Inter­pel­la­ti­on Pre­licz-Huber (09.3515) : Gesti­on des cas. Att­ein­tes illé­ga­les au secret des pati­ents et vio­la­ti­on de la pro­tec­tion des données

FR 
FR  DE  EN 

de

sur le site

Bran­ches

,

Auto­ri­té

Lois

Thè­mes

Ven­te à emporter (AI)
  • Le responsable de la pro­tec­tion des don­nées du can­ton de Zurich atti­re l’at­ten­ti­on sur les accès illé­gaux des case mana­gers aux don­nées des patients.
  • Les assur­eurs mala­die ont beso­in de con­sen­te­ments vali­des et éclai­rés ; les obli­ga­ti­ons d’in­for­ma­ti­on envers les assu­rés ne sont pas suf­fi­sam­ment remplies.
  • L’OFSP/EDÖB recom­man­de des con­cepts de pro­tec­tion des don­nées, des regi­stres de coll­ec­te de don­nées, des respons­ables et des audits exter­nes chez les assureurs.
  • Le droit fédé­ral (LPD, LAMal, LPGA) s’ap­pli­que ; les auto­ri­tés de sur­veil­lan­ce con­trô­lent les assur­eurs indi­vi­du­el­le­ment, une modi­fi­ca­ti­on de la loi n’est pas jugée néces­saire pour le moment.

Inter­pel­la­ti­on Pre­licz-Huber (09.3515) : Gesti­on des cas. Att­ein­tes illé­ga­les au secret des pati­ents et vio­la­ti­on de la pro­tec­tion des données
Fait (25.09.2009)

Tex­te soumis

Dans son 14e rap­port d’ac­ti­vi­tés du 3 mars 2009, le pré­po­sé à la pro­tec­tion des don­nées du can­ton de Zurich a clai­re­ment indi­qué que les gesti­on­n­aires de cas (case mana­gers) des assur­eurs-mala­die peu­vent accé­der de maniè­re éten­due aux don­nées de san­té dans les hôpi­taux, vio­lant ain­si par­fois mas­si­ve­ment la pro­tec­tion des don­nées et le secret des pati­ents. Les con­ven­ti­ons exi­stan­tes ent­re les assur­eurs et les hôpi­taux ne règ­lent que l’ac­ti­vi­té de coor­di­na­ti­on des gesti­on­n­aires de cas et con­ti­en­nent des dis­po­si­ti­ons insuf­fi­san­tes con­cer­nant la pré­ser­va­ti­on du secret médi­cal et du secret des pati­ents ou des indi­ca­ti­ons sur un devoir d’in­for­ma­ti­on de la part des assur­eurs. Une régle­men­ta­ti­on léga­le dans la loi sur l’assu­rance-mala­die fait défaut.

Les assur­eurs-mala­die se pro­cu­rent des don­nées sen­si­bles sur la san­té même sans le con­sen­te­ment des pati­ents et dis­po­sent par exemp­le avant eux d’in­for­ma­ti­ons tel­les que le dia­gno­stic, les mesu­res thé­ra­peu­ti­ques ou la durée pro­ba­ble de l’hos­pi­ta­li­sa­ti­on. Même lorsqu’u­ne décla­ra­ti­on de con­sen­te­ment est obte­nue, l’in­for­ma­ti­on néces­saire des pati­ents fait mani­fe­stem­ent défaut. Cet­te situa­ti­on into­lé­ra­ble va si loin que les hôpi­taux sont même invi­tés par les assu­ran­ces à signal­er à l’assur­eur les per­son­nes qui ne sign­ent pas la décla­ra­ti­on. Cet­te situa­ti­on ne peut plus être tolérée.

Plu­sieurs que­sti­ons se posent à ce sujet au Con­seil fédéral :

1. bien que l’au­to­ri­té fédé­ra­le de sur­veil­lan­ce ait été infor­mée dès 2007 par plu­sieurs par­ties des agis­se­ments illé­gaux des assur­eurs, rien n’a été ent­re­pris à ce sujet. Pourquoi ?

2. com­ment juge-t-il la gesti­on du secret médi­cal et du secret des pati­ents lorsque les gesti­on­n­aires de cas app­ren­nent sou­vent beau­coup plus que ce qui est néces­saire, par leur par­ti­ci­pa­ti­on à des rap­ports ou à des pla­ni­fi­ca­ti­ons de traitement ?

3. com­ment voit-il la suite à don­ner à cet­te démar­che des assu­ran­ces mala­die qui vio­le la loi sur la pro­tec­tion des données ?

