La Fédération nationale de la Mutualité française (FNMF) avait indiqué à APMnews (site du groupe APM International dont fait partie TICpharma), début mars, qu’une question concernant la transmission des données aux organismes complémentaires d’assurance maladie (Ocam) avait été posée par la Cnam à la Cnil dans le cadre de la réforme du 100% santé.
La réforme du 100% santé (ex-« reste à charge zéro » – RAC 0), vise à proposer aux assurés, pour les audioprothèses, les prothèses dentaires et l’optique, des paniers de soins sans reste à charge, après remboursements de l’assurance maladie obligatoire et des complémentaires santé, rappelle-t-on.
Dans un courrier du 20 avril mis en ligne par l’Ouïe magazine (que la Cnam et la Cnil, sollicitées jeudi, n’ont pas souhaité transmettre à APMnews), la Cnil précise que la question porte sur la « compatibilité de la transmission par la Cnam, dans le cadre de la mise en oeuvre de la réforme du ‘100% santé’, des codes affinés [et non plus uniquement des codes de regroupement, NDLR] aux organismes complémentaires avec les dispositions de la réglementation sur la protection des données à caractère personnel ».
Elle évoque « le principe de minimisation des données », posé par le règlement général de la protection des données (RGPD), selon lequel les données à caractère personnel transmises doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Selon la Cnil, ce principe « doit s’appliquer de manière stricte pour identifier la granularité des données de santé à caractère personnel susceptibles d’être transmises » aux Ocam.
Actuellement, les complémentaires n’ont qu’un accès limité aux données de remboursement des assurés. Ainsi, alors que la classification commune des actes médicaux (CCAM) technique comporte près de 8.000 actes, les complémentaires n’ont accès qu’à six codes de regroupement. Elle avait toutefois obtenu en 2013 16 codes de regroupement pour la CCAM bucco-dentaire.
La question est donc de savoir si les codes détaillés ou « affinés », auxquels les Ocam n’ont aujourd’hui pas accès, sont « strictement nécessaires » à l’exercice de leur mission. La commission distingue deux situations.
S’agissant du panier 100% santé, la Cnil estime que « sous réserve des quelques ajustements nécessaires auxquels la Cnam a indiqué pouvoir rapidement procéder pour l’audiologie (création prochaine de deux codes de regroupement supplémentaires), l’application de ce principe amène à considérer, au vu des éléments transmis, que la transmission des codes regroupés semble suffisante pour permettre aux Ocam de liquider les dépenses de santé ».
En dehors du 100% santé, la mise en oeuvre du principe de minimisation des données implique de « réfléchir, au cas par cas, à l’étendue des données à transmettre aux fins de prise en charge des frais de santé, en prenant en compte les clauses contractuelles ‘fines’ qui pourraient être inscrites au contrat de chacun des assurés » et de « s’interroger sur le bien-fondé d’un dispositif qui conduirait à transmettre de manière systématique certaines données de santé à caractère personnel aux Ocam (notamment des codes affinés, prescriptions médicales, devis, etc.) », souligne la Cnil.
Dans une telle hypothèse, il faudrait alors réfléchir aux garanties de protection des droits et libertés des assurés, et examiner « en partenariat avec le ministère des solidarités et de la santé et les Ocam, […] l’opportunité de maintenir l’actuelle demande des Ocam d’obtenir des pièces complémentaires au titre de l’exécution des garanties contractuelles ».
La Cnil appelle à réfléchir à « la sécurisation de l’échange des données de santé nécessaires à la mise en oeuvre de la réforme du ‘100% santé' », à réaliser « un travail sur les codes affinés qui seraient trop signifiants en ce qu’ils pourraient révéler une pathologie qui n’est pas en lien direct avec la prise en charge en optique, audiologie ou dentaire » ou encore à encadrer strictement les « finalités de l’utilisation des codes affinés par les Ocam ». « Cet encadrement pourrait prendre la forme d’un référentiel, d’un guide, d’un code de conduite, etc. », précise la Cnil.
Elle préconise enfin de réfléchir à restreindre la durée de conservation des données, à limiter leur accès aux seules personnes en charge de la liquidation des prestations et organiser des procédures d’audit.
