L’essentiel :

Les dispositions législatives sécurisent et encadrent les flux de données et les traitements mis en œuvre par les organismes d’assurance maladie complémentaire (OCAM) nécessaires à la prise en charge des dépenses de santé dans le cadre du tiers payant. Elles renforcent la coopération entre les organismes d’assurance maladie obligatoire (OAMO) et les OCAM en matière de lutte contre la fraude.

Au titre de la lutte contre la fraude, il convient de distinguer les opérations menées par les OAMO, qui sont encadrées par les articles L. 114-9 et suivants du code de la sécurité sociale (CSS), des opérations menées par les OCAM qui consistent à rechercher des incohérences et des indices de fraudes contractuelles dans le cadre des conventions conclues avec les personnes.

Les garanties associées à ces traitements sont, dans l’ensemble, de nature à protéger les droits et libertés fondamentaux des personnes concernées. Certaines garanties devraient, toutefois, être précisées et d’autres ajoutées.

Si l’intermédiaire envisagé entre les OAMO et les OCAM pouvait être amené à disposer de données relatives à l’ensemble des assurés sociaux, la CNIL estime que cette faculté devrait être prévue par la loi, avec les garanties adéquates.

­­­­­­­­­­­­­­­­­­­­­­­­­­­­___________________

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (« loi informatique et libertés » ), notamment son article 8 I 4° a ;

Après avoir entendu le rapport de M^me Marie Zins, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,

Adopte la délibération suivante :

I. La saisine

A. Le contexte

La prise en charge des dépenses de santé fait intervenir deux catégories d’organismes :

• les organismes d’assurance maladie obligatoire (OAMO), qui participent aux dépenses de santé des personnes au titre de la solidarité nationale ;
• les organismes d’assurance maladie complémentaire (OCAM), qui interviennent au titre du contrat, individuel ou collectif, conclu avec la personne.

Ces interventions conduisent au traitement de données à caractère personnel et plus particulièrement des données de santé (numéro de codage des actes et prestations, ordonnances, etc.) protégées par le secret professionnel visé à l’article L. 1110-4 du code de le santé publique (CSP) dans le but de s’assurer que les conditions règlementaires et contractuelles sont respectées et de liquider les dépenses.

Afin de faciliter l’accès aux soins et de maitriser les dépenses de santé, plusieurs initiatives ont été mises en place ces dernières années :

• une généralisation du dispositif de tiers-payant qui conduit à un paiement par les OAMO et/ou les OCAM directement aux professionnels ayant pris en charge la personne ;
• des mécanismes de régulation des prix et des niveaux de prise en charge, comme par exemple la réforme du « 100% santé » pour les secteurs de l’optique, du dentaire et de l’audioprothèse ainsi que la pratique des réseaux de santé/de professionnels agréés.

Ces initiatives proviennent tant des pouvoirs publics que des OCAM et de leurs prestataires.

Le Gouvernement souhaite renforcer la mobilisation et la coopération de l’ensemble des acteurs concernés par cette prise en charge afin de lutter plus efficacement contre la fraude en matière sociale et la fraude contractuelle dans la sphère sociale. En effet, bien que le niveau de participation financière des OAMO et des OCAM varie suivant les postes de dépenses (optique, hospitalisation, etc.), les pratiques frauduleuses entrainent un préjudice pour les deux types d’organismes.

Selon le Gouvernement, le dispositif d’échange d’informations entre les OAMO et les OCAM prévu par l’article L. 114-9 du code de la sécurité sociale (CSS) n’est pas pleinement satisfaisant en raison de l’impossibilité pour les OAMO de transmettre aux OCAM impliqués les informations nécessaires notamment à la vérification de la bonne exécution des conventions conclues et la défense de leurs droits.

Les dispositions législatives envisagées visent donc à :

• consolider le cadre juridique applicable aux traitements mis en œuvre par les OCAM à des fins de liquidation des dépenses et de vérification de la bonne exécution des conventions conclues ;
• renforcer la coopération entre les OAMO et les OCAM en matière de lutte contre la fraude.

