Le Règlement européen sur la protection des données personnelles ou RGPD doit s’appliquer au 25 mai prochain. Dans le but d’adapter les textes français à cette nouvelle législation, les députés ont adopté le 13 février, en première lecture, le projet de loi relatif à la protection des données personnelles. Il viendra modifier la Loi « informatique et libertés » du 6 janvier 1978.
La crainte des Ocam
Lors des auditions devant la Commission des Affaires sociales, les organismes complémentaires santé ont fait part de leur inquiétude sur l’application du RGPD. En effet, l’article 9 du règlement interdit tout traitement des données de santé sauf consentement explicite accordé par la personne concernée. En l’absence de ce consentement, le traitement serait soumis à l’accord préalable de la Cnil, conformément au chapitre IX de la loi « informatique et libertés ». « Une obligation étant susceptible de faire obstacle à l’exécution des contrats, notamment les contrats collectifs », souligne dans son rapport la rapporteure du projet de loi à l’Assemblée nationale, Paula Forteza.
Un régime spécifique au même titre que l’Assurance maladie
Pour y remédier, le Gouvernement a présenté un amendement (n°128) au texte. Adopté en séance, il intègre les traitements pour la prise en charge des prestations par les Ocam dans la liste des exceptions, au même titre que le traitement des données par la Sécurité sociale.
Lors des débats, la ministre de la Justice Nicole Belloubet a rappelé que « les traitements de l’Assurance maladie obligatoire, en application de l’article 53 de la loi du 6 janvier 1978, sont exclus du chapitre IX (de ladite-loi, NDLR). Aussi, compte tenu de la similitude des traitements mis en œuvre par les organismes d’assurance complémentaire pour la prise en charge des prestations, cet amendement les aligne sur les règles applicables à ceux de l’Assurance maladie obligatoire ». Et d’assurer : « ces traitements de données, comme ceux de l’assurance maladie, entrent dans le champ défini par l’article 9 du RGPD permettant le traitement de données de santé lorsque le traitement est nécessaire aux fins d’exécution des obligations en matière de protection sociale ».
Quelles conséquences ?
Par l’adoption de cet amendement, le projet de loi relatif à la protection des données personnelles permet désormais aux traitements effectués par les Ocam, dans le cadre de leur mission de prise en charge des prestations, d’entrer dans la liste des traitements autorisés par dérogation. En cas de non-obtention du consentement explicite de l’assuré, prévu par le RGPD, les organismes n’auront ainsi pas besoin d’effectuer toutes les démarches prévues par le chapitre IX de la loi « informatique et libertés ». Concrètement, ils n’auront pas l’obligation de formuler une déclaration de conformité aux référentiels de la Cnil ou une demande préalable pour le traitement des données. Une mesure qui « concilie les exigences de protection des données avec l’allégement et la simplification des formalités nécessaires à la mise en œuvre des traitements », selon Nicole Belloubet.
Notons que le projet de loi doit encore passer devant le Sénat. Le Gouvernement ayant engagé une procédure accélérée, limitant l’examen du texte à une lecture par assemblée parlementaire, son adoption définitive est attendue fin mars.
Les ocam n'ont pas à accéder aux corrections visuelles. Seuls les assurés et les professionnels de santé ont ce droit. En cas de changement de correction, c'est aux professionnels de santé d'en établir l'attestation. ET c'est ce point qu'il est urgent de préciser.
Ce texte de loi indique d'ailleurs que c'est la sécu qui est chargée d'effectuer les contrôles. Les ocam n'y sont définies qu'en tant que payeurs et n'ont besoin que des éléments nécessaires à cette activité. Le texte de préparation de cette loi présenté par la rapporteure ne dit pas autre chose mais la formulation du texte de loi est moins claire. Il faut définir précisément chaque élément au lieu d'utiliser une notion d'égalité de pouvoirs entre la sécu et les ocam.