La Cnil monte le ton d’un cran. Il y a deux ans déjà, dans un courrier qu’elle avait adressé à la Cnam, l’autorité qui veille à la protection des données estimait que la transmission des codes affinés aux complémentaires ne respectaient pas suffisamment la protection des données personnelles (lire notre article sur le sujet). Elle demandait que le principe de minimisation des données soit appliqué. En effet, tandis que les codes affinés permettent de faire des déductions assez précises sur la pathologie auditive d’un patient, les codes regroupés, eux, ne le permettent pas. Mais les complémentaires exigent les premiers lors de la rédaction des devis : « Les complémentaires santé ont besoin de connaître les données de santé de leurs assurés pour pouvoir les rembourser de leurs dépenses », a notamment réagi la Mutualité française, dans un communiqué.
Aoodstocker_AdobeStock-b32d.jpg)
En effet, la Cnil juge que les données transmises aux Ocam par les professionnels de santé sont bien des données personnelles de santé, « protégées par le RGPD et couvertes par le secret médical ». Donc elles ne sont pas censées être transmises. Or, selon la Cnil, les textes qui encadrent la possibilité de transmettre de telles données sous dérogation ainsi que ceux concernant le secret médical sont « lacunaires » et doivent être précisés ou complétés. En attendant, la Cnil estime néanmoins que « les transmissions peuvent continuer à se faire pour les contrats dits “responsables”, qui ouvrent droit à certains avantages fiscaux et s’inscrivent dans le cadre de la réforme du « 100 % Santé ».
L’autorité a fait part de son analyse aux Ocam. Dans son communiqué, la Mutualité se dit prête « à renforcer le cadre juridique dans lequel s’organisent aujourd’hui ces données de santé dans un esprit constructif et toujours pour améliorer le service rendu aux assurés », mais estime néanmoins que « le système de transmission de ces données respecte le RGPD et le secret médical ». Elle assure en outre qu’« un recueil du consentement de l’assuré est réalisé avant chaque envoi de ses données à l’organisme complémentaire qui prend en charge ses dépenses de santé ».
Il faudra donc trouver un terrain d’entente, d’autant que les complémentaires agitent le spectre du tiers payant : dans un entretien qu’elle nous avait accordé à l’occasion de notre dossier sur les complémentaires santé, Séverine Salgado, directrice de la Mutualité française, indiquait en effet que « si la Cnil continue de considérer les données qui sont nécessaires à la facturation et au contrôle comme des données de santé, il pourrait y avoir un blocage technique sur le tiers payant, qui deviendrait impossible. »
