Les assureurs-maladie sont soumis à la Loi sur la protection des données et sont tenus de se conformer aux dispositions de cette loi puisqu’ils traitent des données personnelles particulièrement sensibles des assurés. Le Groupe Mutuel attache une grande importance à la protection des données de ses assurés, en particulier à la protection des données médicales requises pour procéder au contrôle des factures prescrit par la loi. A ce titre, le Groupe Mutuel a nommé un préposé à la protection des données et dispose d’un règlement interne sur la protection des données personnelles. En automne 2013, nous avons obtenu le label de qualité «good priv@cy» et notre service de réception des données a reçu la certification sur la protection des données conformément aux exigences du nouveau système de financement hospitalier.
Situation initiale
Les assureurs-maladie remplissent une mission publique dans le cadre de l’assurance-maladie sociale. Ils sont soumis à la loi sur la protection des données et sont tenus de se conformer à de nombreuses dispositions relevant du droit de la protection des données dès lors qu’ils travaillent avec des données personnelles particulièrement sensibles pour les assurés. Du point de vue du droit de la protection des données, les données particulièrement sensibles sont notamment le nom, l’adresse, la date de naissance, les poursuites administratives et les poursuites pénales, les sanctions ou les indications sur la santé d’une personne. Selon les principes de la protection des données, il est interdit d’utiliser des données personnelles en l’absence de base légale ou sans le consentement de la personne concernée.
Afin de protéger les personnes assurées, le législateur a arrêté des dispositions figurant dans diverses lois, à savoir:
- Loi fédérale sur la protection des données (LPD)
- Loi fédérale sur la partie générale du droit des assurances sociales (LPGA)
- Loi fédérale sur l’assurance-maladie (LAMal)
- Code pénal suisse (CPS)
- Ordonnance sur l’assurance-maladie (OAMal)
- Ordonnance du DFI sur les fichiers de données pour la transmission des données entre fournisseurs de prestations et assureurs
- Ordonnance sur les certifications en matière de protection des données (OCPD)
Protection des données contre contrôle des coûts
Au quotidien, il apparaît que les prescriptions légales – dont la teneur est pourtant claire – suscitent des tensions entre les collaborateurs des compagnies d’assurance et les personnes assurées. Ainsi, les gestionnaires se heurtent souvent à l’incompréhension des assurés lorsqu’ils refusent de divulguer des informations sur un membre de leur famille.
La personne assurée peut certes taxer ce refus de chicanerie bureaucratique, mais le gestionnaire ne fait qu’appliquer les directives résultant des prescriptions du droit sur la protection des données. Dans ce contexte, les collaborateurs des assureurs risquent de ne pas pouvoir servir la personne assurée à la satisfaction de cette dernière. Néanmoins, les collaborateurs doivent agir ainsi puisqu’ils sont liés par la loi au respect de ces prescriptions. La protection de la personnalité est un bien précieux, raison pour laquelle le législateur a édicté des dispositions strictes afin de la protéger.
Pour les assureurs, d’autres tensions découlent de l’obligation de contrôler les décomptes de prestations fournies par les prestataires (art. 56 LAMal: «Caractère économique des prestations»). Il arrive très souvent que des fournisseurs de prestations refusent d’établir des rapports d’hospitalisation ou des rapports médicaux à l’attention des médecins-conseil des caisses maladie, en justifiant ce refus par le droit de la protection des données qui leur interdirait de transmettre ces données. Il s’agit d’un conflit d’intérêts classique entre des normes légales au sujet duquel les tribunaux ont déjà clairement pris position dans différents arrêts (Tribunal fédéral et Tribunal administratif fédéral). Les assureurs-maladie sont tenus par la loi de contrôler les décomptes de prestations, raison pour laquelle il y a lieu d’accorder chaque fois à leurs médecins-conseil le droit de consulter les données relatives aux traitements.
Avec l’introduction du nouveau financement hospitalier, notamment du nouveau système tarifaire SwissDRG désormais en vigueur, de nouvelles prescriptions ont été imposées aux assureurs-maladie en ce qui concerne la protection des données. Tout séjour hospitalier stationnaire aigu est désormais remboursé au moyen de montants forfaitaires. Ces derniers sont déterminés selon une codification par diagnostics et sont attribués à des groupes de cas. Afin de s’acquitter de leur mission légale de contrôle des coûts et de vérifier le caractère économique des prestations, les assureurs-maladie ont demandé aux fournisseurs de prestations de faire figurer de manière détaillée sur leurs factures l’ensemble des diagnostics. Par la suite, le Conseil fédéral a décidé par voie d’ordonnance (art. 59a OAMal) que les assureurs étaient tenus de mettre sur pied des services certifiés de réception des données. Ces derniers doivent respecter les mêmes normes que les médecins-conseil des compagnies d’assurance.
Dès lors, les assureurs-maladie sont tenus de régler les factures d’hospitalisation à la charge de l’assurance de base obligatoire de manière conforme au droit sur la protection des données par le biais d’un service certifié de réception des données créé à cet effet. Les fournisseurs de prestations doivent envoyer les fichiers de données accompagnés des indications administratives et médicales, en même temps que la facture y afférente, au service de réception des données de la compagnie d’assurance. Il convient de veiller à ce que ce service de réception des données puisse accéder exclusivement aux indications de nature médicale.
Position du Groupe Mutuel
Le Groupe Mutuel accorde une très grande importance à la protection des données.
Le respect du droit de la protection des données incombe à tous les collaborateurs et a pour but de protéger la personnalité de l’assuré, ainsi que ses droits fondamentaux, conformément aux dispositions légales en la matière.
