- L’Office fédéral de la santé publique (OFSP) peut donner des instructions contraignantes aux assureurs et infliger des amendes d’ordre pouvant aller jusqu’au retrait de la reconnaissance en cas d’infraction à la protection des données.
- Les médecins-conseils et les mesures techniques et organisationnelles sont essentiels pour protéger les données hautement sensibles des patients ; les intérêts économiques ne justifient pas une violation.
Interpellation Heim (06.3040) : Protection des droits des patients
Classé (20.03.2008).
Texte soumis
Le Conseil fédéral est invité à répondre aux questions suivantes :
1. si et dans quelle mesure les dispositions relatives à la protection des données, en particulier la protection des données médicales très sensibles, sont violées chez certains assureurs-maladie dans le domaine de la LAMal et si les données collectées dans le domaine de la LAMal sont utilisées de manière abusive (p. ex. pour le domaine des assurances privées)
2. comment l’autorité de surveillance s’acquitte de son devoir de surveillance et de contrôle dans ce domaine et garantit que les droits et les prétentions des assurés ne sont pas violés ;
3. quelles sont les mesures éventuellement nécessaires ou effectivement prises pour garantir de manière démontrable et effective les droits et les prétentions des assurés.
Justification
Selon les rapports des médias (“Beobachter” du 19 janvier et du 2 février 2006 ; “Tagesanzeiger” du 20 février 2006), la deuxième plus grande caisse-maladie de Suisse, active en premier lieu dans le domaine de l’assurance-maladie obligatoire (AOS) et qui assure environ 970 000 personnes, gérerait une banque de données électronique contenant des données médicales très sensibles et violerait ainsi, selon les rapports, en partie grossièrement les dispositions de protection des données. Ainsi, un grand cercle d’environ 400 collaborateurs non médecins aurait accès à des dossiers d’assurés que seuls les médecins-conseils prévus par l’article 57 de la LAMal seraient autorisés à consulter. S’il s’avérait effectivement que des collaborateurs du centre de services, c’est-à-dire de l’administration pure, aient également accès à de telles données, cela poserait problème : d’une part pour des raisons de protection des données et de droit de la personnalité, d’autre part parce que les données collectées par cette caisse-maladie dans le cadre de l’AOS sont apparemment également disponibles pour son domaine d’assurance privée (service des propositions, demandes externes, etc.).
Selon le rapport du “Beobachter”, le système de cette caisse, conçu en soi pour une gestion des données conforme à la loi, semble être sciemment contourné par les responsables de la caisse pour des raisons de gestion d’entreprise (“des conceptions exagérées de la protection des données ne doivent pas entraîner un surcroît de travail administratif évitable”). Dans de telles circonstances, la manière dont l’Office fédéral de la santé publique entend assumer son devoir de surveillance et de contrôle est incompréhensible, puisqu’il semble vouloir se contenter d’inviter cette caisse à prendre position.
Des mesures doivent être prises, éventuellement des directives contraignantes doivent être édictées, afin que la surveillance et le contrôle du respect de l’ordre juridique puissent être effectivement exercés. La caisse concernée doit immédiatement s’assurer que l’accès aux données hautement sensibles est limité selon les critères de la protection des données, c’est-à-dire qu’il est limité en termes de personnel à un nombre maximal de six à sept personnes et en termes de temps à la durée pendant laquelle une question concrète relative au cas est traitée, c’est-à-dire environ un jour à deux semaines.
Il est réjouissant de constater que, selon les articles de presse mentionnés, la grande majorité des caisses semble respecter les règles. Néanmoins, le comportement d’une seule caisse a également des répercussions sur la situation de concurrence entre les caisses qui était jusqu’à présent exigée dans le domaine de l’assurance-maladie, dans la mesure où une telle caisse s’octroie ainsi des avantages sur le marché et provoque ainsi une distorsion de la concurrence. Cela exerce une pression sur les autres caisses pour qu’elles aillent dans la même direction. Il faut y mettre un terme dans l’intérêt des patients, de l’égalité des droits et d’une concurrence loyale.
