- Les assureurs-maladie peuvent confier des activités auxiliaires à des tiers, mais restent responsables du respect des principes de la LAMal et de la surveillance par l’OFSP.
- Les assureurs doivent garantir la protection des données par contrat, informer les assurés et l’OFSP peut édicter des sanctions et des directives en cas de non-respect.
Interpellation Dormond (03.3613) : Assurance maladie et protection des données
Classé (16.12.2005)
Texte soumis
Récemment, nous avons appris par la presse que certaines caisses d’assurance maladie confient à des entreprises privées le traitement des factures relatives aux prestations prévues par la loi fédérale sur l’assurance maladie (LAMal). Ce travail est donc en quelque sorte sous-traité.
Le Conseil fédéral est prié de répondre aux questions suivantes :
1. a‑t-il été informé de cette nouvelle pratique des assureurs qui gèrent l’assurance maladie sociale et l’a-t-il approuvée au préalable ?
2. a‑t-il été consulté sur la légalité de cette nouvelle pratique et a‑t-il reçu l’assurance que les dispositions de la LAMal seraient respectées ?
3. a‑t-il donné à ces sous-traitants l’autorisation de pratiquer l’assurance maladie de base, comme il le fait pour les assurances maladie ?
4. supervise-t-il les entreprises qui traitent les factures pour les prestations LAMal fournies sur mandat et décident des remboursements, comme il supervise les caisses maladie ?
5. les factures ne peuvent être traitées de manière fiable que si les données des assurés sont connues (entre autres la franchise, la quote-part, les données personnelles). Le Conseil fédéral n’est-il pas d’avis que les caisses-maladie auraient dû informer les membres concernés de cette pratique d’externalisation ?
6. les assurés n’ont pas eu la possibilité d’approuver la démarche des caisses de maladie, d’autant plus qu’ils n’ont pas été informés de l’externalisation. Dans quelle mesure la loi fédérale sur la protection des données (LPD) est-elle encore respectée dans ces circonstances ?
7. quels contrôles le Conseil fédéral a‑t-il mis en place pour garantir le respect de la LPD ?
8. quels contrôles le Conseil fédéral a‑t-il mis en place pour garantir le respect des dispositions de la LAMal ?
<
h1>Raison d’être
<
h1>
Ces deux dernières semaines, la presse a révélé que les caisses maladie sous-traitent le traitement des factures concernant l’assurance de base à des entreprises privées. C’est par exemple le cas de l’assurance KPT/CPT. Celle-ci a, selon la presse, supprimé 45 postes à temps plein dans ce domaine. Elle a prétexté l’entrée en vigueur du tarif médical unifié (TarMed) et le transfert du traitement des factures à une entreprise privée. La manière de procéder des caisses maladie reconnues par la Confédération, qui transfèrent une partie de leurs activités à des entreprises privées qui – rappelons-le – ne sont pas soumises aux mêmes exigences, n’est toutefois pas sans poser problème. Outre la perte définitive des emplois de personnes qui exerçaient un contrôle sur les prestations LAMal payées et qui jouaient un rôle important dans le contrôle des coûts de la santé, on peut se demander si les dispositions légales de la LAMal et de la LPD sont encore respectées. En ce qui concerne la LAMal, les entreprises qui travaillent en sous-traitance peuvent, à l’insu du législateur, contourner le secret professionnel inscrit dans la LAMal. En ce qui concerne la LPD, la question de la transparence se pose, et ce d’autant plus que les assurés n’ont pas appris les faits en question par leurs compagnies d’assurance, mais par la presse.
<
h1>Prise de position du Conseil fédéral
<
h1>
1. il est vrai que plusieurs assureurs-maladie ont de plus en plus externalisé des domaines de leur gestion des prestations ces dernières années, notamment pour réduire les coûts. Certains assureurs, structurés en holdings, ont externalisé des parties du traitement des prestations à l’une de leurs sociétés ; les caisses-maladie plus petites les font traiter en partie par leurs réassureurs, d’autres par des prestataires informatiques. En règle générale, l’autorité de surveillance en est informée.
