06.3040 · Interpellation · 2006-03-09
Département de l'intérieur
Liquidé
Wortlaut
Le Conseil fédéral est chargé de répondre aux questions suivantes :
1. Certains assureurs n'enfreignent-ils pas les dispositions relatives à la protection des données dans le secteur couvert par la LAMal, notamment la protection des données médicales hautement sensibles, et ne font-ils pas un emploi abusif des données recueillies dans le domaine de la LAMal (en les utilisant, p. ex. dans le domaine de l'assurance privée)? Dans l'affirmative, jusqu'où s'étendent ces atteintes à la protection des données ?
2. Comment l'autorité de surveillance s'acquitte-t-elle de ses tâches de surveillance et de contrôle dans ce domaine et comment s'assure-t-elle que les assurés ne sont pas lésés dans leurs droits ni dans leurs prétentions ?
3. Faut-il prendre des mesures et, dans l'affirmative, lesquelles, pour garantir de façon vérifiable et efficace le respect des droits et des prétentions des assurés ? Des mesures de cet ordre sont-elles déjà en place ?
Begründung
On a pu lire dans la presse ("Beobachter" des 19 janvier et 2 février 2006 ; "Tagesanzeiger" du 20 février 2006) que la deuxième caisse d'assurance en Suisse, principalement active dans le domaine de l'assurance obligatoire des soins (AOS) et assurant quelque 970 000 personnes, gère une banque de données électronique contenant des données médicales hautement sensibles en suivant des procédures qui, d'après les articles en question, portent parfois grossièrement atteinte aux dispositions relatives à la protection des données, dans la mesure où un grand nombre des quelque 400 collaborateurs administratifs auraient accès à des dossiers d'assurés que seuls les médecins-conseil devraient pouvoir consulter, conformément à l'article 57 LAMal. S'il devait s'avérer que des collaborateurs du centre de services, c'est-à-dire de simples collaborateurs administratifs, ont effectivement accès à des données confidentielles, cette pratique serait problématique : d'une part pour des raisons liées à la protection des données et aux droits de la personnalité, d'autre part parce que les données recueillies dans le secteur de l'AOS seraient également mises à la disposition, semble-t-il, du secteur de l'assurance privée du même assureur (service des affiliations, demandes externes, etc.).
Le système de gestion des données de cette caisse d'assurance serait en lui-même conforme à la législation sur la protection des données, mais, selon les informations fournies par le "Beobachter", les responsables de la caisse ont préféré passer outre, pour des raisons d'ordre économique (sous prétexte qu'il ne faut pas que des attentes exagérées en matière de protection des données puissent entraîner un surcroît de travail administratif parfaitement évitable). Étant donné ces circonstances, il est incompréhensible que l'Office fédéral de la santé publique exerce sa surveillance et son contrôle en se contentant apparemment d'exiger des explications de la part de la caisse en question.
Or, il s'agit de prendre des mesures et, le cas échéant, d'édicter des directives permettant réellement de surveiller et de contrôler le respect des dispositions légales en vigueur. L'assureur concerné doit s'engager à restreindre sans délai l'accès aux données particulièrement sensibles, conformément aux critères applicables à la protection des données, c'est-à-dire en limitant à six ou sept au maximum le nombre de personnes autorisées à consulter les dossiers, et ce uniquement pendant le laps de temps qu'exige le traitement d'une question concrète relative à un cas précis, à savoir entre un jour et deux semaines environ.
Il est heureux que, selon les articles évoqués plus haut, la majorité des caisses semblent respecter les règles établies. Le comportement d'un seul assureur a néanmoins des répercussions sur tout le système de mise en concurrence des caisses tel qu'il a été encouragé jusqu'ici dans le domaine de l'assurance-maladie, en raison de l'avantage ainsi obtenu par lui sur le marché et de la distorsion de la concurrence qui en résulte. Les autres caisses sont alors poussées à adopter des pratiques similaires. Dans l'intérêt des patients, de l'égalité devant la loi et d'une saine concurrence, il faut mettre fin à cette dérive.
