La Cnil appelle les législateurs à mettre de l’ordre dans les règles encadrant les données de santé

Raccoon

La Cnil estime qu’il est “indispensable de revoir le cadre juridique” relatif à la transmission des données de santé aux mutuelles et à la bonne application du secret médical, pointant du doigt quelques lacunes législatives.

La Commission nationale de l’informatique et des libertés (CNIL) a publié lundi 14 novembre son analyse juridique portant sur la transmission de données de santé aux organismes d’assurance maladie complémentaire (OCAM), en réponse à des centaines de plaintes reçues depuis 2020 et mettant en cause une cinquantaine de mutuelles.

Elle s’est ainsi penchée sur la légalité de la collecte des ordonnances ou des prescriptions médicales, par exemple, laissant apparaître des données sensibles qui tombent normalement sous le coup du secret médical. L’article 9 du RGPD prévoit que le traitement des données de santé, au même titre que celui des données personnelles relatives à l’origine raciale ou à l’orientation sexuelle d’un individu par exemple, est tout simplement interdit, sauf à respecter certaines conditions très strictes.

Des lacunes dans le droit national

Alors que la Cnil reconnaît que ces traitements reposent bel et bien sur une base légale prévue par la réglementation européenne, soit la bonne exécution d’un contrat d’assurance, elle pointe du doigt un petit vide juridique dans le droit national.

Bien que l’article 44 de la loi Informatique et Libertés, qui vient préciser le RGPD, autorise les “traitements comportant des données concernant la santé justifiés par l’intérêt public”, le texte impose qu’ils soient “conformes aux dispositions de la section 3 du chapitre III” de cette même loi. Cette section porte exclusivement sur les traitements soumis à une déclaration ou une autorisation de la Cnil alors même que les organismes d’assurance maladie complémentaire en sont exemptés (article 65).

Si la Cnil souligne néanmoins que l’article L. 871-1 du code de la sécurité sociale, tel qu’applicable depuis le 1er janvier 2022 pourrait, “en combinaison avec ces articles”, combler les lacunes pour la très grande majorité des mutuelles, celles désormais dites “responsables”, elle note que “le cadre législatif actuellement en vigueur ne permet de déduire avec certitude une autorisation pour les OCAM de traiter des données de santé dans tous les cas de figure”.

Besoin d’une dérogation plus explicite

Quant à la protection du secret médical, le régulateur français estime là aussi que les législateurs auraient tout intérêt à clarifier les règles. La loi française prévoit que ce secret ne lie pas le patient lui-même, qui peut ainsi de sa propre initiative transmettre ses données personnelles couvertes à l’organisme ou à l’individu de son choix. Mais, lorsqu’il s’agit d’une transmission effectuée par des professionnels de santé eux-mêmes, les choses se compliquent. Dans ce cas, les médecins doivent y être expressément autorisés par la loi.

Sauf que, “en l’espèce, la Commission n’a identifié aucune disposition générale créant une telle dérogation au secret médical au profit des OCAM”, note l’analyse juridique de la Cnil, citant ensuite l’exemple du mécanisme de tiers payant qui conduit les médecins, par exemple, à communiquer les prestations remboursables aux organismes d’assurance maladie obligatoire, qui relaient ensuite ces informations aux mutuelles.

“Un encadrement législatif autorisant explicitement les professionnels de santé à transmettre aux OCAM des données couvertes par le secret médical et encadrant les modalités de cette transmission est donc nécessaire”, estime la Cnil. Que ce soit pour le régime d’exception pour le traitement des données de santé ou des règles encadrant le respect du secret médical, l’autorité juge “indispensable de revoir le cadre juridique applicable” et appelle à l’adoption d’une nouvelle loi. Ces conclusions ont été transmises au ministère de la Santé.

Source : usine-digitale.fr

Cellule732

Hélas, voeu pieu!!! La CNIL ne fournit que des avis consultatifs et la loi reste superieure a ses avis…

Ce qui me gene surtout, c’est l’utilisation de plateformes de stockage gerees et implantées hors de france, louées par les gestionnaires de données de santé. Meme la CPAM avec leur DMP ne stocke rien en France… La France n’est meme pas capable de fabriquer et de gerer un datacenter dédié a la santé sur son propre sol, pour avoir la souveraineté sur les données médicales de la population.