Cercle LAB : Retour sur la première réunion du club santé (saison 2020-21)

Isabelle Hébert et Robert Mainguy, marraine et parrain du club santé du Cercle LAB, ont donné le coup d’envoi de la saison 2020-21, consacrée aux données de santé.

« L’accès aux donnés de santé pour les assureurs : quels bénéfices pour les assurés ? » c’est le sujet fil rouge de cette année, retenu par le club santé du Cercle LAB. Isabelle Hébert, directrice de la stratégie, du marketing, du digital et de la relation client d’AG2R La Mondiale et Roger Mainguy, PDG d’April Prévoyance Santé, ont accepté de parrainer cette nouvelle saison.

La première réunion du 14 octobre a compté en plus avec l’intervention de Nathalie Beslay, avocate associée chez Beslay + Avocats, spécialiste de la protection des données.

Les participants ont partagé le constat que les données n’ont pas encore une place centrale dans la stratégie des entreprises d’assurance. Or, elles sont le nerf de la guerre pour pouvoir offrir un service au plus près des besoins des assurés.

La crise du coronavirus représente une opportunité inédite pour faire sauter les verrous de l’accès aux données de santé pour les organismes complémentaires. Ces derniers n’aiment pas être des payeurs aveugles et réclament l’accès aux données pour mieux rembourser leurs assurés, lutter contre la fraude, proposer des services pertinents, mener des campagnes de prévention. Cependant, les ambitions des complémentaires se heurtent à plusieurs freins. En effet, les limites légales, la méfiance des assurés et des pouvoirs publics ainsi que le déficit d’investissement dans les systèmes d’information entravent l’exploitation des données de santé par les assureurs.

Dans un objectif de transparence, les organismes complémentaires membres du Cercle LAB travailleront cette année sur un manifeste qui définira de manière claire ce que les organismes complémentaires font et ne font pas des données de santé de leurs assurés.

Polémique autour des codes détaillés

L’accès des assureurs aux données de santé a été entravé depuis janvier 2020 par les syndicats opticiens, qui considèrent que les codes LPP contenant la correction visuelle du patient sont des données de santé à ne pas partager avec l’assureur. Ce refus intervient dans le cadre de la réforme du 100% santé. Or, les organismes complémentaires réclament l’accès à ces codes affinés afin de ne pas être des « payeurs aveugles » et pouvoir lutter efficacement contre la fraude. Maître Beslay a commenté l’avis de la Cnil sur la question : « L’objection des opticiens vise à éviter d’être contrôlés dans leur pratique, en particulier sur le sujet des fraudes. Au fond, dans la règlementation, rien n’interdirait l’accès des assureurs aux données. Avant de donner son avis, la Cnil affirme qu’elle a eu des difficultés pour obtenir des données objectives. C’est inadmissible ! La Cnil a vu qu’il y avait une position politique. Tous les réseaux de soins ont reçu des lettres de menace, des pseudo-plaintes,… les syndicats d’opticiens adoptent une position concertée ».

« Aujourd’hui, les syndicats des opticiens sont plus forts que les assureurs dans leur argumentaire auprès de la Cnil. Il n’y a pas assez de puissance de démonstration de la légitimité et de la nécessité propre des assureurs à accéder à ces données. Cela fait des années que les assureurs accèdent à des données. En 2019, la Cnil a reçu 14.000 plaintes, 300 contrôles, 8 sanctions, 5 injonctions sous astreinte. Le secteur de l’assurance n’est pas représenté spécifiquement dans les plaintes, la santé représente 4%. En revanche, les assurés se tournent vers la Cnil pour lui adresser des questions concernant le secteur de l’assurance. Ainsi, 15% des questions adressées au gendarme des données concernent l’assurance. Cela prouve qu’il y a une méconnaissance de ce que font les assureurs de leurs données ».

Maître Belsay explique que le cadre légal permet aujourd’hui aux assureurs d’exploiter les données de santé. Le législateur européen, dans la liste des exceptions des traitements aux données de santé a ajouté la protection sociale, au même rang que les professionnels de santé. En outre, l’article 1 du RGPD précise que le règlement protège les personnes contre le traitement des données mais aussi pour favoriser la libre circulation des données dans un objectif du progrès économique et social. « En aucun cas la protection des personnes ne peut entraver la libre circulation des données », selon maître Beslay.

L’avocate recommande aux assureurs de « résister à la pression des opticiens », d’expliquer devant la Cnil qu’ils ont besoin des codes affinés pour appliquer le juste prix, rembourser la juste dépense, pour la maîtrise du risque car cela répond à un intérêt public. « Au nom de quel risque d’atteinte à la vie privée les opticiens s’opposent-ils à partager la correction visuelle de leurs patients ? S’il y a un détournement d’usage de la part des assureurs, la preuve peut être apportée et des sanctions peuvent tomber ». En conclusion, sur ce sujet d’accès aux codes LPP, Nathalie Beslay pense que les assureurs ne se sont pas assez bien défendu face à la Cnil.