2) Les assureurs-maladie peuvent en principe confier à des tiers des activités auxiliaires dans le domaine du traitement des prestations, car la loi fédérale sur l’assurance-maladie (LAMal) leur confère une certaine indépendance organisationnelle : ils peuvent concevoir leur organisation de manière appropriée. Cette autonomie trouve ses limites lorsque les objectifs visés par la LAMal (principe de solidarité, principe d’égalité de traitement, principe de réciprocité, affectation des ressources, etc.) sont remis en question ou contournés ; l’autorité de surveillance doit alors intervenir.
3. les assureurs-maladie n’ont pas besoin d’une autorisation de la Confédération pour confier des activités auxiliaires à des tiers. Les tiers eux-mêmes n’ont pas non plus besoin d’autorisation pour exécuter les mandats.
4. le Conseil fédéral a délégué la surveillance de l’assurance-maladie à l’Office fédéral des assurances sociales lors de l’entrée en vigueur de la LAMal et, depuis le 1er janvier 2004, à l’Office fédéral de la santé publique (OFSP). L’autorité de surveillance exige des assureurs qu’elle obtienne les mêmes possibilités de contrôle sur les tiers qui exécutent des tâches des assureurs-maladie que celles dont elle dispose vis-à-vis des assureurs-maladie. Les assureurs-maladie doivent régler cette possibilité de contrôle par contrat avec les tiers.
5/6 Il n’est pas sans poser problème que des tiers obtiennent des connaissances considérables sur les données personnelles des assurés en traitant des factures, etc. En subdéléguant les tâches de l’assurance-maladie sociale, les assureurs-maladie doivent convenir contractuellement avec des tiers que ceux-ci peuvent garantir une protection des données équivalente. Ils doivent contrôler le respect de la protection des données par les tiers. En outre, les assureurs-maladie doivent informer les assurés lorsqu’ils font traiter des tâches par des tiers. L’autorité de surveillance leur a notamment ordonné de mentionner dans leur rapport annuel les domaines d’activité externalisés ainsi que les entreprises mandatées et d’énumérer également les entreprises avec lesquelles ils collaborent dans un domaine élémentaire pour la mise en œuvre de l’assurance-maladie sociale, comme la fourniture de prestations, le contrôle des prestations, la gestion des coûts, la perception des primes et le marketing, indépendamment du fait qu’il s’agisse d’entreprises d’assurance de l’assurance-maladie sociale, d’assurances privées ou d’autres entreprises. Ces rapports d’activité doivent être fournis sur demande, ce qui garantit que les personnes intéressées peuvent s’informer sur les domaines d’activité externalisés. Si un assureur n’a pas rendu une externalisation transparente, il convient d’examiner au cas par cas s’il y a eu violation des dispositions légales.
7) L’OFSP surveille la mise en œuvre de l’assurance-maladie sociale, qui comprend également le respect de la protection des données par l’assureur-maladie. Si un assureur fait traiter des données personnelles par un tiers, il reste responsable de la protection de ces données et doit veiller à ce qu’elles soient traitées conformément au mandat. Dans le cadre de son activité de surveillance, l’OFSP peut également donner des instructions aux assureurs dans le domaine de la protection des données afin d’assurer une application uniforme du droit fédéral (art. 21 LAMal). En cas de non-respect des prescriptions légales, l’autorité de surveillance prendra, selon leur nature et leur gravité, les mesures appropriées conformément à l’art. 21, al. 5 et 5bis LAMal.
8) L’autorité de surveillance contrôle les assureurs dès la reconnaissance et l’autorisation de pratiquer l’assurance-maladie sociale et ensuite par des contrôles permanents. En cas de manquements, l’autorité de surveillance peut prendre les mesures qui s’imposent ; elle peut émettre des directives contraignantes, infliger des amendes d’ordre et, en dernier recours, retirer l’autorisation.