Depuis le 1er janvier, les Ocam et leurs plateformes continuent de vous demander de leur transmettre les codes LPP détaillés et corrections visuelles pour les PEC de vos clients. Sont-ils habilités à le faire ? Est-ce conforme à la réglementation ? Pour vous aider à y voir plus clair, acuite.fr a interrogé 4 avocats, experts spécialisés RGPD et Cnil : Maître Nathalie Metallinos, du cabinet Idea, Maître Lorraine Maisnier, du cabinet McDermott, Will & Emery, conseils du Rof (Rassemblement des opticiens de France), le conseil de la Fnof (Fédération des opticiens de France) et Maître Grégory Margoline, responsable du département « Droit des nouvelles technologies » du cabinet d’avocats Perspectives.

Un cadre légal insatisfaisant

Toute la difficulté actuelle à laquelle vous êtes confrontés tient à l’insuffisance du cadre légal sur cette question de la transmission des données de santé aux Ocam. « Compte tenu des enjeux économiques, financiers et politiques, les différents acteurs du secteur s’appuient sur un certain nombre de textes pour invoquer l’autorisation des Ocam à avoir accès aux données de santé des porteurs ou au contraire son interdiction », analyse Maître Grégory Margoline.

D’un côté, en effet, l’article 9 du RGPD, entré en vigueur le 25 mai 2018, prévoit plusieurs dérogations à l’interdiction de collecte des données de santé (telles que codes LPP détaillés, corrections visuelles, codes produit, etc.), notamment en cas de consentement explicite de la personne et/ou lorsque le traitement est nécessaire aux fins de gestion des systèmes de soins de santé ou de protection sociale.

La transmission de données de santé doit être strictement encadrée

Ces dérogations sont d’ailleurs évoquées par la ministre de la Justice, Nicole Belloubet, lors de la séance à l’Assemblée nationale du mercredi 7 février 2018. « Le RGPD pose une interdiction de principe mais prévoit des exceptions », explique Maître Nathalie Metallinos. « Parmi celles-ci, figure la possibilité pour les Ocam de collecter des données de santé sans le consentement des personnes concernées. La loi Informatique et libertés précise toutefois qu’elle n’est applicable qu’aux seuls traitements des données de santé nécessaires aux fins de prise en charge des prestations. Il n’y a pas de blanc-seing pour une transmission de manière massive et indifférenciée de toutes les données de santé : le RGPD a ainsi prévu que la permission ne vaut que si des garanties appropriées sont prévues. La transmission de données de santé doit donc être strictement encadrée. »

Or, récemment, la DGCCRF (Direction générale de la concurrence, de la consommation et de la répression des fraudes) s’est clairement prononcée, dans le cadre de la mise en place au 1er janvier du devis normalisé (Ndlr : et uniquement le devis), contre cette transmission des codes LPP détaillés et des corrections visuelles aux Ocam. Elle estime qu’à ce jour, aucune disposition n’autorise la mention de ces codes dans le devis ni leur transmission aux complémentaires, sans le consentement explicite du patient. « L’autorité administrative de régulation considère que le devis ne devra mentionner que les codes de regroupement », indique Maître Grégory Margoline. Ces derniers sont considérés comme suffisants pour que les Ocam identifient les catégories de PEC et assurent le remboursement.

La Cnil doit se prononcer dans les semaines à venir

Tout le monde attend donc une clarification de la Cnil (Commission nationale de l'informatique et des libertés) qui a été saisie sur cette question. Elle devrait intervenir d’ici la fin du premier trimestre. « Cet avis sera une orientation importante à prendre en considération surtout si la Cnil venait à corroborer l’interprétation d’une autre autorité administrative, la DGCCRF », souligne Maître Grégory Margoline. Pourtant, « il semble que la Cnil n’ait été saisie par les pouvoirs publics que sur le devis : doit-on y faire mention ou pas des codes LPP détaillés pour une PEC ? », précise Maître Nathalie Metallinos. « Sa décision risque donc de ne pas complètement régler la question. »

C’est aux pouvoirs publics de prendre leur responsabilité

Par ailleurs, l’avis de la Cnil n’a pas force de loi. C’est donc aux pouvoirs publics de prendre leur responsabilité et de définir un cadre juridique, clair et sécurisé. D’autant qu’à l’heure actuelle, les Ocam subordonnent le tiers payant, qui est pourtant une obligation (sur le ticket modérateur) incluse dans les contrats responsables, à la transmission via leurs plateformes des codes LPP et des données de correction avec consentement du client. Un consentement qui risque de ne pas être considéré comme libre lorsqu’il conditionne la prise en charge.

Il convient également de rappeler que les Ocam bénéficient d’avantages fiscaux pour les contrats solidaires et responsables qui représentent la majorité des contrats actuels. « Or, ces avantages sont conditionnés à contrepartie », ajoute le conseil de la Fnof. « Le taux avantageux de la taxe de solidarité additionnelle aux cotisations d’assurance maladie complémentaire ne s’applique que sous réserve de la non-communication aux Ocam des données de santé, dont font partie les corrections ophtalmiques, selon l’article L-862 – 4 du Code de la Sécurité sociale. Dans le cadre d’un contrat solidaire et responsable, il ne peut y avoir de collecte et traitement des données de santé d’un patient. »

Dans l’attente, plusieurs pistes sont à envisager

  • Dans le cas où la complémentaire de votre client n’est pas partenaire d’un réseau de soins ou d’une plateforme, vous pouvez lui envoyer uniquement le devis avec les codes regroupés sans pratiquer le tiers payant.
  • Vous avez signé les conditions générales d’utilisation d’une plateforme. La nécessité d’envoyer les données de correction détaillées pour les PEC n’est pas reconnue par les autorités publiques à date. Aussi, si la plateforme assujettit le remboursement à la transmission des codes LPP détaillés et des corrections visuelles, il est important pour sécuriser votre relation avec vos clients de les informer expressément de cette collecte. Précisez qu’elle va au-delà des informations mentionnées sur le devis et qu’il s’agit d’une demande particulière de la plateforme liée au type de contrat souscrit auprès de l’Ocam. Mentionnez la nature des informations ou documents dont la transmission est demandée. Et recueillez le consentement exprès de vos clients.
  • Vous avez signé avec un réseau de soins qui vous demande contractuellement des données de santé de vos clients (codes LPP détaillés et corrections visuelles, voire ordonnance). Même démarche nécessaire que pour les plateformes, afin de sécuriser la relation avec votre client. En cas de demande de transmission de l’ordonnance, indiquez-lui qu’il peut choisir d’adresser ce document sous pli confidentiel à l’attention du médecin conseil ou de l’opticien conseil de l’Ocam.
  • Vous pouvez, dans l’attente de la position de la Cnil, refuser de transmettre aux complémentaires de vos clients toute autre donnée que celles qui doivent figurer sur le devis (codes de regroupement), en invoquant le manque de clarté du cadre légal. Au risque de vous heurter à des refus de PEC.

En toute hypothèse, vous pouvez, en tant qu’opticien professionnel de santé, saisir dès maintenant la Cnil d’une demande de conseil sur cette question précise de la légalité de la transmission aux Ocam, aux plateformes de tiers payant et aux réseaux de soins, des données de santé détaillées et des ordonnances.

Nous avons demandé aux présidents de la Fnof et du Rof, Alain Gerbel et André Balbi, d'exprimer leurs positions syndicales sur cette question.