informations de santé, comme leur traitement, par les complémentaires apparaissent légalement insoutenables. En somme, face aux signalements et aux plaintes qu’elle reçoit, aux constats de violations de la loi par les OCAM, aux pressions et chantages au remboursement... la Cnil répond surtout qu’une loi est nécessaire ! Pour les CDF, c’était une évidence : pas de loi, pas d’accès !
Marc Sabek, 1er vice-président
1. Les contrats responsables seraient 95% des contrats complémentaires santé, sans que personne ne précise d’où provient ce chiffre et qui en atteste.
2. C’est le rédacteur de l’avis de la Cnil qui insiste plus d’une fois sur le conditionnel.