Cette saisine est l’occasion pour le Gouvernement de répondre à la demande de la CNIL d’adopter des dispositions législatives précisant le cadre juridique applicable au(x) traitement(s) de données de santé par les OCAM. La CNIL accueille très favorablement le principe des dispositions législatives dont elle est saisie, qui permettent de sécuriser et d’encadrer des traitements existants.

B. L’objet de la saisine

La CNIL est saisie de dispositions pouvant être regroupées en trois catégories.

Une première catégorie concerne des dispositions créant de nouveaux articles au sein du CSS, du code des assurances et du code de la mutualité afin de :

• sécuriser juridiquement et faciliter la vérification et le contrôle des demandes de remboursement adressées aux OCAM avant leur liquidation notamment pour limiter des erreurs non intentionnelles ou des fraudes potentielles ;
• reconnaître une dérogation au secret professionnel au bénéfice des OCAM en cas de tiers payant permettant ainsi aux professionnels et aux établissements de santé de leur transmettre directement les données nécessaires notamment relatives à la santé ;
• déterminer les garanties appropriées pour la protection des droits et libertés fondamentaux des personnes concernées. A cet égard, si certaines garanties sont déjà précisées dans les dispositions envisagées, celles-ci renvoient à un décret en Conseil d’Etat, pris après avis de la CNIL.

Cette consolidation du cadre juridique couvre exclusivement les contrats de complémentaire couvrant les risques de maladie, de maternité ou d’accident (ci-après « contrats de complémentaire santé » ), à l’exclusion notamment des contrats de prévoyance proposés par les OCAM.

Une deuxième catégorie de mesures prévoit de modifier le CSS afin de renforcer la coopération entre les OAMO et les OCAM dans le cadre de la lutte contre la fraude sociale. Plus précisément, elles envisagent :

• d’une part, de modifier l’article L. 114-9 du CSS afin, lors du dépôt de plainte au pénal par un OAMO, de permettre la transmission à l’autorité judiciaire les nom et coordonnées du/des OCAM concerné/s ainsi que toute information sur le préjudice causé à cet organisme ;
• d’autre part, de créer un article L. 114-9-1 qui vise à :
  
  • permettre aux OAMO de transmettre aux OCAM, et inversement, des informations relatives à l’identité de l’auteur d’une fraude présumée et des actes et prestations en cause ;
  • apporter des garanties quant aux conditions de transmission de ces données ;
  • permettre de confier à un intermédiaire la mise en œuvre de ces échanges d’informations ;
  • renvoyer à un décret en Conseil d’Etat, pris notamment après avis de la CNIL, le soin de préciser les conditions applicables à ces échanges de données ainsi que le rôle et les attributions dévolus à cet intermédiaire.

Une dernière catégorie de mesures prévoit de modifier la loiinformatique et liberté afin de clarifier le champ d’application de ses articles 65 et suivants, instituant un régime de formalités préalables pour les traitements de données de santé, les traitements poursuivant les finalités prévues aux projets d’articles L. 111-15 du code des assurances, L. 210-3 du code de la mutualité et L. 931-3-11 du CSS.

Au regard des enjeux concernant la protection des données à caractère personnel liés aux traitements induits par ce projet, et au-delà de son ou ses avis à venir sur le(s) projet(s) de décret, la CNIL se tient disponible pour accompagner les pouvoirs publics dans la détermination des garanties nécessaires.

II. L’avis de la CNIL

A. Sur les dispositions visant à sécuriser les traitements mis en œuvre par les OCAM

a. Sur les finalités poursuivies

Les projets d’articles L. 111-15 du code des assurances, L. 210-3 du code de la mutualité et L. 931-3-11 du CSS autorisent les OCAM à traiter des données à caractère personnel uniquement pour les finalités suivantes :

• le remboursement et l’indemnisation des dépenses de santé dans le cadre d’un contrat de complémentaire santé ;
• le contrôle de l’exécution des contrats de complémentaire santé conclus avec les assurés, ainsi que les conventions conclues avec les professionnels et les établissements de santé ;
• la constatation, l’exercice ou la défense d’un droit en justice en lien avec l’exécution desdits contrats et conventions.