<
h1>Prise de position du Conseil fédéral
<
h1>
1. les assureurs-maladie sont eux-mêmes responsables du respect de la protection des données dans l’assurance obligatoire des soins (AOS) selon la LAMal. Ils ne peuvent traiter des données personnelles que s’ils peuvent s’appuyer sur une base légale. Les assureurs doivent en outre prendre toutes les mesures juridiques et organisationnelles nécessaires pour protéger les données personnelles. Au sein de l’entreprise, la garantie de la protection des données médicales relève de la responsabilité des médecins-conseils (art. 57, al. 7 LAMal).
Dans le domaine des assurances complémentaires, les assureurs ne sont pas soumis aux conditions strictes de la législation sur la protection des données concernant le traitement des données personnelles par les organes fédéraux, mais aux autres dispositions de la loi fédérale sur la protection des données (RS 235.1). Les assureurs complémentaires peuvent donc traiter des données sur les assurés dans la mesure où elles sont nécessaires à une gestion adéquate.
Lors de la mise en œuvre de l’AOS et de l’assurance complémentaire, les données ne sont souvent pas traitées de manière totalement séparée au sein de l’entreprise. Cela peut avoir des conséquences insatisfaisantes pour la protection de la personnalité des assurés. La loi a toutefois prévu une protection. Dans des cas justifiés et à la demande des personnes assurées, les fournisseurs de prestations sont dans tous les cas tenus de ne communiquer les données médicales qu’aux médecins-conseils. Ceux-ci ne peuvent alors transmettre à l’administration des assureurs que les données nécessaires pour décider de l’obligation de prestation, fixer la rémunération ou motiver une décision. Ce faisant, ils respectent les droits de la personnalité des assurés, faute de quoi ils se rendent punissables.
2. l’Office fédéral de la santé publique (OFSP), en tant qu’autorité de surveillance compétente, peut également donner des instructions aux assureurs dans le domaine de la protection des données afin d’assurer une application uniforme du droit fédéral (art. 21 LAMal). En cas de non-respect des prescriptions légales, l’autorité de surveillance prend les mesures appropriées en fonction de leur nature et de leur gravité (instructions contraignantes, amendes d’ordre et, en dernier recours, retrait de la reconnaissance et de l’autorisation).
L’OFSP s’est déjà penché à plusieurs reprises sur les questions de protection des données. L’attention s’est surtout portée sur les formulaires d’adhésion dans lesquels des questions contraires à la loi étaient posées sur l’état de santé des personnes intéressées. L’OFSP a donc édicté le 9 mars 2005 la circulaire “Protection des données et de la personnalité”, qui règle la protection des données et de la personnalité lors de la conclusion d’une assurance AOS. La modification de l’ordonnance décidée par le Conseil fédéral le 26 avril 2006 (art. 6a de l’ordonnance sur l’assurance-maladie ; RS 832.102) va dans le même sens en interdisant aux assureurs de régler sur le même formulaire l’adhésion à l’AOS et en même temps la proposition d’assurance facultative. Cette séparation vise à réduire le risque de traitement illicite des données.
L’OFSP enquête actuellement auprès de l’assureur mentionné dans l’interpellation sur les reproches formulés par le public. En fonction des résultats de cette enquête, l’OFSP prendra éventuellement des mesures de surveillance. Par ailleurs, dans le cadre de ses ressources, l’OFSP examinera à l’avenir davantage les fichiers des assureurs avec l’Office fédéral des assurances privées et invitera également le Préposé fédéral à la protection des données à y participer.
3. les médecins-conseils occupent une position clé dans la réalisation de la protection de la personnalité dans l’AOS. Ils doivent parfois communiquer des données médicales ou personnelles sensibles lorsque le service des prestations ou le service juridique d’un assureur-maladie en a besoin pour prendre une décision. Les assureurs doivent protéger les données personnelles contre toute consultation non autorisée, y compris au sein de l’entreprise, par des mesures techniques et organisationnelles appropriées. Selon la jurisprudence du Tribunal fédéral, il faut fixer des critères élevés à cet égard (cf. ATF 131 II 413). Les arguments économiques des assureurs ne justifient pas la violation des droits de la personnalité.
Dans ce contexte, les mesures dont dispose l’OFSP remplissent leur objectif. Le Conseil fédéral ne juge pas nécessaire de prendre d’autres mesures.