Maître Beslay invite les assureurs à apporter des preuves pour cesser le fantasme selon lequel les assureurs feraient un usage malhonnête des données de santé de leurs assureurs pour augmenter les tarifs ou faire de la sélection de risque.

Dans son avis, la Cnil demande de privilégier la minimisation car elle estime que les assureurs n’ont pas besoin d’autant de finesse pour régler les prestations. Il y a donc une démonstration métier à apporter.

Par ailleurs, Maître Beslay encourage les acteurs de l’assurance à « multiplier les facteurs de confiance », à l’image de ce qu’elles font les compagnies aériennes sur les questions de sécurité. Les assureurs ont intérêt à communiquer sur les usages des données. « C’est le bon moment : des FAQ, des services téléphoniques où les gens peuvent poser des questions, communiquez, prenez des engagements… », insiste l’avocate.

La règlementation en matière de données offre un terrain de jeu très large. « L’assurance est le seul secteur qui avait un référentiel, un pacte de conformité avant la mise en place du RGPD. Cela n’a pas été dit. Si la Cnil a été capable de mettre en place un pacte de conformité pour permettre aux assureurs de lutter contre la fraude, cela prouve que vous êtes capables d’utiliser les données de santé pour liquider les prestations, créer des services », illustre-t-elle.

Pas de position commune entre les trois familles

Isabelle Hébert constate que les trois familles d’assureurs n’ont pas de parole commune sur le sujet de la donnée. « Il n’y a pas d’action inter-famille. Or, il faudrait avoir une position apolitique sur la gestion des données, mais force est de constater que le sujet n’intéresse pas beaucoup ».

Parmi les freins évoqués, les organismes assureurs ont une « culture de la crainte du contrôle de la Cnil selon laquelle certains assureurs pensent que s’ils prennent position, ils risquent un contrôle. Il est évident que si le top management n’est pas mobilisé, le sujet n’avance pas car les projets sur les données sont vus comme des sujets complexes au plan réglementaire, avec une culture frénatrice, de complexification. Le juridique va dire non, cela s’arrête vite ».

Jean-Marc Boisrond, président du directoire d’Itelis, a conçu le service hospiway, branché sur le flux ROC des hôpitaux, pour proposer des prestations d’assistance, de second avis médical. Il se heurte aux difficultés opérationnelles des assureurs, à cause de leur organisation fragmentée. « Il y a peu d’espace pour développer la relation avec l’assuré, notamment lorsqu’il y a des délégataires de gestion, les outils ne sont pas adaptés… », affirme-t-il. Par ailleurs, Isabelle Hébert a également évoqué la qualité de la donnée comme un frein important.

Le cadre juridique est du côté des assureurs

Malgré ces difficultés opérationnelles, Nathalie Beslay affirme que du point de vue juridique, « le cadre légal est du côté des assureurs ». Depuis l’entrée en vigueur de RGDP, l’autorité européenne émet des orientations (guidances) auxquelles la Cnil est tenue. Le texte maître est donc le RGPD. Les assureurs ont obtenu une dispense de consentement concernant la liquidation des prestations. Dans ce cadre-là, le consentement n’est pas nécessaire mais en revanche des mesures de sécurité sont imposées. La notion de tiers payant est considérée comme une modalité de liquidation des prestations et donc bénéfice également de cette dispense de consentement.

Pour le reste, le serviciel, le consentement de la personne c’est la base légale au traitement. Concernant les codes affinés, pour les garanties individuelles, la Cnil considère qu’il est possible d’obtenir un consentement individuel. En revanche, la Cnil émet des doutes sur les garanties collectives. « Et pourquoi pas ? Pourquoi pas, en plus d’une garantie collective avec une contractualisation avec l’entreprise, les assureurs pour avoir plus de données, ne déploieraient-ils pas un outil de recueil du consentement ? Tout cela peut se faire de manière digitalisée », suggère Nathalie Beslay.

Qu’est-ce qu’un consentement ?

Le consentement c’est une notice d’information qui explique à quelqu’un l’usage que l’on fait de ses données. C’est une « manifestation non équivoque », un clic dans une case, un bouton à activer, c’est une signature,… Ensuite, en back-office, les données de santé doivent être traitées en respectant la règlementation et donc le principe de minimisation (on ne collecte que ce dont on a besoin pour atteindre la finalité). Par exemple, dans le cadre d’un programme de prévention, pas donc besoin de collecter les préférences touristiques de l’assuré. Autrement, la Cnil peut considérer qu’il y a une « collecte excessive ».

