La commission nationale informatique et libertés (Cnil) estime que les organismes complémentaires peuvent utiliser des données de santé pour procéder aux remboursements de leurs assurés mais demande qu'une loi vienne préciser cet usage.

C’est une victoire importante pour les organismes complémentaires. L'accès aux codes détaillés était une revendication du secteur depuis l'entrée en vigueur du 100% santé, à la fois dans une finalité de gestion du risque et de lutte contre la fraude. Les organismes complémentaires se sont battus ces dernières années pour avoir accès aux ordonnances et autres données de santé afin de ne pas devenir des "payeurs aveugles".

La Cnil a publié un avis le 14 novembre qui met un terme à deux ans de contentieux entre les organismes complémentaires et les professionnels de santé (opticiens et audioprothésistes, principalement). Après avoir pris une position ambiguë en 2020 à propos du 100% santé, la commission clarifie sa position. L'avis de la Cnil vient légitimer l’utilisation des données de santé par les organismes complémentaires dans le cadre du tiers payant. Et la Cnil de préciser qu’elle clôturera les plaintes qu’elle a reçues concernant la possibilité pour les ocam de traiter des données de santé.

La nécessité d'une loi

Les organismes complémentaires peuvent-ils demander des ordonnances optiques, dentaires et auditives afin de rembourser les prestations ? Dans son avis, la Cnil rappelle que les codes, ordonnances, prescriptions sont des données personnelles de santé, protégées par le Règlement européen sur la protection des données (RGPD) et couvertes par le secret médical. La commission estime que les ocam « peuvent utiliser des données de santé pour procéder aux remboursements de leurs assurés mais estime que les textes sont trop lacunaires ». Leur utilisation pourrait relever de l’article 9 du RGPD qui prévoit des exceptions à l’interdiction sur l’utilisation des données de santé. Pour cela, il convient qu’une loi vienne préciser cette utilisation. « Il est donc nécessaire que la loi soit précisée, complétée, pour accorder cette dérogation en l’encadrant et en prévoyant des garanties appropriées », écrit la Cnil.

Même constat concernant le secret médical. Si les ocam traitent de données de santé protégées par le secret médical, « une dérogation au secret médical est nécessaire. Or la Cnil constate que cette dérogation est soit très implicite, soit inexistante. Il est donc nécessaire que la loi soit précisée, complétée, pour accorder cette dérogation en l’encadrant et en prévoyant des garanties appropriées », écrit la commission indépendante.

Transmission autorisée pour les contrats responsables

En attendant la loi, la Cnil autorise la transmission de données de santé entre professionnels de santé et organismes complémentaires dans le cadre des contrats responsables qui représentent 95% du marché. Pour les contrats non-responsables, en revanche, « le patient doit soit transmettre les informations lui-même à son OCAM, soit autoriser au cas par cas son professionnel de santé à le faire ».

L’Unocam, la Mutualité Française, France Assureurs et le Ctip ont réagi à l’avis de la Cnil par voie de communiqué : « Un recueil du consentement de l’assuré est réalisé avant chaque envoi de ses données à l’organisme complémentaire qui prend en charge ses dépenses de santé. Les organismes complémentaires d’assurance maladie sont prêts à renforcer le cadre juridique dans lequel s’organisent aujourd’hui ces données de santé dans un esprit constructif et toujours pour améliorer le service rendu aux assurés », écrivent de concert les trois familles de complémentaires. Le Comité de dialogue avec les organismes complémentaires (Cdoc) lancé par le ministre de la Santé et de la Prévention doit se pencher sur la question de l'accès aux données de santé par les ocam.

La Cnil a fait part au gouvernement de la nécessité de légiférer sur cette utilisation des données de santé par les organismes complémentaires. En attendant la loi, la position de la Cnil confirme le cadre d’exercice actuel des organismes complémentaires pour le traitement des prestations santé dans le cadre du tiers payant.