4. quel­les sont les mesu­res pri­ses pour garan­tir la pro­tec­tion des pati­ents et assurer dura­blem­ent la con­for­mi­té avec la pro­tec­tion des données ?

5. a‑t-il l’in­ten­ti­on de prend­re au sérieux la pro­tec­tion des don­nées dans les cont­rats déjà exi­stants et de véri­fier leur léga­li­té, le respect de l’ob­li­ga­ti­on d’in­for­ma­ti­on et de la pro­tec­tion des données ?

6. envi­sa­ge-t-il de modi­fier la loi ? Si oui, dans quel sens ?

<

h1>Prise de posi­ti­on du Con­seil fédéral

<

h1>

1. le Con­seil fédé­ral a déjà con­sta­té, à l’oc­ca­si­on de deux inter­ven­ti­ons par­le­men­tai­res pré­cé­den­tes (postu­lat Heim 08.3493, que­sti­on Schen­ker Sil­via 09.5060), qu’il était néces­saire d’a­gir en matiè­re de pro­tec­tion des don­nées dans le domaine de l’assu­rance obli­ga­toire des soins (AOS). Une enquête qui vient d’êt­re publiée par le Pré­po­sé fédé­ral à la pro­tec­tion des don­nées et à la trans­pa­rence (Edöb) et l’Of­fice fédé­ral de la san­té publi­que (OFSP) expo­se main­tenant de maniè­re plus nuan­cée que la pro­tec­tion des don­nées est lar­ge­ment garan­tie auprès des assur­eurs-mala­die qui pra­ti­quent l’assu­rance obli­ga­toire des soins et l’assu­rance facul­ta­ti­ve d’in­dem­ni­tés jour­na­liè­res selon la loi fédé­ra­le sur l’assu­rance-mala­die (LAMal ; RS 832.10), mais qu’il est néces­saire d’a­gir dans cer­ta­ins domain­es. Avec la publi­ca­ti­on du rap­port, les recom­man­da­ti­ons sui­van­tes ont été adres­sées aux assur­eurs-mala­die, dont la mise en œuvre sera véri­fi­ée dans le cad­re de la sur­veil­lan­ce des assur­eurs-mala­die au cours des pro­chains mois :

Chaque assur­eur-mala­die dev­rait éla­bo­rer un con­cept de pro­tec­tion des don­nées (stra­té­gie). Un regist­re des fichiers doit être tenu par chaque assur­eur-mala­die. Un règle­ment de trai­te­ment doit être éta­b­li pour chaque fichier con­tenant des don­nées per­son­nel­les sen­si­bles (descrip­ti­on des pro­ce­s­sus, y com­pris les responsa­bi­li­tés, les auto­ri­sa­ti­ons, le flux de don­nées ain­si que les mesu­res tech­ni­ques de sécu­ri­té des don­nées). Chaque assur­eur-mala­die dev­rait dési­gner un responsable de la pro­tec­tion des don­nées et un maît­re de fichier pour chaque fichier. Les tâches de ces rôles sont décri­tes dans un cahier des char­ges. Les respons­ables de la pro­tec­tion des don­nées doi­vent dis­po­ser des con­nais­sances tech­ni­ques néces­saires. Des audits de pro­tec­tion des don­nées exter­nes à l’ad­mi­ni­stra­ti­on doi­vent être réa­li­sés régu­liè­re­ment et les résul­tats doi­vent être sou­mis aux auto­ri­tés de surveillance.

2. bien que le case manage­ment ne soit pas expli­ci­te­ment régle­men­té par la LAMal, les dis­po­si­ti­ons rela­ti­ves à la pro­tec­tion des don­nées s’ap­pli­quent de la même maniè­re. Les assu­rés dont les examens et les trai­te­ments sont accom­pa­gnés par un case mana­ger doi­vent, en ver­tu des prin­cipes de la LAMal (p. ex. choix du four­nis­seur de pre­sta­ti­ons ou de la métho­de de trai­te­ment) et des dis­po­si­ti­ons per­ti­nen­tes en matiè­re de pro­tec­tion des don­nées, don­ner leur con­sen­te­ment volon­tai­re et expli­ci­te à cet accom­pa­gne­ment ain­si qu’à la con­sul­ta­ti­on de leurs don­nées médi­cal­es qui en découle. La vali­di­té de leur con­sen­te­ment sup­po­se qu’ils aient été pré­ala­blem­ent infor­més de maniè­re adé­qua­te par leur assur­eur-mala­die et qu’ils soi­ent en mesu­re de com­prend­re la por­tée de leur accord. En out­re, ils doi­vent être infor­més par le four­nis­seur de pre­sta­ti­ons ou l’assur­eur-mala­die que le four­nis­seur de pre­sta­ti­ons est en droit, dans des cas justi­fi­és, et en tout cas tenu, à la deman­de de la per­son­ne assu­rée, de ne com­mu­ni­quer des don­nées médi­cal­es qu’au méde­cin-con­seil de l’assureur-maladie.

