Les organismes d’assurance maladie complémentaire peuvent-ils collecter les données médicales de leurs clients en toute légalité ? C’est la problématique sur laquelle la Cnil s’est penchée dernièrement. La Commission vient de rendre son rapport ce lundi 14 novembre. Pour elle, les textes relatifs à la question sont imprécis et méritent une actualisation.
Plusieurs centaines de plaintes
La saisine fait suite à plusieurs centaines de plaintes sur « une cinquantaine d’organismes d’assurance maladie complémentaire. » La clarification des règles actuelles par l’organisme semble une demande forte du public. Les plaintes portent en majorité sur « le suivi des patients, via les ordonnances et prescriptions médicales » et « le remboursement des dépenses de santé, sous la forme de codes spécifiques, utilisés dans le cadre de la sécurité sociale.«
Pour statuer sur le fond du dossier, la Cnil s’est appuyée sur le règlement général sur la protection des données (RGPD), la loi Informatique et Libertés et le secret professionnel inhérent à ces données. En principe, l’utilisation et la collecte des données personnelles médicales est strictement interdite, sauf exception. La transmission de ces informations aux mutuelles en est-elle une ? La Cnil ne tranche pas faute de matière juridique et évoque des textes « trop lacunaires. » En attendant, le constat est là : « Les OCAM peuvent utiliser des données de santé » mais « ces derniers devraient affirmer cette possibilité plus nettement, en fournissant un encadrement et des garanties appropriées, eu égard à la sensibilité de ces données« , juge la Commission.
En revanche, le Cnil rappelle que ces organismes sont tenus de « respecter les règles fixées par le RGPD » et de ne « traiter que les données dont ils ont besoin pour assurer leurs prestations.«
Deux possibilités pour les assurés
Concernant le secret médical, la Commission constate, là aussi, une insuffisance des textes de loi. Si les informations transmises sont couvertes par le secret médical, il est nécessaire de demander une dérogation à la personne concernée. Un texte de loi doit venir renforcer le cadre législatif pour appuyer cette demande, insiste la Cnil.
Dans l’attente d’une mise à jour des textes, la Cnil adopte une position claire. Pour les contrats dits « responsables » des mutuelles, « les transmissions peuvent continuer à se faire. » En revanche, pour tous les autres, « le patient doit soit transmettre les informations lui-même à son OCAM, soit autoriser au cas par cas son professionnel de santé à le faire« , juge l’administration.
Suite à cet éclairage, la Cnil a écrit aux OCAM et au ministère de la Santé pour demander l’adoption d’une loi sur la question, afin de clarifier les textes actuels, « garantir la vie privée des personnes et assurer la sécurité juridique des professionnels de santé et des mutuelles.«