Appel de la Cnil : vers la redéfinition du cadre juridique entourant l'utilisation des données de santé par les mutuelles ?
Voici les motifs conduisant la Cnil à proposer une redéfinition du cadre juridique encadrant le traitement des données de santé par les mutuelles. Un cadre réglementaire à compléter, ajuster et rationaliser.
À la suite d’un nombre important de plaintes relatives à l’utilisation des données de santé des patients par les assurances maladie complémentaires (aussi appelées mutuelles), la Cnil s’est récemment penchée sur la conformité de tels traitements aux réglementations relatives à la protection des données personnelles. Cette analyse a amené l’autorité à se prononcer en faveur d’une redéfinition du cadre juridique encadrant le traitement des données de santé par les mutuelles.
Contexte et traitements concernés
Afin de comprendre les motivations et enjeux de cet appel de la Cnil, il est dans un premier temps nécessaire de comprendre la nature des plaintes portant sur l’utilisation des données de santé par les mutuelles. Dans le cadre de leur activité, les assurances maladie complémentaires sont aujourd’hui amenées à recevoir différentes données de patients de la part des professionnels de santé :
- Les prescriptions médicales et les ordonnances, afin de procéder au suivi des patients.
- Les codes permettant d’identifier la catégorie d’actes médicaux réalisés en vue de leur remboursement (code de regroupement, code d’association, ou code affiné notamment).
L’ensemble de ces données peuvent être considérées très clairement comme des données de santé au sens du RGPD, définies de manière large par ce texte comme "l'ensemble des données se rapportant à l'état de santé d'une personne concernée qui révèlent des informations sur l'état de santé physique ou mentale passé, présent ou futur de la personne concernée".
Les données de santé font partie d’une catégorie juridique particulière appelée données sensibles : il s’agit de données à caractère personnel critiques car particulièrement intimes pour les personnes concernées. Elles sont, à ce titre, strictement encadrées par le RGPD, et leur traitement est soumis à une interdiction de principe, à laquelle il n’est possible de déroger que par le biais d'exceptions limitativement prévues dans le RGPD.
Outre les obligations relatives aux réglementations entourant la protection des données à caractère personnel, les données de santé traitées par les mutuelles sont également, entre autres, soumises aux obligations édictées par le secret médical, défini cette fois par le Code de la Santé Publique (CSP).
Nous avons désormais toutes les cartes en main pour comprendre la nature des plaintes et l’analyse juridique de la Cnil concernant le traitement des données de santé par les assurances maladie complémentaires. L’enjeu est double :
Le traitement des données effectué par les mutuelles est-il conforme aux réglementations relatives à la protection des données, et plus précisément aux obligations de protection des données sensibles établies par le RGPD ?
Le traitement des données effectué par les mutuelles respecte-t-il le secret médical défini par le Code de la Santé Publique ?
Mutuelles et RGPD
Comme nous venons de le voir, les données traitées par les assurances maladie complémentaires sont des données sensibles, et leur traitement ne peut donc être licite qu’à la condition d’être autorisé par au moins l’une des exceptions prévues par le RGPD.
Les exceptions pertinentes et qui pourraient potentiellement être mobilisées pour les données de santé que nous étudions sont les suivantes :
- "Le traitement est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l'Union, par le droit d'un État membre ou par une convention collective conclue en vertu du droit d'un État membre qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée". (Article 9.2b RGPD).
- "Le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l'appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale sur la base du droit de l'Union, du droit d'un État membre [...]"(Article 9.2h RGPD).
Comme mis en évidence par les passages en majuscules ci-dessus, ces deux exceptions semblent pertinentes afin de permettre le traitement des données de santé par les mutuelles, malgré le fait que de telles données soient catégorisées comme des données sensibles.
Il faut cependant remarquer que, dans le texte de ces deux exceptions, un élément d’importance est précisé : le traitement doit non seulement répondre aux conditions de l’exception, mais également être autorisé ou prévu par le droit de l'Union ou le droit de l'Etat membre. En d’autres termes, pour que les mutuelles puissent se prévaloir des exceptions citées ci-dessus afin de procéder au traitement des données de santé des patients, il faut qu’un tel traitement soit explicitement prévu dans un texte de loi (qui devra être ici national, dans le sens où la législation relative à l’implémentation des services de soins de santé est nationale).
L’objectif d’un tel encadrement par un texte de loi national ou régional est de maîtriser l’étendue des traitements pouvant se prévaloir des exceptions, et de permettre la mise en place de conditions claires ainsi que de garanties appropriées visant à garantir la sécurité juridique ainsi que les droits fondamentaux des personnes concernées dans le cadre de tels traitements.
Sur quel texte réglementaire national pourrait alors se reposer les mutuelles, prévoyant le traitement des données de santé des patients transmises par les professionnels de santé ?
Pour comprendre la réponse de la CNIL à cette question, il est d’abord nécessaire de faire un rapide détour par le concept de contrat responsable. La législation française définit, depuis 2004, une forme particulière de contrats pouvant être conclus avec une assurance maladie complémentaire, dit “contrat responsable”. L’objectif d’un tel contrat est de responsabiliser les patients et les opérateurs afin de réduire le déficit de l’Assurance maladie. Afin d’être qualifié de “responsable”, le contrat doit implémenter un certain nombre de conditions, qui ont été régulièrement enrichies au fil du temps. Par exemple, le contrat responsable implique la consultation d’un médecin traitant unique et déclaré, le respect du parcours de soins coordonnés, la mise en place de planchers et de plafonds de remboursement, l’exclusion du remboursement de certains postes de dépenses… Depuis 2015, tous les contrats mutuelle santé souscrits à titre collectif (dont les mutuelles d’entreprise) doivent respecter les obligations des contrats responsables, qui représentent ainsi aujourd’hui la grande majorité des contrats avec les assurances maladie complémentaires (près de 95% des contrats).
