Suite à la réception, depuis 2020, de plusieurs centaines de plaintes mettant en cause une cinquantaine d’Ocam, la Cnil (Commission nationale de l’informatique et des libertés) a publié le 14 novembre sa position sur la collecte des données de santé par ces organismes.
Les plaintes reçues par la Cnil portent pour la plupart sur la possibilité légale, pour les complémentaires santé, de recevoir des données générées par les professionnels de santé pour le suivi des patients (via les ordonnances), ainsi que pour le remboursement des dépenses de santé (sous la forme des codes affinés ou regroupés). Après avoir pris une première position en 2020, l’organisation a à nouveau examiné la possibilité pour les Ocam de collecter et d’utiliser ces données en conformité avec le RGPD, la loi Informatique et Libertés et le secret professionnel.
La Cnil rappelle que la collecte et l’utilisation de données de santé sont interdites, sauf si elles sont concernées par une des exceptions prévues par le RGPD (article 9) ou permises par un texte. Elle constate que les Ocam peuvent utiliser des données de santé pour procéder aux remboursements de leurs bénéficiaires, mais juge que les textes existants sont trop lacunaires : « Ils devraient affirmer cette possibilité plus nettement, en fournissant un encadrement et des garanties appropriées, eu égard à la sensibilité de ces données », déclare-t-elle en rappelant que les complémentaires santé doivent respecter le RGPD et ne traiter que les données qui leur sont nécessaires.
Dans l’attente d’une loi, la transmission des données de santé peut se poursuivre pour les contrats responsables
La Commission souligne par ailleurs que la transmission des données de santé aux Ocam implique une dérogation au secret médical, laquelle est « soit très implicite, soit inexistante ». Elle demande donc que « la loi soit précisée, complétée, pour accorder cette dérogation en l’encadrant et en prévoyant des garanties appropriées ». En attendant, elle estime que les transmissions peuvent continuer à se faire pour les contrats responsables (soit 95 % des contrats) : dans ces cas, « les Ocam peuvent fonder le traitement de données de santé à des fins de liquidation des prestations sur l’une des exceptions prévues à l’article 9.2 b) ou 9.2 h) du RGPD, sous réserve d’en respecter strictement les conditions, notamment celles prévues à l’article 9.3 du RGPD », argumente-t-elle. Pour les contrats non responsables, « le patient doit soit transmettre les informations lui-même à son Ocam, soit autoriser au cas par cas son professionnel de santé à le faire ».
La Cnil a transmis son analyse aux complémentaires santé et au gouvernement, en réitérant son souhait qu’une loi soit adoptée « afin de sécuriser et d’encadrer la transmission de ces informations pour garantir la vie privée des personnes et assurer la sécurité juridique des professionnels de santé et des mutuelles ». Suite à la publication de sa position, elle va clôturer les plaintes reçues.
