09.3515 · Interpellation · 2009-06-08
Département de l'intérieur
Liquidé
Wortlaut
Le préposé à la protection des données du canton de Zurich a signalé sans équivoque, dans son 14e rapport d'activité du 3 mars 2009, que les spécialistes de la gestion par cas (case managers) des assureurs-maladie peuvent accéder à toutes les données de santé des hôpitaux et donc, dans certains cas, violer gravement à la fois la protection des données et le secret du patient. Les conventions passées entre les assureurs et les hôpitaux, qui régissent uniquement l'activité de coordination des spécialistes de la gestion par cas, contiennent des dispositions insuffisantes en ce qui concerne le respect du secret médical et du secret du patient, ou encore des indications sur l'obligation d'informer de la part des assureurs. La loi sur l'assurance-maladie ne contient aucune réglementation en la matière.
Les assureurs-maladie se procurent des données de santé sensibles même sans le consentement des patients, disposant ainsi avant eux d'informations allant du diagnostic à la durée prévisible du séjour hospitalier, en passant par les mesures thérapeutiques. Même si les patients se voient demander leur consentement, ils ne reçoivent manifestement pas les explications qui s'imposent. Cette situation inadmissible prend des proportions telles que les assureurs vont jusqu'à demander aux hôpitaux de leur communiquer les noms des personnes qui ne signent pas la déclaration de consentement. Elle ne saurait être tolérée plus longtemps.
À cet égard, le Conseil fédéral est prié de répondre aux questions suivantes :
1. Bien que l'autorité fédérale de surveillance ait été informée de différentes parts, en 2007 déjà, des pratiques illicites des assureurs, rien n'a été fait. Pourquoi ?
2. Les spécialistes de la gestion par cas obtiennent souvent bien plus d'informations que nécessaire en participant à des rapports ou à la planification des traitements. Qu'en pense le Conseil fédéral en termes de secret médical et de secret du patient ?
3. Comment voit-il la suite des opérations en ce qui concerne cette pratique des assureurs-maladie, qui constitue une violation de la loi sur la protection des données ?
4. Quelles mesures prend-on pour garantir la protection des patients et pour assurer à long terme la conformité à la protection des données ?
5. Le Conseil fédéral envisage-t-il de prendre au sérieux la protection des données dans le cas des conventions existantes et d'examiner ces dernières pour déterminer si elles sont licites et si elles respectent l'obligation d'information et la protection des données ?
6. Le Conseil fédéral envisage-t-il une modification de la loi ? Si tel est le cas, quelle sera son orientation ?
Stellungnahme des Bundesrates
1. Comme le Conseil fédéral l'a relevé lors de deux interventions parlementaires précédentes (postulat Heim 08.3493, question Schenker Silvia 09.5060), il faut améliorer la protection des données dans le domaine de l'assurance obligatoire des soins (AOS). Le Préposé fédéral à la protection des données et à la transparence (PFPDT) et l'Office fédéral de la santé publique (OFSP) ont mené conjointement une enquête, dont les résultats viennent d'être publiés. Il en ressort que les assureurs-maladie pratiquant l'assurance-maladie obligatoire et l'assurance d'indemnités journalières facultative, selon la loi fédérale sur l'assurance-maladie (LAMal ; RS 832.10), remplissent globalement les exigences en matière de protection des données, bien que la situation doive encore être améliorée dans certains domaines. Les recommandations suivantes ont été adressées aux assureurs-maladie lors de la publication du rapport d'enquête. Leur application fera l'objet d'un suivi ces prochains mois, dans le cadre de la surveillance des assureurs-maladie :
Chaque assureur-maladie doit élaborer un concept en matière de protection des données (stratégie) et tenir un inventaire des fichiers collectés qui seront, s'ils comportent des données personnelles sensibles, accompagnés d'un règlement sur le traitement des informations (description du processus, y compris des responsabilités, autorisations, flux des données, mesures techniques visant à garantir la sécurité des données). Chaque assureur est chargé de désigner un responsable de la protection des données et un "maître" pour chaque fichier. Leurs tâches seront consignées dans un cahier des charges. Les responsables de la protection des données doivent disposer des connaissances techniques nécessaires. Les assureurs doivent procéder régulièrement à des audits réalisés par un organe externe à l'administration et soumettre les résultats aux autorités de surveillance.
