La Cnil estime que les Ocam peuvent utiliser les données de santé et réclame une loi pour déroger au secret médical

Après avoir reçu des centaines de plaintes relatives à des complémentaires santé, la Commission nationale de l’informatique et des libertés (Cnil) a analysé juridiquement la question de la collecte des données de santé par ces organismes. Sa position a été publiée le 14 novembre. 

Les plaintes reçues par la Cnil depuis 2020 (date à laquelle la Commission avait pris une première position) concernent essentiellement la légalité, pour les Ocam, de recueillir des données transmises par les professionnels de santé, qu’il s’agisse des prescriptions ou des codes (affinés ou regroupés) pour les remboursements. En réponse à cette problématique, particulièrement présente dans le secteur de l’optique, la Cnil rappelle que la collecte et l’utilisation de données de santé sont interdites, sauf si elles entrent dans le champ des exceptions prévues à l’article 9 du RGPD ou sont autorisées par un texte comme une loi. Elle conclut que les organismes complémentaires peuvent utiliser des données de santé pour les prises en charges, mais juge que les textes existants sont trop lacunaires : « Ils devraient affirmer cette possibilité plus nettement, en fournissant un encadrement et des garanties appropriées, eu égard à la sensibilité de ces données », explique-t-elle, en rappelant que les complémentaires doivent respecter le RGPD et ne traiter que les données qui leur sont nécessaires.

Accorder et encadrer une dérogation au secret médical

La Commission souligne que la transmission des données de santé aux Ocam implique une dérogation au secret médical, qui est aujourd’hui « soit très implicite, soit inexistante ». Elle demande donc que « la loi soit précisée, complétée, pour accorder cette dérogation en l’encadrant et en prévoyant des garanties appropriées ». Dans l’intervalle, elle estime que les transmissions peuvent continuer à se faire pour les contrats responsables (soit 95 % des contrats) : dans ces cas, « les Ocam peuvent fonder le traitement de données de santé à des fins de liquidation des prestations sur l’une des exceptions prévues à l’article 9.2 b) ou 9.2 h) du RGPD, sous réserve d’en respecter strictement les conditions, notamment celles prévues à l’article 9.3 du RGPD », argumente-t-elle. Pour les contrats non responsables, « le patient doit soit transmettre les informations lui-même à son Ocam, soit autoriser au cas par cas son professionnel de santé à le faire ».

La Cnil a transmis son analyse aux complémentaires santé et au gouvernement, en réitérant son souhait qu’une loi soit adoptée « afin de sécuriser et d’encadrer la transmission de ces informations pour garantir la vie privée des personnes et assurer la sécurité juridique des professionnels de santé et des mutuelles ». Suite à la publication de sa position, elle va clôturer les plaintes reçues.