Selon les précisions du Gouvernement, dont la CNIL prend acte, ne sont pas couverts par les dispositions législatives envisagées les traitements mis en œuvre à des fins :

• d’exclusion de garanties des contrats d’assurance ou de modification de cotisations ou de primes d’assurance d’un individu ou d’un groupe d’individus ;
• de prévention de la fraude aux contrats de complémentaires santé qui impliqueraient un traitement massif de données à caractère personnel concernant l’ensemble des assurés d’un OCAM ou la pratique des professionnels et établissements de santé.

La CNIL considère que la poursuite de chaque finalité correspond à un traitement de données à caractère personnel distinct dont la conformité au RGPD et à la loi « informatique et libertés » devra être appréciée de manière distincte.

1. S’agissant de la finalité relative au remboursement et à l’indemnisation des dépenses

Les OCAM sont fondés à réaliser les vérifications strictement nécessaires pour s’assurer que les conditions règlementaires et contractuelles sont respectées en vue de liquider les remboursements.

La CNIL constate que généralement le cadre juridique applicable ne précise pas l’organisme chargé de vérifier le respect des conditions règlementaires. A titre d’exemple dans le secteur de l’optique, l’arrêté du 3 décembre 2018 précise que les demandes anticipées de remboursement, c’est-à-dire espacées de moins de deux ans, doivent répondre à certaines conditions d’évolution de la vue. Cette évolution est justifiée par comparaison des deux dernières prescriptions médicales. Il n’est toutefois pas précisé si la charge de cette vérification incombe aux professionnels de santé, aux OCAM et/ou aux organismes d’AMO. L’identification de/s l’organisme/s responsable/s de ces vérifications a un lien direct avec l’appréciation du principe de minimisation et l’étendue de la dérogation au secret professionnel reconnu aux OCAM. La CNIL comprend des échanges avec le Gouvernement que les dispositions envisagées ne conduisent pas à confier aux OCAM la charge de cette vérification, ceux-ci étant tenus de rembourser les sommes dues dès lors que la demande de prise en charge respecte les dispositions applicables.

2. S’agissant de la finalité relative au contrôle de l’exécution des contrats de complémentaires santé et des conventions conclues avec les professionnels et établissements de santé

Selon les précisions du Gouvernement :

• les traitements liés à cette finalité interviennent dans un cadre de lutte contre la fraude aux contrats de complémentaire santé et aux conventions conclues notamment dans le cadre de réseau de professionnels agréés ;
• ces traitements sont à distinguer de ceux mis en œuvre par les OAMO au titre de la lutte contre la fraude sociale, encadrés par les articles L. 114-9 et suivants du CSS ;
• ces traitements portent sur des vérifications casuistiques et non une analyse de l’ensemble des assurés d’un OCAM ou la pratique des professionnels et établissements de santé.

Cette finalité correspond plus précisément à des opérations d’analyse des incohérences ou de recherche d’indices de fraude à partir des données déjà traitées par un OCAM ainsi qu’aux vérifications plus poussées pouvant le conduire à demander des justificatifs allant au-delà de ce qui est nécessaire à la liquidation des remboursements. La CNIL demande que cette finalité soit précisée afin d’explicitement renvoyer à la réalisation de contrôles et de vérifications allant au-delà de ce qui est strictement nécessaire pour l’exécution d’un contrat ou d’une convention.

La CNIL s’interroge sur la nécessité de distinguer les traitements mis en œuvre à des fins de contrôle des contrats de complémentaire santé de ceux poursuivant une finalité de contrôle des conventions conclues avec les professionnels et établissements. En effet, ces contrats et conventions ne sont a priori pas soumis au même cadre juridique, les parties prenantes peuvent différer, les données nécessaires pour vérifier leur bonne exécution peuvent varier ainsi que les garanties à mettre en œuvre pour la protection des droits et libertés. Elle demande que les projets d’articles précisent s’il s’agit ou non de finalités distinctes.