Maître Beslay a interrogé la Cnil sur une éventuelle utilisation du parcours de remboursement d’un assuré afin de lui proposer des services pertinents ou des prestations incluses dans son contrat. Par exemple, en cas d’hospitalisation, lui proposer un entretien de prévention post-opératoire. Cela permettrait d’améliorer l’état de santé de l’assuré et éventuellement la maîtrise du risque de l'assureur. "La Cnil n’a pas répondu négativement, si on s’en tient aux services qui sont déjà financés, car c’est dans l’intérêt de l’assuré", indique l'avocate.

Autre idée de maître Beslay, en finir avec les mentions légales illisibles, juridiques, tristes, dans lesquelles l’assuré a l’impression que l’assureur intègre des possibilités en douce. La Cnil est très preneuse de tout mode de communication des mentions légales original mais adapté aux utilisateurs (vidéo, infographie… ).

Pour favoriser la confiance des assurés, il est recommandé de travailler avec des prestataires tiers de confiance, par exemple pour des services d’aide au retour à l’emploi.

« Pour chaque projet, il convient de créer un cadre de conformité : information, consentement, mesures de sécurité et organisation interne. Les assurés seront servis. Il faut développer une culture juridique du possible sans compromis sur la conformité », soutient Nathalie Beslay.

Les entrepôts de santé

Concernant l’intelligence artificielle, Nathalie Beslay a commenté la doctrine de Cnil sur la création des entrepôts de santé : une base de données unique, gardée pendant une longue durée, dans laquelle on y dépose un grand nombre de données afin de lancer des requêtes dans l’objectif de mener des études médico-économiques, de prix, de recherche scientifique, de pilotage, de pratique de prix, de recherche scientifique, de pilotage, de développement d’algorithme. « Nullement n’est écrit que les assureurs n’ont pas le droit d’avoir un entrepôt de données de santé. Et pourtant, je n’ai pas encore vu un assureur demander un entrepôt de santé », commente maître Beslay.

De son côté, Isabelle Hébert a commenté les différences de culture sur les données de santé de ses différents employeurs, tout au long de sa carrière. Aux États-Unis, l’assureur UnitedHealth a une filiale des services en santé, Optum (20.000 collaborateurs), qui propose de l’accompagnement pour des personnes atteintes de certaines pathologies. « A l’intérieur d’Optum, l’unité Optum Insights s’occupe de la gestion de la donnée de santé pour les clients Optum, les clients d’United Healthcare et pour des tiers. Ils ont créé une activité de gestion de la data à part entière. Les courtiers américains se développent énormément dans ce domaine. Les américains utilisent la donnée pour vérifier que les protocoles de santé sont bien respectés, pour vérifier que vous avez eu le bon soin, analyser les récidives… Au Moyen Orient, la gestion des données était beaucoup moins encadrée. Ensuite, chez Malakoff Méderic, les sujets d’utilisation de la donnée étaient émergents, mais le dirigeant était courageux et convaincu qu’il fallait exploiter les données, grâce aux filiales Viamedis et Kalivia. Il y avait l’objectif de transcender la différence entre Malakoff et Médéric et donc la stratégie de services était un projet commun ».

D’ailleurs, le positionnement de Viamedis et celui d’essayer de devenir une société de gestion des données. « Viamedis avait déjà à l’époque un filtre santé pour faire de la détection de fraude. C’était un peu pré-historique. Je me suis rendu compte que la seule donnée de santé que l’on avait c’était le code LPP (la correction visuelle) », indique Isabelle Hébert.

« Chez MGEN, la donnée de santé était présente en tant qu’opérateur du régime obligatoire (on n’avait pas le droit d’y toucher), du régime complémentaire et du livre 3. Avec Vivoptim, nous souhaitions mettre en place des programmes pour permettre aux personnes ayant des risques cardiovasculaires de rester en bonne santé le plus longtemps possible. Avec les directeurs de la Sécurité sociale et de la Cnam, on a essayé de négocier, mais c’était très difficile d’obtenir l’autorisation de pouvoir proposer aux fonctionnaires le même programme de prévention qui existait déjà pour les salariés. On savait que si on pouvait dérouler l’algorithme sur les données de pharmacie en temps réel, on aurait pu améliorer la santé de nos adhérents mais on n’avait pas l’autorisation pour le faire. C’était très frustrant ».

