La data dans tous ses états
Audiologie Demain #30
février 2023
30 Janvier 2023

Données de santé : Cnil et Ocam peinent à s'entendre

Les données de santé sont des données sensibles par essence, dont l'utilisation est régie par un cadre juridique spécifique. La Cnil appelle à clarifier et renforcer l'encadrement de leur traitement par les Ocam, dans le respect du RGPD et du secret médical. Les complémentaires réclament, quant à elles, davantage de souplesse pour leur permettre d’effectuer les contrôles nécessaires aux bons remboursements des soins.

Par Stéphane Davoine

Cnil WEB
(c) Feodora - AdobeStock
Personne ne souhaite que ses données de santé puissent être consultées par n'importe qui, et particulièrement par des assureurs. La Cnil en a bien sûr conscience et c'est pour cette raison qu'elle qualifie ces informations « critiques » sur l'état de santé passé, présent et à venir des assurés de « données sensibles ». Elles sont, à ce titre, couvertes par le secret médical et strictement protégées par le RGPD (lire l’article RGPD : êtes-vous dans les clous ?), et leur traitement est soumis à une interdiction de principe, sauf exceptions limitatives. Des dérogations dont bénéficient notamment les Ocam. En effet, les complémentaires ont besoin de connaître les données relatives à la santé de leurs assurés pour pouvoir les rembourser de leurs dépenses. Ces informations permettent également de limiter l’avance de frais grâce au tiers payant.

Un avis déclenché par des plaintes

Mais, dans une analyse juridique publiée en novembre 2022, la Cnil s’est prononcée sur la licéité de la transmission des données personnelles de santé aux Ocam. L’avis juridique a été motivé par le dépôt auprès de la Commission de plusieurs centaines de plaintes depuis 2020 et la mise en oeuvre progressive du 100 % Santé. Ces plaintes portaient principalement sur la possibilité légale pour les complémentaires de recevoir des données générées par les professionnels de santé pour le suivi de leurs patients (via les ordonnances et prescriptions médicales), et pour le remboursement des dépenses de soins (sous la forme de codes – affinés ou regroupés – permettant d’identifier la catégorie d’actes médicaux). Si elle estime que l’ensemble de ces informations relèvent des données personnelles de santé, la Cnil reconnaît néanmoins la légitimité de leur transmission par les Ocam pour permettre à ces derniers de mener à bien leurs missions. Elle a donc clôturé, fin 2022, les plaintes concernant la possibilité pour les complémentaires de traiter des données de santé. Une décision qui satisfait la Fédération nationale de la Mutualité française (FNMF). « Cet avis met fin à une controverse qui n’était pas juridique et avalise que, dans la majorité des cas, les mutuelles sont autorisées à traiter les données de santé et qu’elles sont légitimes pour le faire », se félicite Séverine Salgado, directrice générale de la Mutualité française.

Une réglementation lacunaire

La Cnil pointe toutefois le caractère « lacunaire » des textes réglementant la transmission de ces données. « Eu égard à la sensibilité » des informations traitées par les Ocam, elle juge en effet nécessaire que soient précisées – et limitées – les conditions dans lesquelles ces organismes peuvent les collecter. Dans son avis, la commission estime que ces derniers devraient « fourn[ir] un encadrement et des garanties appropriées » et « ne traiter que les données dont ils ont besoin pour assurer leurs prestations ».

Ce souhait de la Cnil n’est pas uniquement considéré à l’aune du RGPD mais également du secret médical. Les informations communiquées aux complémentaires par les professionnels de santé le sont par dérogation à ce principe. Mais là encore, la Commission déplore l’absence d’encadrement et de garanties pour protéger les données transmises.

Avoir une visibilité claire sur les produits et leur prix est un devoir dans notre métier d’assureur santé et sans codes produits, on ne peut justifier de l’utilisation correcte de la cotisation de l’assuré.

Séverine Salgado, directrice générale de la Mutualité française

Codes affinés ou regroupés

Autre pierre d’achoppement : la minimisation des données transmises. En effet, certaines plaintes adressées à la Cnil remettent en question la nécessité pour les complémentaires de réclamer l’accès à des codes affinés, recélant des informations sur le parcours médical des patients concernés. La Cnil plaide pour une minimisation des données, autrement dit la transmission de codes regroupés comportant les informations strictement nécessaires au traitement qui justifie leur collecte. Mais il y a là une divergence de point de vue : la commission considère le problème sous l’angle du remboursement des soins alors que les mutuelles doivent procéder à des vérifications avant le remboursement. « Les codes affinés servent à un premier niveau de contrôle, puis à une première recherche s’il y a suspicion de fraude, explique Christian Portafax, responsable du service des données de santé de la Mutualité française. Dans ce cas, la mutuelle peut demander à l’assuré la transmission de l’ordonnance, cette dernière n’étant pas communiquée de manière systématique. De plus, ces codes affinés permettent de connaître le prix et les caractéristiques du produit délivré à nos assurés et ainsi de rembourser correctement les professionnels. »

Contrôles et obligations

Pour les Ocam, qui se plaisent à rappeler qu’ils sont les premiers financeurs du 100 % Santé, ces contrôles sont légitimes. « Cet aspect "lutte contre la fraude" est important car, dans le cadre du 100 % Santé, les mutuelles financent les troisquarts des dépenses liées à l’optique, à l’audiologie et au dentaire, alors que la Sécurité sociale ne prend en charge que 25 % de ces dépenses », argumente Séverine Salgado.

En outre, les Ocam sont soumis à des obligations : la Mutualité française rappelle qu'ils peuvent être sanctionnés par l’Autorité de contrôle prudentiel et de résolution en cas d’insuffisance de vérifications quant à la véracité des soins et à l’exactitude des factures. « Réaliser des contrôles en amont et avoir une visibilité claire sur les produits et leur prix est un devoir dans notre métier d’assureur santé – les professionnels de santé l’oublient quelquefois – et sans codes produits, on ne peut justifier de l’utilisation correcte de la cotisation de l’assuré », conclut la directrice générale de la Mutualité française.

Instructions en cours

Il faudra néanmoins patienter pour savoir si les complémentaires sont autorisées à utiliser les données de santé pour respecter leurs obligations d’assureurs. « La Commission ne s’est pas prononcée sur le “pourquoi” et le “comment” du traitement de ces données. C’est cela qui fera l’objet d’une instruction au cas par cas puisque chaque situation est particulière et que l’instruction nécessite une phase contradictoire avec les organismes mis en cause pour pouvoir déterminer ou non la nécessité de ces données selon la finalité poursuivie », indique Aurore Gaignon, juriste au service santé de la Cnil.

En attendant, la Mutualité française indique que « les Ocam sont prêts à renforcer le cadre juridique dans lequel s’organisent aujourd’hui ces données de santé dans un esprit constructif et toujours pour améliorer le service rendu aux assurés ». Et notamment via la mise en place de « processus permettant de garantir la confidentialité, la sécurité et la traçabilité de ces données qui, même si elles appartiennent formellement à la catégorie des données de santé, ne permettent pas de connaître la situation médicale des assurés ».

Newsletter

Newsletter

La newsletter Audiologie Demain,

le plus sûr moyen de ne jamais rater les infos essentielles de votre secteur...

Je m'inscris