Protection des données de santé : les arguments d’Itelis ‘ne rassurent pas’ la Fnof

Alors qu’Itelis a récemment assuré « que sa convention offre toutes les garanties » en matière de protection des données personnelles, la Fnof maintient ses réserves sur la validité de l’obligation pesant sur les opticiens de transmettre à Itelis les données de santé de leurs clients.

La Fédération nationale des opticiens de France rappelle que « la nouvelle convention de partenariat du réseau Itelis met à la charge des opticiens l’obligation de transmettre au gestionnaire du réseau, la prescription médicale et le bon de livraison de leurs clients, dans le cadre de la demande de prise en charge des frais d’optique. » Or, le syndicat « doute de la validité de cette obligation pesant sur les opticiens de communiquer à Itelis les données de santé des clients, au regard de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés », en rappelant avoir porté devant la Commission européenne un recours en manquement contre l’Etat français, sur ce même fondement.

Ainsi, le communiqué de presse publié par Itelis le 14 octobre 2014 “ne rassure pas” la Fnof, qui expose l’argumentaire suivant :

« Selon les arguments avancés par Itelis, les opticiens pourraient valablement lui communiquer les prescriptions médicales et les bons de livraison, dans la mesure où :

– (i) les opticiens sont autorisés à transmettre les codes LPP aux assureurs complémentaires, avec le consentement de l’assuré,

– (ii) en sa qualité de sous-traitant des assureurs complémentaires, Itelis serait autorisée à traiter les données de santé des assurés, en lieu et place des assureurs complémentaires.

Or, selon la norme simplifiée de la CNIL n°54 du 21 décembre 2006, les seules données de santé qui peuvent être communiquées aux assureurs complémentaires par les opticiens sont les codes regroupés et les catégories des prestations effectuées. La transmission des codes LPP et des autres données de santé qui peuvent figurer sur les prescriptions médicales ou les bons de livraison n’est donc pas sécurisée par la norme n°54. Par ailleurs, selon l’article 35 de la loi de 1978 (précitée), seuls les sous-traitants des opticiens pourraient, à condition de respecter les conditions prévues notamment en termes de sécurité et de confidentialité, transmettre les données de santé pour le compte des opticiens. Le fait qu’Itelis agisse pour le compte des assureurs complémentaires ne l’autorise pas à traiter les données de santé des clients des opticiens. En résumé, la FNOF maintient ses réserves sur la validité de l’obligation pesant sur les opticiens de transmettre à Itelis les données de santé de leurs clients », conclut le syndicat.