Son nouvel employeur, AG2R La Mondiale possède beaucoup de données sur l’épargne des assurés, qui sont liés aux données de santé (vieillissement, dépendance). Ces données ne sont pas soumises au même cadre règlementaire. Dans la quarantaine de use case exploitant des donnés qui sont aujourd’hui en phase d’expérimentation chez AG2R La Mondiale, il y en aucun sur la dimension de la santé. « C’est révélateur car il y a des données plus simples à utiliser et sur lesquelles on peut obtenir un résultat plus rapidement », explique Isabelle Hébert. Par exemple, la donnée des déménagements est plus facile à trouver et à exploiter que les codes LPP.

La politique data fait irruption dans les appels d'offres

Isabelle Hébert signale que dans le cadre des appels d’offre, elle a vu pour la première fois apparaître dans le cahier de charges un chapitre dédié aux engagements autour de la gestion des données. « Le grand compte nous demande d’expliciter notre philosophie. Je pense qu’il y a une question d’éthique et de positionnement d’entreprise afin de construire un facteur de confiance vis-à-vis de l’employeur et du RH intermédiaire sur les données de ses salariés ».

La Maif a été citée comme une entreprise qui a fait du sujet de la donnée un sujet politique, éthique, de leadership, un élément clé de leur raison d’être. La mutuelle a publié des vidéos très simples qui inspirent la confiance, pour expliquer ce qu’elle fait des données qui lui sont confiées.

"La santé va devenir un marché d'attention"

Roger Mainguy a parlé du rôle du courtier comme distributeur. April s’appuie aujourd’hui sur les plateformes de tiers payant pour lutter contre la fraude. « Nous sommes très frileux sur l’exploitation des données. Nous sommes d’abord guidés par le respect de la réglementation, du secret médical, avant de penser business ou service distributeur », admet-il.

April s’interdit également d’utiliser les données de santé pour faire de la sélection médicale ou bien pour tarifer ou segmenter le risque. « En prévoyance, s’il y avait des données de santé plus accessibles, cela nous permettrait de faire de la sélection médicale à la volée et de construire des garanties sur mesure en fonction de la situation personnelle », indique Roger Mainguy.

Le PDG d’April Prévoyance & Santé pense que cela ne conduirait pas à une démutualisation, car on peut construire cette garantie sur une cohorte assez large pour pouvoir faire du pilotage du risque. « Je suis favorable à la mutualisation mais je suis contre la solidarité inter-générationnelle, l’idée selon laquelle on fait payer plus aux jeunes pour faire payer moins aux personnes âgées », considère Roger Mainguy.

April travaille la donnée dans l’objectif de permettre à ses 15.000 courtiers distributeurs de mieux accompagner leurs assurés. Par exemple, en cas d’un pépin de santé, dans le cadre de la relation client, le courtier pourrait contacter le client, sans forcément savoir dont il souffre. Ensuite, à l’assuré de se dévoiler ou pas, de donner son consentement ou pas. « Par exemple, en cas d’hospitalisation en cours, lors d’une demande de prise en charge, on peut imaginer un accompagnement préventif ou post-opératoire (aide-ménagère, prévention de récidive…) », illustre Roger Mainguy.

« La santé va devenir un marché d’attention. Si on ne fait pas attention aux assurés, avec l’ensemble des moyens que nous avons, y compris la donnée, on va passer à côté de quelque chose, indique Roger Mainguy. J’aimerais pouvoir proposer une garantie supplémentaire d’ostéopathie ou de kinésthérapie aux assurés qui sortent de l’hôpital après une opération de dos. Cette garantie se déclencherait uniquement en cas de sinistre ».

« Si on avait des données de santé automatisées sur les médicaments qui font l’objet d’une prescription récente pour un prospect etc. cela pourrait nous donner des clés de lecture sur les risques sous-jacents et cela pourrait nous permettre de faire une sélection médicale sans questionnaire », imagine Roger Mainguy. Isabelle Hébert propose se séparer la donnée de santé du risque santé car la donnée de santé peut être plus utile sur la dimension prévoyance.

La data en manque de considération

Le sujet de la donnée n’est pas un sujet de friction entre assureurs et courtiers, selon les intervenants. Marie-Sophie Houis, associée de PMP et du Cercle Lab, considère que « les acteurs de l'assurance affichent une stratégie de services ambitieuse mais pas une stratégie data à la hauteur de leur stratégie de services ».

Dans d’autres industries, maître Beslay cite une entreprise qui a approuvé un projet d’entreprise selon lequel aucun projet ne peut pas aboutir sans que le sujet de la data ne soit pas instruit et orienté de façon stratégique pour l’entreprise. D’autres entreprises mettent en place des « Data Day » afin de sensibiliser les collaborateurs à l’importance de l’exploitation des données.

La prochaine réunion du club santé du Cercle LAB aura lieu le 19 janvier. Inscrivez-vous ici !