Sous réserve des précisions ci-dessus, la CNIL estime que les finalités envisagées sont conformes aux conditions posées par le b) du 1 de l’article 5 du RGPD (finalités déterminées, explicites et légitimes).

b. Sur les exceptions pour le traitement de données sensibles

Les projets d’articles L. 111-13 du code des assurances, L. 210-1 du code de la mutualité et L. 931-3-9 du CSS prévoient que le traitement de données sensibles à des fins de remboursement et d’indemnisation des dépenses de santé dans le cadre d’un contrat de complémentaire santé permettent de "concourir à la gestion d’un service de protection sociale au sens du b et du h du paragraphe 2 de l’article 9 du RGPD" .

Selon les précisions du Gouvernement :

• ceci n’a pas pour effet ou objet de reconnaître une participation des OCAM au régime de sécurité sociale ou de protection sociale ;
• cette exception pour le traitement de données sensibles est également applicable pour les traitements mis en œuvre à des fins de contrôle de l’exécution des contrats de complémentaire santé et des conventions conclues avec les professionnels et établissements de santé. La CNIL estime que ce point pourrait être précisé dans les projets d’articles.

Elle accueille favorablement cette précision. Eu égard au contexte dans lequel ces traitements interviennent, au responsable de traitement visé et aux garanties prévues par les dispositions envisagées, les traitements précités peuvent relever de l’exception prévue au h) du 2 de l’article 9 du RGPD.

Concernant la finalité relative à la constatation, la défense et l’exercice d’un droit en justice, le traitement de données sensibles pourra être fondé sur le f) du 2 de l’article 9 du RGPD.

La CNIL estime que les dispositions envisagées autorisent le traitement de données sensibles pour les finalités décrites aux projets d’articles L. 111-15 du code des assurances, L. 210-3 du code de la mutualité et L. 931-3-11 du CSS.

c. Sur les données concernées et la dérogation au secret professionnel

1. S’agissant de la dérogation au secret professionnel

Les projets d’articles L. 111-15 du code des assurances, L. 210-3 du code de la mutualité et L. 931-3-11 du CSS précisent les catégories de données susceptibles d’être traitées par les OCAM. Certaines données constituant des données de santé couvertes par le secret professionnel visé à l’article L. 1110-4 du CSP, leur transmission à des tiers par les professionnels et établissements qui en sont dépositaires est en principe interdite, sauf dérogation légale.

Dans cette perspective, les projets d’articles L. 111-14 du code des assurances, L. 210-2 du code de la mutualité et L. 931-3-10 du CSS :

• prévoient, pour la mise en œuvre du tiers payant et pour les données visées à l’article L. 161-29 du CSS, une dérogation au secret professionnel au bénéfice des OCAM ;
• soumettent au secret professionnel le personnel des OCAM accédant à ces données ;
• précisent que seul un professionnel de santé ou les personnes placées sous son autorité, peuvent accéder aux données associées à une pathologie diagnostiquée.

Ces dispositions constituent des garanties appropriées pour la protection des données et notamment leur confidentialité.

La CNIL s’interroge sur la portée de la rédaction actuelle, visant uniquement les codes des actes et prestations, qui pourrait ne pas couvrir les différents cas de figure au regard de :

• la portée du secret professionnel dans un contexte sanitaire telle que précisée par la jurisprudence applicable ;
• la nécessité d’une appréciation casuistique du principe de minimisation.

A titre d’exemple dans le secteur de l’optique et plus précisément pour les équipements ne relevant pas du panier sans reste à charge, la CNIL a pu relever que, notamment eu égard à la liberté contractuelle des OCAM, des données autres que les codes des actes et prestations pouvaient s’avérer nécessaires à la mise en œuvre du tiers payant, rendu obligatoire pour les contrats dits « responsables ». Il peut notamment s’agir d’un justificatif attestant que l’évolution de la vue de la personne ouvre droit à une prise en charge anticipé tel que prévu par le cadre juridique applicable.

