La CNIL souhaite renforcer l'encadrement de l'utilisation des données de santé par les mutuelles
En réponse à de nombreuses plaintes, la CNIL précise dans quelles conditions les organismes d’assurance maladie complémentaire peuvent collecter des données de santé. Elle constate que les textes applicables ne sont pas suffisamment précis et nécessitent parfois un consentement individuel du patient. Elle recommande l’adoption d’une loi.
Depuis 2020, la CNIL a reçu des centaines de plaintes mettant en cause une cinquantaine de mutuelles.
Ces plaintes portaient, en majorité, sur la possibilité légale pour ces organismes, de recevoir des données générées par les professionnels de santé pour :
le suivi des patients, via les ordonnances et prescriptions médicales ;
le remboursement des dépenses de santé, sous la forme de codes spécifiques, utilisés dans le cadre de la sécurité sociale (code dits affinés ou regroupés selon leur précision).
En réponse à ces plaintes, la CNIL a donc examiné les conditions de collecte et d'utilisation de telles données :
en conformité avec le règlement général sur la protection des données (RGPD) et la loi Informatique et Libertés, qui encadrent les traitements de données sensibles ;
mais également avec le secret professionnel applicable à ces données de santé.
La CNIL considère que l’ensemble de ces données (codes, ordonnances, prescriptions…) sont des données personnelles de santé, protégées par le RGPD et couvertes par le secret médical.
La CNIL constate que les OCAM peuvent utiliser des données de santé pour procéder aux remboursements de leurs assurés mais estime que les textes sont trop lacunaires : ces derniers devraient affirmer cette possibilité plus nettement, en fournissant un encadrement et des garanties appropriées, eu égard à la sensibilité de ces données.
En outre, la CNIL rappelle que les OCAM sont tenus de respecter les règles fixées par le RGPD, et de ne traiter que les données dont ils ont besoin pour assurer leurs prestations.