Stellungnahme des Bundesrates
1. Conformément à la LAMal, les caisses-maladie sont elles-mêmes responsables du respect de la protection des données dans l'assurance obligatoire des soins (AOS). Le traitement des données personnelles n'est autorisé que sur la base d'une disposition légale. Les assureurs doivent en outre prendre toutes les mesures d'ordre légal et organisationnel nécessaires à la protection desdites données. À l'interne, la garantie de la protection des données médicales incombe aux médecins-conseil (art. 57 al. 7 LAMal).
Dans le domaine des assurances complémentaires, les assureurs ne sont pas soumis aux conditions très strictes appliquées aux organes de la Confédération en matière de protection des données, mais aux dispositions usuelles de la loi fédérale sur la protection des données (RS 235.1). Ils sont donc autorisés à traiter des données concernant les assurés lorsque ces dernières sont indispensables au bon fonctionnement administratif.
Les données relatives à l'AOS et à une assurance complémentaire ne sont souvent pas traitées séparément au sein d'une même assurance, ce qui peut avoir des conséquences fâcheuses sur la protection de la personnalité des assurés. La loi prévoit toutefois un garde-fou. Dans les cas qui l'exigent et à la demande de la personne assurée, les prestataires de services ne sont autorisés à communiquer des données médicales qu'aux médecins-conseil. Ces derniers n'ont le droit de transmettre aux services des assureurs que les indications dont ceux-ci ont besoin pour décider de la prise en charge d'une prestation, fixer la rémunération ou motiver une décision. Ce faisant, ils respectent les droits de la personnalité des assurés ; dans le cas contraire, ils sont punissables.
2. L'Office fédéral de la santé publique (OFSP) peut également, en sa qualité d'autorité de surveillance, adresser aux assureurs des instructions visant à l'application uniforme du droit fédéral dans le domaine de la protection des données (art. 21 LAMal). En cas de non-respect des prescriptions légales, l'autorité de surveillance prend les mesures qui s'imposent, selon la nature et la gravité des manquements (instructions, amendes d'ordre et, en dernier recours, retrait de la reconnaissance et de l'autorisation).
L'OFSP a déjà traité à plusieurs reprises la question de la protection des données. Les formulaires d'affiliation, comportant des questions sur l'état de santé de la personne intéressée, questions par ailleurs illégales, figuraient notamment au centre de ses préoccupations. Il a donc publié, le 9 mars 2005, la circulaire "Protection des données et de la personnalité", qui réglemente ces deux domaines dans le cadre de la conclusion d'un contrat d'assurance obligatoire des soins. La modification de l'ordonnance sur l'assurance-maladie (art. 6a ; RS 832.102), approuvée par le Conseil fédéral le 26 avril 2006, va dans le même sens, en interdisant aux assureurs de faire figurer sur le même formulaire la demande d'affiliation à l'AOS et à des assurances facultatives. Cette séparation doit permettre d'écarter le risque de traiter les données de manière illégale.
À l'heure actuelle, l'OFSP examine les reproches formulés à l'encontre de l'assureur visé dans l'interpellation. Selon les résultats de cette enquête, l'office prendra éventuellement des mesures de surveillance. Par ailleurs, l'OFSP contrôlera davantage, dans la limite de ses ressources et en collaboration avec l'Office fédéral des assurances privées, les bases de données des assureurs et invitera le préposé fédéral à la protection des données à apporter son concours.
3. Les médecins-conseils jouent un rôle clé dans la protection de la personnalité au sein de l'AOS. Le cas échéant, ils sont tenus de communiquer des données personnelles ou médicales sensibles lorsque le service des prestations ou le service juridique d'un assureur-maladie en fait la demande dans le but de motiver une décision. Les assureurs doivent, à l'interne également, protéger les données personnelles de tout accès illégal, au moyen de mesures techniques et organisationnelles adéquates. Selon la jurisprudence du Tribunal fédéral, un système performant doit être mis en place (cf. ATF 131 II 413). Les arguments économiques des assureurs ne justifient pas la violation du droit de la personnalité.
Considérant tous ces éléments, les mesures actuellement proposées par l'OFSP remplissent leur objectif. Le Conseil fédéral n'estime pas nécessaire d'en prendre de nouvelles.
Réponse du Conseil fédéral.