En réponse à de « nombreuses plaintes », la CNIL a voulu préciser « dans quelles conditions les organismes d’assurance maladie complémentaire peuvent collecter des données de santé ». Depuis 2020, la CNIL a reçu « des centaines de plaintes » mettant en cause une cinquantaine de mutuelles. Elle a donc procédé à un examen de cette collecte, à l’aune du RGPD, de la loi Informatique et Libertés, et vis-à-vis du secret médical.
L’analyse juridique produite conduit la Commission à recommander de revoir le cadre juridique applicable. « En principe, la collecte et l’utilisation de données de santé sont interdites, sauf si elles sont concernées par une des exceptions prévues à l’article 9 du RGPD ou si un texte spécifique, comme une loi, le permet », rappelle la CNIL. En l’espèce, bien que les organismes de d’assurance maladie complémentaire puissent utiliser des données de santé pour procéder aux remboursements de leurs assurés, elle « estime que les textes sont trop lacunaires ». En particulier étant donnée « la sensibilité de ces données ».
La Commission déplore également « une insuffisance des textes réglementant le secret médical ». Les informations transmises aux mutuelles sont couvertes par le secret médical, rappelle la Commission. Dès lors, si ces informations sont transmises directement par les professionnels de santé, « une dérogation au secret médical est nécessaire ». Une dérogation qui, pour le moment, est « soit très implicite, soit inexistante ». « Il est donc nécessaire que la loi soit précisée, complétée, pour accorder cette dérogation en l’encadrant et en prévoyant des garanties appropriées », affirme la Commission.