Lexipedia

09.1025 · Question · 2009-03-18

Département de l'intérieur

Liquidé

Wortlaut

Constatations :

1. Dans son travail de master, Madame Y. Prieur montre que la loi sur la protection des données est plus libérale pour les personnes privées que les dispositions de protection des données ne le sont pour les organes fédéraux.

2. Dans les réponses qu'il a données à plusieurs interventions, le Conseil fédéral arrive à la conclusion qu'il y a des assureurs qui ne garantissent pas suffisamment la protection des données et de la personnalité.

3. Le transfert de données entre hôpitaux et caisses-maladie fait l'objet de critiques de la part des responsables cantonaux de la protection des données. Il soulève la question de savoir si la protection des données est garantie dans le cadre de l'utilisation des données de santé par les assurances privées, et, dans l'affirmative, comment elle l'est. Il y a des compagnies privées pratiquant l'assurance des bâtiments et l'assurance-accidents qui prévoient des autorisations très étendues dans leurs conditions générales, ces dernières devant impérativement être signées pour que le contrat d'assurance prenne effet. A titre d'exemple, l'assurance-accidents de la Bâloise, qui fait partie du Groupe Bâloise au même titre que la banque de la Bâloise et que l'assurance-vie de la Bâloise, exige dans les conditions générales un accès quasiment intégral aux données de santé : le soussigné autorise la Bâloise, compagnie d'assurance, à traiter les données nécessaires à l'optimisation permanente des prestations offertes sur le marché. La Bâloise peut notamment transmettre des données, à des fins de traitement, à des coassureurs, à des réassureurs, à des tiers concernés et aux sociétés du Groupe Bâloise. Elle peut se procurer toute information utile auprès des fournisseurs de prestations médicales (médecins, psychologues, laboratoires, hôpitaux), auprès des assureurs sociaux (AVS, AI, LAA, LAMal) et privés, des services administratifs, des employeurs et de tiers, et consulter leurs dossiers. Le soussigné autorise les personnes et les institutions concernées à transmettre les données à la Bâloise et les libère à cet effet de leur obligation de confidentialité.

1. Est-il justifié, du point de vue du droit de la protection des données, ou existe-t-il une réglementation empêchant qu'une banque puisse consulter les données de santé de ses clients par le biais de leur contrat d'assurance-accidents ?

2. Est-il justifié et licite, du point de vue du droit de la protection des données, que même une compagnie d'assurance des bâtiments (La Mobilière) exige, pour la conclusion d'un contrat, que le preneur d'assurance l'autorise à se procurer toutes les informations utiles auprès de tiers (médecin)? (Réponse de La Mobilière : elle est tributaire du traitement des données et de leur transmission, que ce soit à l'intérieur ou à l'extérieur du groupe, car ses prestations sont fournies par des entreprises en Suisse et à l'étranger qui sont indépendantes sur le plan juridique.)

3. Les autorités de surveillance et les autorités de protection des données, ou encore la FINMA, examinent-elles si les conditions générales des assurances privées sont conformes aux dispositions sur la protection des données ?

4. Que pense le Conseil fédéral des exigences figurant dans les conditions générales ? Faut-il édicter des règles supplémentaires dans le secteur des assurances privées pour protéger la population contre l'usage abusif qui pourrait être fait des données personnelles, en particulier des données de santé à caractère sensible ?

Stellungnahme des Bundesrates

Les points soulevés ont trait à l'utilisation par les assureurs privés des données personnelles et des données de santé, et mènent à l'interrogation suivante : au regard du droit à l'autodétermination dont jouissent les assurés, les autorisations utilisées lors de la conclusion d'assurances avec des compagnies privées constituent-elles un consentement valable à la communication et au traitement ultérieur de ces données ?

1./2. La loi sur la surveillance des assurances (LSA) et la loi sur le contrat d'assurance (LCA) ne contiennent, hormis les dispositions concernant le devoir d'information précontractuel incombant aux intermédiaires, la détection précoce et la collaboration interinstitutionnelle, aucune prescription relative au droit de la protection des données. Aussi la question de savoir si la manière de procéder des assureurs est justifiée au regard de ce droit doit-elle être appréciée surtout en référence aux dispositions applicables en matière de protection des données (loi sur la protection des données, LPD, y compris ordonnances et réglementations qui en découlent).

Le traitement de données personnelles obéit aux principes de proportionnalité, d'opportunité et de transparence en vertu des dispositions de l'article 4 alinéas 3, 4 et 5 LPD. S'y ajoutent, dans le domaine de l'assurance privée, les principes très importants de la reconnaissance de la collecte de données et de la finalité de leur traitement. Sachant que les données de santé sont des données personnelles particulièrement sensibles dont le traitement requiert sur le plan légal l'accord exprès de la personne concernée et, de surcroît, ne peut être considéré comme valable que s'il a été précédé d'une information adéquate, le devoir d'information des assureurs doit satisfaire à de hautes exigences.

3. Dans les secteurs évoqués, à savoir l'assurance des bâtiments et l'assurance-accidents privée, comme d'ailleurs dans la plupart des autres secteurs, les conditions générales d'assurance (CGA) ne sont pas soumises à l'approbation de l'Autorité fédérale de surveillance des marches financiers (FINMA). En conséquence, elles peuvent s'appliquer sans examen préalable de la part de la FINMA. Les autorités de surveillance ne procèdent pas à l'examen systématique des CGA ni de leurs dispositions relatives à la protection des données dans les secteurs précités.

Cependant, les procédures de déclaration et d'investigation mises en place par le Préposé fédéral à la protection des données et à la transparence (PFPDT), de même que, si nécessaire, une procédure ultérieure devant le Tribunal administratif fédéral garantissent la possibilité de modifier ou d'interdire, dans le secteur privé, les méthodes de traitement susceptibles de porter atteinte à la personnalité d'un nombre important de personnes (art. 29 LPD).

4. L'instauration d'un contrôle généralisé du contenu des CGA a déjà été thématisée dans le cadre d'autres projets de révision en cours (la révision de la loi fédérale contre la concurrence déloyale, par exemple). Quoi qu'il en soit, la FINMA est d'ores et déjà habilitée, en vertu des dispositions de l'art. 46, al. 1, LSA, à examiner sur demande de telles CGA au cas par cas. Ce faisant, il lui appartient également de prendre en considération leur conformité au regard de la protection des données. Elle a toute liberté de consulter le PFPDT pour en juger. Si le PFPDT conclut de son examen que les CGA en question contreviennent à la LPD et qu'il y a donc abus, la FINMA pourrait intervenir contre une telle réglementation.

Au demeurant, le Conseil fédéral s'est déjà prononcé sur les mesures éventuelles à mettre en oeuvre face à la situation en matière de protection des données dans le secteur de l'assurance obligatoire des soins en réponse à deux interventions parlementaires précédentes (postulat Heim 08.3493, question Schenker 09.5060).

Réponse du Conseil fédéral.