Revenons à l’examen de la conformité des traitements de données de santé par les mutuelles au RGPD. Les conditions et les obligations liées aux contrats responsables sont définis dans le Code de la Sécurité Sociale. Ainsi, la condition de mise en œuvre des exceptions définies par le RGPD (Articles 9.2b et 9.2h) est formellement remplie dans le cadre des contrats responsables, qui sont bien prévus par une législation nationale. C’est ce qui pousse la Cnil à affirmer : "Ainsi pour les contrats « responsables », les [mutuelles] peuvent fonder le traitement de données de santé à des fins de liquidation des prestations sur l'une des exceptions prévues à l'article 9.2 b) ou 9.2 h) du RGPD”.
Cependant, cette situation est loin d’être idéale et deux problèmes subsistent :
- Bien que les contrats responsables représentent aujourd’hui la majorité des relations contractuelles entre les mutuelles et les patients, il existe toujours des contrats qui n'appartiennent pas à cette catégorie. Pour de tels contrats, la Cnil relève qu’il n’existe pas aujourd’hui de disposition légale appropriée permettant aux mutuelles de se prévaloir des exceptions du RGPD et donc de traiter les données de santé des patients de manière licite. Dans de tels cas de figure, le consentement du patient devrait être recueilli pour chaque transmission de données de santé à l’assurance maladie complémentaire, une obligation lourde et peu adaptée à la réalité des actes médicaux.
- Cette seconde remarque n’est pas explicitement relevée par la Cnil; il s’agit d’un point de vue personnel et doit donc être considéré comme tel. La législation relative aux contrats responsables, si elle permet en effet formellement de remplir les conditions des exceptions prévues par le RGPD et de rendre les traitements de données par les mutuelles licites, n’a pas été prévue pour remplir un tel rôle. La vocation principale de la législation des contrats responsables est fiscale, et elle n’a pas pour objectif de servir de socle justifiant le traitement de données de santé. En tant que tel, au-delà de l’aspect juridique formel, elle ne définit pas de garanties appropriées et ne s’attache pas à protéger les intérêts des personnes concernées, ce qui la rend peu adaptée au rôle qu’on souhaite lui faire jouer ici.
Ainsi, la Cnil remarque à juste titre que le cadre législatif actuel n’est pas satisfaisant, dans le sens où il ne permet pas d’assurer la licéité des traitements de données de santé opérés par les assurances maladies complémentaires dans tous les cas (ou, plus précisément, dans le cadre de contrats non responsables). Nous ajouterons, pour aller dans le sens de la Cnil, que le cadre législatif des contrats responsables n’est en réalité pas non plus adapté à la justification de la licéité des traitements de données à caractère personnel, bien qu’il remplisse les exigences juridiques formelles du RGPD.
Mutuelles et secret médical
Les problématiques entraînées par le traitement de données de santé au vu du respect du secret médical sont en réalité très proches de celles décrites pour le RGPD ci-dessus.
Le secret médical correspond à une obligation de secret professionnel défini dans le Code de la Santé Publique. Il couvre l’intégralité des informations portées à la connaissance d’un professionnel de santé dans un cadre médical. Un patient peut, de sa propre initiative, transmettre ces données à un tiers ; cependant, les professionnels de santé sont tenus au respect du secret médical, et le patient concerne par les informations de santé ne peut autoriser le professionnel de santé à transmettre ses données de santé (ainsi, même le consentement de la personne concernée ne peut permettre de contourner les obligations du secret médical).
Le seul cas dans lequel un professionnel de santé serait autorisé à transmettre des données de santé à un tiers (par exemple, une mutuelle) alors même que ces données sont couvertes par le secret médical, est celui d’une autorisation expresse et explicite prévue par un texte législatif.
Similairement à l’analyse produite relative à la conformité des traitements de données au RGPD, la Cnil remarque que le texte du Code de la Sécurité Sociale instaurant les contrats responsables pourrait, dans le cadre de tels contrats, constituer le socle législatif nécessaire à la licéité de la transmission d’informations couvertes par le secret médical aux mutuelles.
Cependant, les contrats non responsables ne peuvent bénéficier de ce mécanisme, et la transmission de données de santé aux mutuelles ne sont alors justifiées par “aucune norme juridique particulière ni aucune jurisprudence”, remarque la Cnil. La Commission propose, dans de tels cas de figure, la délivrance par le patient de mandats ad hoc, visant à autoriser au cas par cas la transmission d’informations aux mutuelles (sans que ce mandat ne puisse avoir une portée générale, ce qui reviendrait à délier le professionnel de santé de son obligation de respect du secret médical, ce qui n’est pas autorisé comme nous l’avons vu). Il s’agit cependant d’une solution peu adaptée à la réalité pratique de la réalisation d’actes médicaux.
Conclusion
Après avoir explicité les concepts et enjeux de l’analyse juridique de la Cnil portant sur l’utilisation des données de santé des patients par les assurances maladie complémentaires, notre conclusion suivra celle de la Cnil :
- “Il apparaît indispensable de revoir le cadre juridique applicable, tant en ce qui concerne l’exception mobilisable pour le traitement des données concernant la santé que s’agissant de la levée du secret médical.”
- Les textes concernés apparaissent en effet incomplets et peu adaptés à la justification de la transmission de données de santé aux mutuelles ainsi qu’à son encadrement.
Les solutions envisagées afin de concilier le cadre juridique actuel avec les obligations de licéité des traitements restent peu praticables et ne font que mettre en lumière une nécessaire redéfinition du cadre juridique entourant l’utilisation des données de santé par les assurances maladie complémentaires.