Protection des personnes assurées
Le Groupe Mutuel attache une importance particulière à la protection des données personnelles de ses assurés, en particulier à la protection des données médicales requises pour pouvoir procéder au contrôle des factures prescrit par la loi. Les collaborateurs reçoivent la formation nécessaire dans ce domaine afin de pouvoir accomplir leur travail. Le Groupe Mutuel attire leur attention sur les principes de la protection des données, sur l’obligation de garder le secret, sur le secret professionnel ainsi que sur les conséquences pénales d’une éventuelle infraction à ces obligations. Chaque collaborateur n’a accès qu’aux données qui sont nécessaires à l’exercice de son activité professionnelle. Ce faisant, le Groupe Mutuel observe le principe de proportionnalité: le traitement des données doit être adéquat, c’est-à-dire qu’il doit y avoir un rapport raisonnable entre les moyens et l’objectif poursuivi, et il faut que les personnes concernées se limitent à la mesure nécessaire à l’atteinte de cet objectif.
Nomination d'un préposé à la protection des données
Le Groupe Mutuel a nommé une personne qui assume la fonction de préposé à la protection des données. Ce dernier contrôle tous les contrats et projets qui impliquent le traitement de données personnelles particulièrement sensibles. Il s’assure que le Groupe Mutuel tienne un inventaire des fichiers de données et que des règlements sur le traitement de ces fichiers existent. Il informe à intervalles réguliers les organes concernés sur l’état d’avancement des travaux, formule des propositions sur de nouvelles mesures et assure la coordination des ressources nécessaires à cet effet. Enfin, il est également l’interlocuteur du préposé fédéral à la protection des données.
Règlement interne sur la protection des données personnelles
Depuis le 1er janvier 2008, le Groupe Mutuel dispose d’un règlement sur la protection des données personnelles. En septembre 2013, ce dernier a été adapté aux nouvelles prescriptions du système tarifaire SwissDRG désormais en vigueur. Le but de ce règlement consiste à informer de manière transparente sur le traitement des données au sein du Groupe Mutuel, Association d’assureurs. Tous les collaborateurs et collaboratrices du Groupe Mutuel s’engagent à respecter les dispositions de ce règlement.
Système informatique
Le Groupe Mutuel fait en sorte d’élaborer la réglementation adéquate et de protéger l’accès à ses systèmes informatiques de telle sorte qu’il puisse fournir des prestations de services à ses assurés en observant, de manière appropriée, les principes de confidentialité, d’intégrité et de disponibilité (sécurité informatique).
Médecins-conseil
Les médecins-conseil dispensent leurs conseils aux assurés pour répondre à des questions médicales spécialisées ainsi qu’à des questions relatives au remboursement et à l’application des tarifs. Ils contrôlent notamment si les conditions préalables à la fourniture obligatoire des prestations par l’assureur sont effectivement remplies. Les fournisseurs de prestations sont tenus de fournir aux médecins-conseil les données requises afin que ces derniers puissent s’acquitter des tâches qui leur sont imparties. Les médecins-conseil sont soumis à l’obligation du secret professionnel (CPS).
Certification OCPD en matière de protection des données pour le service de réception des données du Groupe Mutuel
En raison de l’introduction du nouveau système de financement hospitalier et de la décision du Conseil fédéral visant à créer un service certifié de réception des données, l’ensemble des processus d’échanges de données électroniques de l’entreprise ont été certifiés par l’Association Suisse pour Systèmes de Qualité et de Management (SQS) conformément aux prescriptions de l’ordonnance sur les certifications en matière de protection des données (OCPD). En conséquence, toutes les factures relatives aux traitements hospitaliers stationnaires aigus peuvent être transmises par voie électronique en respectant l’ordonnance de la Confédération y afférente qui est entrée en vigueur le 1er janvier 2014.
Obtention du label de qualité "GoodPriv@cy"
Le Groupe Mutuel gère avec soin et de manière responsable les données personnelles de ses assurés, en particulier les données médicales nécessaires au contrôle des factures. En même temps que la certification OCPD, l’entreprise a obtenu en automne 2013 le label de qualité «GoodPriv@cy®», qui sera ensuite confirmé à intervalles réguliers. «GoodPriv@cy®» est conforme aux dispositions de l’ordonnance sur les certifications en matière de protection des données (OCPD) ainsi qu’aux directives du préposé fédéral à la protection des données sur les exigences minimales applicables au systèmes de gestion de la protection des données.
Contrôle des coûts dans l'intérêt de la personne assurée
Les assureurs-maladie ont l’obligation légale de vérifier les factures des prestataires, ce qui profite finalement aux assurés. Afin de procéder à un contrôle des traitements médicaux effectués, les assureurs-maladie peuvent exiger de pouvoir consulter, par le biais de leurs médecins-conseil, les dossiers médicaux des assurés. Cela est effectué dans le respect du principe de la protection de la personnalité et sert en fin de compte à l’ensemble des assurés puisque cela permet ainsi d’endiguer les coûts.
Conclusions
Dans le cadre des tensions qui existent entre la protection des données et le contrôle des coûts, ce sont les droits et la protection des assurés qui priment. Le Groupe Mutuel attache une importance particulière à la protection des données personnelles de ses assurés. Il est conscient de la grande responsabilité qu’il assume à leur égard.
La protection des données revêt un degré de priorité particulièrement élevé lors du traitement des données médicales. C’est pourquoi le Groupe Mutuel s’en tient aux directives strictes relatives à la transmission de données sur les assurés à des tiers, même s’il s’agit de membres de la famille.
Le respect de ces prescriptions légales est dans l’intérêt des assurés.
En tant qu’assureur-maladie, le Groupe Mutuel assume également sa responsabilité pour ce qui a trait au contrôle des décomptes de prestations, ce qui profite en fin de compte aux assurés
Partager
