Ocam et protection des données de santé: la CNIL recommande l’adoption d’une loi

Le 17 Novembre 2022

En réponse à de nombreuses plaintes, la CNIL appelle à clarifier et sécuriser le cadre juridique pour l’utilisation de données de santé par les organismes d'assurance maladie complémentaire.

cnil

Depuis 2 ans, la CNIL a été saisie des centaines de plaintes mettant en cause une cinquantaine d'Ocam. Ces plaintes portaient en majorité sur la possibilité légale, pour ces organismes, de recevoir des données de santé générées par les professionnels de santé. La commission a donc examiné la possibilité pour les Ocam de collecter ces données, en conformité avec le RGPD et la loi Informatique et Libertés, qui encadrent les traitements de données sensibles et en respectant le secret professionnel applicable aux données de santé.

La position de la CNIL

- Possibilité d'utiliser les données sous conditions: la CNIL considèrent bien que les données telles que les codes, ordonnances et prescriptions sont protégées par le RGPD et couvertes par le secret médical. Néanmoins, elle constate que les Ocam peuvent utiliser ces données pour procéder aux remboursements de leurs assurés, mais que les textes de loi sont trop lacunaires et devraient fournir un encadrement et des garanties appropriées. Elle rappelle également que les organismes complémentaires doivent respecter les règles fixées par le RGPD et donc ne traiter que les données dont ils ont besoin pour assurer leurs prestations.

- Encadrement du secret médical: la CNIL indique que les textes actuels sont insuffisants car les informations transmises aux Ocam par les professionnels de santé sont couvertes par le secret médical. Une dérogation au secret médical est donc nécessaire, or elle est actuellement soit très implicite, soit inexistante. La loi doit donc être précisée pour encadrer cette dérogation et prévoir des garanties appropriées.

- Les transmissions peuvent continuer: en attendant une modification de la loi, les transmissions peuvent se fairepour les contrats responsables. Pour les autres, le patient doit transmettre les informations lui-même à son Ocam ou autoriser le professionnel de santé à le faire.

La CNIL souhaite donc l'adoption d'une loi pour encadrer et sécuriser la transmission de ces données.