2. Bien que la gestion des cas ne soit pas expressément réglementée dans la LAMal, les dispositions en matière de protection des données lui sont applicables. En vertu des principes de la LAMal (p. ex., choix du fournisseur de prestations ou du traitement) et des dispositions correspondantes en matière de protection des données, les assurés dont les examens et les traitements sont suivis par un gestionnaire de cas doivent consentir librement et de façon expresse à ce suivi, de même qu'à l'accès aux données concernant leur santé. Ce consentement n'est valable qu'à condition qu'il ait été formulé sur la base d'une information préalable et appropriée de la part de l'assureur-maladie et que l'assuré soit conscient de la portée de son consentement. L'assureur-maladie ou le fournisseur de prestations doivent, par ailleurs, indiquer aux assurés que le fournisseur de prestations est en droit, dans les cas fondés - et même contraint lorsque la demande émane de l'assuré lui-même -, de transmettre des données médicales uniquement au médecin-conseil de l'assureur-maladie.
Les assureurs-maladie sont autorisés à traiter les données personnelles - y compris les données sensibles ou les profils de la personnalité - dont ils ont besoin pour accomplir les tâches prévues par la loi, notamment lorsqu'il s'agit d'évaluer le droit aux prestations ou d'estimer ces prestations. Ce faisant, ils sont tenus de respecter strictement le principe de la proportionnalité et ne peuvent conclure, avec le fournisseur de prestations, d'accord leur permettant d'accéder aux données concernant la santé des assurés dont ils n'ont pas besoin pour exécuter les tâches prévues par la loi.
3./4. Dans le domaine de la gestion des cas, la situation concernant la protection des données varie selon les assureurs-maladie. Afin d'améliorer cette situation, les autorités de surveillance s'adresseront donc aux assureurs-maladie concernés de façon individuelle.
5. Le problème soulevé par le préposé à la protection des données du canton de Zurich porte sur les accords conclus au niveau cantonal entre les hôpitaux et les assureurs-maladie. L'examen et l'approbation de tels accords (sur les tarifs) relèvent des autorités cantonales, tout comme le respect de la protection des données. Dans son arrêt du 29 mai 2009, le Tribunal administratif fédéral s'est prononcé sur la question des réglementations en la matière. Il déclare que les diagnostics et codes d'intervention ne peuvent être communiqués lors de l'enregistrement ou de la facturation - dans le cadre notamment du principe de la proportionnalité et des dispositions pertinentes concernant la protection des données - qu'à condition que leur mise en place soit détaillée conformément au principe de la retenue.
6. La loi fédérale sur la protection des données (LPD ; RS 235.1) et l'ordonnance afférente (OLPD ; RS 235.11) s'appliquent sans restriction aux assureurs-maladie agissant en tant qu'organes fédéraux. L'article 33 de la loi fédérale sur la partie générale du droit des assurances sociales (LPGA ; RS 830.1) prévoit une obligation générale de garder le secret pour les personnes participant à l'application de la législation en matière d'assurances sociales. Les articles 84 et 84a LAMal et les articles 59 et 120 de l'ordonnance sur l'assurance-maladie (OAMal ; RS 832.102) offrent des dispositions spéciales supplémentaires concernant le traitement des données personnelles, la communication de données, la garantie de la protection des données et l'information des assureurs-maladie à leurs assurés. Ces différentes normes en matière de protection des données dans le domaine de l'assurance-maladie rendent inutile toute nouvelle disposition spécifique à la gestion des cas.
Réponse du Conseil fédéral.