Préposé à la protection des données et transparence Jura-Neuchâtel

Communication de données médicales aux assureurs (2013.0460)

Protection des données

À quelles conditions le personnel médical peut-il communiquer des données aux assureurs ?

Avis du PPDT 2013.0460 mis à jour le 2 novembre 2020

* Le personnel médical exerçant pour le compte d'une institution (hôpitaux, cliniques, EMS, NOMAD,…) ne peut communiquer des données médicales aux assureurs privés qu'en présence d'une clause de déliement suffisamment précise, comme décrit ci-après.

Il n'est pas rare que le personnel médical des établissements de soins publics soit sollicité par des assurances privées (vie, pertes de gains, maladie complémentaire) pour obtenir des données médicales d’un patient.

Il arrive que les assureurs justifient leur démarche par l'adhésion du patient à une clause de déliement du secret professionnel qui peut prendre cette forme :

"La personne à assurer consent à ce que la compagnie d'assurance X. se procure et traite les données indispensables à l'appréciation de la proposition et à l'observation du contrat et, si nécessaire, les transmette à des tiers concernés (par ex., coassureurs et réassureurs). La compagnie d'assurance X. est de plus autorisée à se procurer tous renseignements utiles auprès d'autorités, de tiers et du personnel médical. À cet effet, le personnel médical est expressément libéré de l'obligation de garder le secret. La compagnie d'assurance X. s'engage à traiter les informations obtenues avec la plus grande confidentialité. Par souci de simplification d'ordre administratif et dans le but de soumettre à sa clientèle des offres de produits et de services optimaux, les sociétés de la compagnie d'assurance X. s'accordent mutuellement un accès aux données du contrat à l'exception des déclarations de santé ou des données concernant un sinistre relatif à la personne assurée."

À ce propos le Préposé fédéral à la protection des données et à la transparence, PFPDT,  indique que :

"Selon la situation, le patient peut consentir à la transmission de données personnelles sur sa santé de manière  expresse - c’est-à-dire oralement ou par écrit - ou tacite. Il doit pouvoir décider librement et sans pression s’il veut donner son consentement. En outre, le consentement n’est valable que si le patient est informé du volume de l’ensemble du traitement, du but poursuivi et des destinataires des données.

Pour cette raison, les déclarations globales de consentement que l’on trouve sur de nombreux formulaires de propositions d’assurance ou dans des conditions générales sont nulles. " (PFPDT, Guide pour le traitement de données personnelles dans le domaine médical, juillet 2002, p.23; voir aussi Frédéric Erard / Olivier Guillod, Levée générale du secret médical et assistance au suicide, in : Jusletter 29. Januar 2018, p.23)

Il précise aussi :

Pour qu’une procuration soit valide dans le domaine de l’assurance d’indemnités journalières, celle-ci doit porter sur un cas concret d’assurance et doit se limiter aux informations nécessaires pour régler ce cas. Une formulation plus large de la procuration ne signifie pas automatiquement qu’elle va trop loin et qu’elle n’est, de ce fait, pas valide. Il revient plutôt aux personnes et institutions interrogées par l’assureur de respecter le principe de proportionnalité : si elles ne le font pas, elles outrepassent la procuration et sont même éventuellement punissables. (https://www.edoeb.admin.ch)

Plus concrètement, si une clause est jugée nulle, le consentement du patient n'est pas valable et le personnel médical  qui communique des données à l'assureur est susceptible de commettre une violation du secret médical et des règles cantonales sur la protection des données (CPDT-JUNE) ; il  engage ainsi la responsabilité de son institution (éventuels dommages et intérêts).

La difficulté du personnel médical est donc de déterminer si la clause à laquelle a adhérée le patient est conforme ou non au droit.

Une commission d'experts réunie par l'Office fédéral de la santé a estimé que " l'assureur ne peut faire signer par celle-ci une déclaration trop  vague et générale. Les personnes que l'assuré délie du secret professionnel, notamment les médecins, doivent être clairement désignées (des formules telles que tous les médecins, hôpitaux et compagnies d'assurances ne devraient pas être admissibles). L'autorisation ne devrait être donnée que pour les  demandes de renseignements nécessaires à l'évaluation du risque lors de la conclusion du contrat. Une seconde autorisation devrait être demandée à  l'assuré lors de la survenance du risque. Elle ne devrait valoir que pour les demandes de renseignements, notamment auprès du médecin traitant, auxquelles la personne assurée peut raisonnablement s'attendre. Pour être autorisé à obtenir des renseignements plus spécifiques, par exemple auprès de médecins ayant traité cette personne il y a un certain temps, l'assureur devrait toutefois demander encore une autre autorisation de la personne assurée. Il importe en effet que celle-ci soit au courant des demandes de renseignements effectuées par l'assureur auprès de tiers." Extrait de : Protection de la personnalité dans l’assurance-maladie et accidents sociale et privée, Rapport d’une commission d’experts instituée par le DFI et le DFJP, Berne 2001.

L'exemple de clause exposée en première partie est loin de respecter ces exigences.

Malgré l'absence d'une jurisprudence qui confirme le point de vue des experts, la doctrine majoritaire (Rohmer Sandrine, Spécificités des données génétiques et protection des données de la sphère privée - Les exemples des profils d'ADN dans la procédure pénale et du diagnostic génétique, Schulthess, 2006, p. 311 s et références citées) abonde dans ce sens. Le PPDT invite dès lors tout le personnel médical exerçant pour le compte d'une institution médicale accomplissant une tâche d'intérêt publique ou déléguée par l'Etat (hôpitaux, cliniques, EMS, NOMAD,…) à exiger de l'assureur une déclaration de levée du secret médical allant dans le sens des experts.

Par ailleurs, certains assureurs affirment que  lorsque l’assureur LCA est le même que l’assureur LAMal (patient assuré pour la base et la complémentaire chez le même assureur), il n’est pas nécessaire de demander une autorisation de transmission de données médicales pour la LCA car c’est la LAMal qui légitime cette communication. Cette affirmation est insoutenable au regard de la jurisprudence (arrêt du Tribunal administratif  du 19 mars 2019 A-3548/2018). Les traitements de données fondés sur la LCA ne peuvent pas être légitimer par la LAMal.

En conclusion, si l'assureur ne veut pas répondre à l'exigence précitée, il faudra alors, selon l'article 26 CPDT-JUNE, lui écrire qu'il ne sera pas donné suite à sa requête et qu'il peut saisir le PPDT. Pour ce faire, un modèle de réponse est à disposition ici.

Ce site n'utilise que deux cookies: Un pour indiquer temporairement aux serveurs la langue que vous avez choisie lors de la configuration de vos outils informatiques. Un autre pour rappeler aux serveurs votre choix d'accepter les présentes conditions, afin d’éviter de reposer la question à la prochaine visite. En poursuivant la consultation de notre site, vous acceptez l’utilisation des cookies aux fins énoncées ci-dessus, ainsi que l'enregistrement temporaire sur les serveurs de quelques données personnelles à des fins techniques. En savoir plus.