Sans préjuger de la position qui pourrait être adoptée pour d’autres secteurs, la CNIL recommande d’étendre cette dérogation aux données strictement nécessaires à la mise en œuvre du tiers payant autres que les codes des actes et prestations, dès lors que celui-ci est rendu obligatoire par un texte. A cet égard, les textes d’application projetés permettront de préciser les contours de cette dérogation.

2. S’agissant des données strictement nécessaires pour les finalités visées aux projets d’articles L. 111-15 du code des assurances, L. 210-3 du code de la mutualité et L. 931-3-11 du CSS

Ces dispositions prévoient les garanties suivantes :

• seuls les OCAM sont autorisés à traiter des données à caractère personnel de santé, dont les codes des actes et prestations ;
• certaines données relatives à l’identification et la facturation des professionnels et établissements ayant prescrit ou dispensé ces actes ou prestations pourront également être collectées ;
• ces données de santé doivent concerner les personnes ayant conclu un contrat de complémentaire santé avec cet OCAM ainsi que son/ses ayant/s droit.

Concernant cette dernière garantie, la CNIL prend acte qu’elle sera applicable pour le contrôle de l’exécution des conventions conclues avec les professionnels et établissements de santé.

d. Sur les autres garanties apportées

Les projets d’articles L. 111-15 du code des assurances, L. 210-3 du code de la mutualité et L. 931-3-11 du CSS prévoient des garanties complémentaires pour la protection des données et notamment la nécessité pour les OCAM de :

• mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau élevé de protection des données ;
• prévoir des habilitations spécifiques afin que leurs personnels n’accèdent qu’aux données strictement nécessaires pour l’exercice de leur mission ;
• prévoir un hébergement des données traitées exclusivement au sein de l’Espace économique européen et dans des conditions garantissant l’absence d’accès par des autorités publiques d’Etats tiers ou des tiers non autorisés.

Au regard de la sensibilité des données traitées, qui correspondent au demeurant aux catégories de données susceptibles d’être rassemblées au sein du système national des données de santé, la CNIL estime que ces garanties sont essentielles pour une protection appropriée des données.

B. Sur les dispositions visant à renforcer la coopération entre les organismes d’AMO et les OCAM

a. Sur les finalités des traitements concernés et les garanties apportées

Le projet d’article L. 114-9 du CSS entend renforcer les échanges d’informations entre les OCAM et les OAMO concernés lorsque les investigations réalisées par ces derniers les conduisent à déposer plainte.

Le projet d’article L. 114-9-1 prévoit des échanges d’informations entre les organismes d’AMO et les OCAM dès lors que les vérifications réalisées font présumer l’existence d’une fraude.

Ces échanges sont soumis aux garanties suivantes :

• les transmissions interviendront uniquement si la nature ou l’importance de la fraude suspectée répond à des conditions fixées par voie règlementaire. Ces critères, qui excluent une transmission systématique et indifférenciée des données, constituent une mesure favorisant le bon usage et la proportionnalité du régime de lutte contre la fraude ;
• les données à caractère personnel transmises porteront exclusivement sur l’identité de l’auteur des faits, les actes et prestations concernés ainsi que, le cas échéant, l’existence d’une décision de déconventionnement ;
• l’application du secret professionnel au personnel des OCAM intervenant dans ce dispositif ;
• la conservation des données sera limitée à la durée strictement nécessaire à :
  
  • pour les OAMO, la réalisation d’une procédure de contrôle visée à l’article L. 114-9 du CSS, la préparation ou l’exercice d’une action en justice ainsi qu’à la mise en œuvre d’une procédure de sanction administrative ;
  • pour les OCAM, la préparation ou l’exercice d’une action en justice ainsi que le contrôle de la bonne exécution des contrats et conventions conclus. Sur cette dernière finalité, la CNIL renouvelle sa demande à ce qu’elle soit précisée dans le projet.
• les informations échangées dans le cadre du dispositif mis en place sont supprimées sans délai, « dès lors que la personne est mise hors de cause ». La CNIL prend acte de ce que le Gouvernement a entendu viser les cas dans lesquels la suspicion de fraude est écartée ou dans lesquels la personne est mise hors de cause. Elle demande que le projet soit précisé sur ce point.

