Des centaines de plaintes avaient été déposées auprès de la Cnil* depuis 2020 concernant les données médicales transmises aux Ocam pour bénéficier du remboursement de soins ou de produits de santé.
La Cnil, à travers un communiqué**, indique être bien consciente de l’intérêt pour les personnes concernées de l’action des Ocam dans le cadre de la liquidation de leurs dépenses de soins, et estime légitime le principe du traitement de données de santé de leurs assurés par les Ocam.
La Cnil estime que l’exécution du mécanisme de tiers payant, peut, à condition de respecter le cadre juridique, législatif et réglementaire, fixé pour les « contrats responsables » (95% des contrats), impliquer la transmission d’informations couvertes par le secret médical vers les Ocam.
S’agissant des autres contrats de complémentaire santé, il apparaît que le système visant, dans le cadre du tiers payant, à demander aux professionnels de santé adhérant à un réseau de santé de faire signer à leurs patients un consentement à la transmission des données à l’Ocam pour chaque envoi, ne peut s’appuyer, à ce jour, sur aucune norme juridique particulière ni aucune jurisprudence.
Revoir le cadre juridique
Cependant, la Cnil rappelle que les complémentaires santé sont tenues de respecter les règles fixées par le RGPD et de ne traiter que les données dont ils ont besoin pour assurer le réglement des prestations.
Au regard de l’ensemble de ces éléments, la Commission considère que le cadre législatif actuellement en vigueur ne permet de déduire avec certitude une autorisation pour les Ocam de traiter des données de santé dans tous les cas de figure. Il est donc indispensable que l'encadrement législatif des contrats de complémentaire santé soit revu afin de conforter la licéité de ces traitements.
*Cnil : Commission nationale de l’informatique et des libertés
**Cette analyse reprend, en partie, le courrier adressé par la Cnil aux organismes de complémentaire santé. La Cnil a supprimé certaines parties relevant des échanges particuliers avec chaque destinataire.
Commençons d'abord par espérer une harmonisation des pratiques, dans le cadre du tiers payant, avec obligation pour les OCAM d'informatiser le procédé pour l'ensemble de leurs assurés. Réseaux fermés compris (une exception bien française)...
Obligeons, aussi avant d'aborder ce sujet, toutes les mutuelles à inclure le "Contrat Responsable" dans tous leurs contrats d'assurance dit "de Santé". Son absence résume bien l'esprit...
Rappelons par ailleurs en passant que l'opticien passe par la norme NOEMIE pour bénéficier de la mise en place du tiers payant via la carte vitale et non par le réseau SESAME, comme tout professionnel de Santé reconnu. Cette norme ne permet pas à l'opticien de savoir si la personne bénéficie d'un remboursement obligatoire à 100% lors de la création de la demande. Une aberration de longue date, engendrant des mauvaises saisies aux conséquences de gestion très chronovore et associés à des pertes en tiers payant...
Bref, les mutuelles exigent déjà des données de santé illégitimes, au regard de leurs pratiques financières et de gestion quotidienne vis-à-vis des boutiques, vis-à-vis de leurs adhérents, de manière illégale. La solution de leur donner raison n'est simplement pas souhaitable.
Merci de rappeler que rien ne change…
La justification de cette demande, comme la légalité de la transmission ne sont que très exceptionnellement avérées…
Quelle OCAM possède par exemple une cellule santé dotée d’un médecin conseil, seul habilité à traiter des données de santé ?
CNIL, France, pays démocratique en 2022.