Avec la quasi-généralisation du tiers-payant, vous transmettez aux complémentaires santé un certain nombre d'informations de vos clients. Identité, numéro de Sécurité sociale, facturation, prescription... vous êtes amenés à traiter des données à caractère personnel, qui doivent faire l'objet d'une déclaration auprès de la Cnil (Commission nationale de l'informatique et des libertés). Le déploiement de la norme Opto-AMC ravive le débat. Le 4 juillet dernier, la Fnof a notamment annoncé avoir saisi la Commission Européenne concernant le transfert de données de santé à destination des organismes complémentaires d'assurance maladie.

Acuité a posé la question directement au service juridique de la Cnil pour savoir si ces échanges sont contraires ou non à la loi Informatique et Libertés ? Quelles informations sont « transmissibles » ?


Norme Opto-AMC versus norme simplifiée n°54

Pour le service juridique de la Cnil, l'instance, « garante de l'application de la loi du 6 janvier 1978 modifiée (dite « loi Informatique et Libertés »), ne peut contraindre ou valider le déploiement de la norme Opto-AMC. En revanche, et dès lors que sa mise en oeuvre implique un traitement de données à caractère personnel, les responsables de traitement (les opticiens-lunetiers, ndlr) doivent respecter les dispositions de la loi « Informatique et Libertés », notamment en termes de formalités préalables, de licéité du traitement et de sécurité des données ».

Alexandra Blanchet, juriste auprès de la Commission, nous explique notamment que « la norme simplifiée n° 54 relative aux traitements automatisés de données à caractère personnel, mis en oeuvre par les opticiens-lunetiers pour la gestion de leur activité professionnelle, ne couvre pas la transmission aux assurances complémentaires santé des codes « LPP ». Dès lors, les opticiens qui souhaiteraient mettre en oeuvre un tel traitement de données par la norme Opto-AMC devront, préalablement à son application, adresser un dossier de formalités à la Cnil ».

Ainsi, la norme simplifiée n°54 n'exclue pas d'autres déclarations de données auprès de la Cnil. Si vous traitez vos demandes de prises en charge en Opto-AMC (actuellement 4 000 magasins), vous êtes dans l'obligation de faire une « déclaration normale » auprès de l'instance. Vous recevrez alors un accusé de réception et un accord de la Cnil, si votre demande est acceptée. La réponse peut être longue et durer jusqu'à six mois.

Actuellement, « aucun modèle-type de déclaration n'existe spécifiquement pour la norme Opto-AMC, ajoute Alexandra Blanchet. Cependant, si le nombre de demandes l'exige, l'opportunité d'établir une autorisation unique pourrait être examinée par la Commission ».

Obtenir le consentement exprès de vos porteurs

Rappelons que vous avez également pour obligation d'obtenir le consentement exprès de vos clients pour la collecte et le traitement des données de santé. Pour se faire, vous pouvez apposer une mention particulière sur vos devis. En effet, l'article 8-II-1° de la loi « Informatique et Libertés » précise que l'interdiction de collecter des données de santé peut être levée dès lors que « la personne concernée a donné son consentement exprès », ce qui n'enlève en rien l'obligation de déclaration des données auprès de la Cnil.

« En revanche, si le client se refuse à donner son consentement un procédé d'anonymisation des données à bref délai, préalablement reconnu conforme par la CNIL, pourra être mis en place afin d'autoriser certaines catégories de traitements ».

Si vous n'êtes pas en règle, nous vous invitons dans un premier temps à faire une déclaration simplifiée, puis une déclaration normale pour transmettre les demandes en Opto-AMC.

Lire notre news : Données clients : quelles sont vos obligations ? Les réponses de Chloé Torres, avocate spécialisée