Les assur­eurs-mala­die sont habi­li­tés à trai­ter les don­nées per­son­nel­les, y com­pris les don­nées sen­si­bles et les pro­fils de la per­son­na­li­té, dont ils ont beso­in pour accom­plir les tâches qui leur sont con­fiées en ver­tu de la loi, notam­ment pour éva­luer le droit aux pre­sta­ti­ons et cal­cu­ler les pre­sta­ti­ons. Ce faisant, ils doi­vent respec­ter stric­te­ment le prin­ci­pe de pro­por­ti­on­na­li­té et ne peu­vent pas con­clu­re avec les four­nis­seurs de pre­sta­ti­ons des accords qui leur don­ner­ai­ent accès à des don­nées sur la san­té des assu­rés dont ils n’ont pas beso­in pour accom­plir les tâches qui leur sont con­fiées en ver­tu de la loi.

3/4 La situa­ti­on en matiè­re de pro­tec­tion des don­nées dans le domaine du case manage­ment varie d’un assur­eur-mala­die à l’aut­re. Les auto­ri­tés de sur­veil­lan­ce s’adress­e­ront donc indi­vi­du­el­le­ment aux assur­eurs-mala­die con­cer­nés afin d’a­mé­lio­rer la situa­ti­on en matiè­re de pro­tec­tion des données.

5. la pro­blé­ma­tique sou­le­vée par le pré­po­sé à la pro­tec­tion des don­nées du can­ton de Zurich con­cer­ne les cont­rats con­clus ent­re les hôpi­taux et les assur­eurs-mala­die au niveau can­to­nal. L’ex­amen et l’ap­pro­ba­ti­on de tels cont­rats (tarifai­res) incom­bent aux auto­ri­tés can­to­na­les. Il en va de même pour le respect de la pro­tec­tion des don­nées. En ce qui con­cer­ne les régle­men­ta­ti­ons dans les con­ven­ti­ons tarifai­res, il con­vi­ent de noter que le Tri­bu­nal admi­ni­stra­tif fédé­ral a récem­ment éta­b­li, dans son arrêt du 29 mai 2009, que “la trans­mis­si­on du dia­gno­stic et du code d’in­ter­ven­ti­on avec l’an­non­ce d’en­trée, respec­ti­ve­ment avec la fac­tu­ra­ti­on – dans le cad­re notam­ment du prin­ci­pe de pro­por­ti­on­na­li­té et des aut­res dis­po­si­ti­ons rela­ti­ves à la pro­tec­tion des don­nées – n’est admis­si­ble que si sa for­me exac­te est réglée selon le prin­ci­pe de l’in­ter­ven­ti­on la plus fai­ble possible …”.

6) La loi fédé­ra­le sur la pro­tec­tion des don­nées (LPD ; RS 235.1) et l’or­don­nan­ce rela­ti­ve à la loi fédé­ra­le sur la pro­tec­tion des don­nées (OLPD ; RS 235.11) s’ap­pli­quent inté­gra­le­ment aux assur­eurs-mala­die en tant qu’or­ga­nes fédé­raux. L’ar­tic­le 33 de la loi fédé­ra­le sur la par­tie géné­ra­le du droit des assu­ran­ces socia­les (LPGA ; RS 830.1) pré­voit une obli­ga­ti­on géné­ra­le de gar­der le secret pour les orga­nes d’exé­cu­ti­on des assu­ran­ces socia­les. Avec les artic­les 84 et 84a LAMal ain­si que les artic­les 59 et 120 de l’or­don­nan­ce sur l’assu­rance-mala­die (OAMal ; RS 832.102), il exi­ste des dis­po­si­ti­ons spé­cia­les sup­p­lé­men­tai­res con­cer­nant le trai­te­ment des don­nées per­son­nel­les, la com­mu­ni­ca­ti­on des don­nées, la garan­tie de la pro­tec­tion des don­nées et l’in­for­ma­ti­on des assu­rés par les assur­eurs-mala­die. En rai­son de ces nor­mes de pro­tec­tion des don­nées dans le domaine de l’assu­rance-mala­die, aucu­ne aut­re dis­po­si­ti­on de pro­tec­tion des don­nées n’est néces­saire pour le case management.