La lutte contre la fraude constitue un objectif de valeur constitutionnelle. Au vu des justifications apportées par le Gouvernement, la modification ou la création de traitements de données à caractère personnel visant à améliorer la coopération entre les organismes de la sphère sociale (AMO et OCAM) remplissent donc les conditions posées par l’article 5 du RGPD (finalités déterminées, explicites et légitimes).

b. Sur les données concernées et les garanties apportées

Les échanges entre les organismes d’AMO et les OCAM seraient susceptibles de porter sur :

• des données de santé couvertes par le secret professionnel ;
• des données d’infractions au sens des articles 10 du RGPD et 46 de la loi « informatique et libertés » , notamment dans le cadre d’investigations conduites par les services compétents des OAMO.

Le projet d’article L. 114-9-1 peut constituer un fondement au traitement de données sensibles ainsi qu’aux données relatives aux infractions au sens de l’article 10 du RGPD et de l’article 46 de la loi « informatique et libertés » . La CNIL demande que son régime juridique soit précisé dans le projet de loi ou dans le décret d’application.

c. Sur les garanties liées aux personnes habilitées à accéder aux données

1. S’agissant du personnel habilité des OCAM

Le sixième alinéa du projet d’article L. 114-9-1 renvoie à un texte d’application le soin de préciser les conditions d’habilitation des personnels des OCAM. S’il n’est pas remis en cause le principe de confier à un texte d’application les conditions précises d’habilitation des personnels des OCAM, il devrait toutefois être prévu le principe de séparation au sein de ces organismes des agents intervenant pour l’exécution des conventions conclues et ceux intervenant pour les opérations de traitement liées au dispositif envisagé dans la mesure où une fraude est suspectée, voire présumée.

2. S’agissant du recours à un intermédiaire

Le cinquième alinéa du projet d’article L. 114-9-1 prévoit qu’un intermédiaire présentant des garanties d’indépendance et d’expertise pourraient intervenir pour ces échanges d’informations.

D’après le Gouvernement, cet intermédiaire pourra faciliter l’identification des OCAM lorsque les investigations réalisées par l’AMO mettent en évidence des faits de nature à faire présumer l’un des cas de fraude mentionnés à l’article L. 114-16-2 du CSS. A défaut de précisions, dans le projet de texte, sur le rôle dévolu à cet intermédiaire, la CNIL estime que son intervention devra se limiter à l’identification des OCAM impliqués dans un cas de suspicion de fraude. Le traitement de données sensibles, a fortiori protégées par le secret professionnel, par l’intermédiaire, n’apparaît, à ce stade, pas pertinent.

Dans l’hypothèse où une base de données à caractère personnel comportant des informations sur l’ensemble des assurés sociaux viendrait à être constituée, la CNIL estime que le projet de loi devrait le prévoir expressément et assortir cette constitution de garanties appropriées.

C. Sur les dispositions visant à modifier la « loi informatique et libertés »

Le projet de loi prévoit d’exclure du champ d’application des articles 65 et suivants de la « loi informatique et libertés », instituant un régime de formalités préalables pour les traitements de données de santé, les traitements poursuivant les finalités prévues aux projets d’articles L. 111-15 du code des assurances, L. 210-3 du code de la mutualité et L. 931-3-11 du CSS.

Cette disposition s’inscrit dans la lignée de la doctrine de la CNIL qui accueille favorablement cette modification. En effet, si les traitements induits par les dispositions envisagées impliquent nécessairement le traitement de données de santé, la CNIL considère que ceux-ci interviennent dans le domaine de la protection sociale et ne relèvent, par conséquent, pas du régime de formalités préalables applicables aux traitements dans le domaine de la santé. De plus, son ou ses avis sur les textes d’application des présentes dispositions permettront d’assurer que des garanties suffisantes sont prévues pour la protection des droits et libertés des personnes.

Les autres dispositions du projet n’appellent pas d’observations de la part de la CNIL.

La présidente,

M.-L. Denis