Collecte des données de santé par les organismes d’assurance maladie complémentaire : un cadre juridique à sécuriser

Conformité au RGPD et respect du secret médical dans les contrats d’assurance complémentaire santé
Eléonore Scaramozzino, Avocate partenaire, Constellation Avocats
La CNIL alerte le Ministre chargé de la Santé et de la prévention de la nécessité de consolider le cadre juridique sur le transfert des données de santé vers les OCAM sur l’exception pour le traitement des données concernant la santé et sur la levée du secret médical.
Transmission de données de santé dans les contrats d’assurance complémentaire santé et respect du RGPD et LIL
La Commission a analysé les bases juridiques permettant de fonder le transfert des données de santé par les professionnels de santé dans les différents contrats d’assurance maladie complémentaire
Il ressort de cette étude que pour les contrats d’assurance complémentaire, contrat dit responsable, fondé sur le mécanisme du tiers payant (art L 871-1 CSS), la transmission des données par le professionnel de santé aux organismes complémentaires d’assurance maladie (OCAM) pourrait être fondée sur l’article 6.1.b) ou h) du RGPD en liaison avec l’article 9.2.b) ou h) du RGPD, sous réserve d’en respecter strictement les conditions, notamment celles prévues à l’article 9.3 du RGPD. La transmission des données est nécessaire pour la liquidation de la prestation. En revanche, la base juridique de la transmission des données de santé aux OCAM pour les contrats non responsables ne peut être limitée qu’au consentement (art 6.1.a) en liaison avec l’article 9.2.a) du RGPD. Selon l’article 7.4 du RGPD, le consentement pourrait être considéré comme libre à la condition que la collecte de catégories particulières de données soit « nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ». Si le contrat est collectif, il n’y a pas de recueil de consentement explicite et exprès pour chaque assuré individuellement. Le consentement ne résulte que de la non-opposition au bénéfice des garanties du contrat. Cette exception n’est pas applicable dès lors que le contrat conclu relève d’un contrat collectif.

La Commission considère que le cadre législatif actuellement en vigueur ne permet de déduire avec certitude une autorisation pour les OCAM de traiter des données de santé dans tous les cas de figure.
L’encadrement législatif des contrats de complémentaire santé nécessite d’être revu pour fonder le transfert des données des professionnels de santé aux OCAM.
Transmission de données de santé dans les contrats d’assurance complémentaire santé et le respect du secret médical
Les professionnels de santé vont transmettre aux OCAM des données telles que les codes de regroupement, les codes affinés, et les ordonnances de prescription sont protégés par le secret médical (art L 1110-4 CSP). Le secret médical couvre toutes les informations de santé portées à la connaissance du professionnel de santé dans le cadre médical. La transmission d’une information médicale par les professionnels de santé aux OCAM doit être fondée sur une norme législative ou d’un niveau supérieur à la loi, ou sur le fondement de dispositions réglementaires qui sont la conséquence nécessaire de l’exécution d’une loi.
L’article L. 871-1 du CSS prévoit que les contrats dits « responsables » doivent inclure un mécanisme de tiers payant qui dispense le patient de l’avance des frais et conduit nécessairement le praticien à demander et justifier lui-même le paiement à l’OCAM compétent, les données transitant généralement par les organismes d’assurance maladie obligatoire (AMO).
La CNIL estime donc que l’exécution du mécanisme de tiers payant, pour ces « contrats responsables », peut impliquer la transmission d’informations couvertes par le secret médical vers les OCAM. En revanche pour les autres contrats de complémentaire santé, il n’existe pas de norme juridique permettant le transfert de données de santé relevant du secret médical.

Il en résulte que la transmission par les professionnels de santé des données relevant du secret médical, vers les OCAM sont soit :
- Justifiées par l’exécution du mécanisme de tiers payant (contrat responsable : art L 871-1 CSS) ;
- Fondées sur un mandat ad hoc pour les autres contrats
La CNIL recommande une révision du cadre légal sur le secret médical pour garantir la sécurité juridique des traitements.

Alerte de la CNIL :
La CNIL demande au ministre de la Santé et de la prévention l’adoption d’une loi afin de sécuriser et d’encadrer la transmission par les professionnels de santé aux OCAM des données de santé à caractère personnel couvertes par le secret professionnel. Cet encadrement législatif permettrait de déterminer les caractéristiques essentielles de ces données, telles que les finalités admises, les catégories de données pouvant être traitées, et la présence et le contrôle par les professionnels de santé au sein des OCAM.
Dans l’intervalle, le mandat du patient à la transmission de ses données de santé, recueilli par le professionnel de santé, et vérifié par l’OCAM à réception desdites données peut permettre de satisfaire aux exigences relatives au secret médical pour les contrats autres que les contrats responsables.
Source : CNIL : Analyse juridique adressée aux organismes de complémentaire santé
