1   Introduction

Entré en vigueur le 1^er janvier dernier, le paquet de modi­fi­ca­tions légis­la­tives rela­tives au déve­lop­pe­ment continu de l’assurance inva­li­dité (AI) prévoit notam­ment l’enregistrement sonore des entre­tiens entre assu­rés et experts. L’objectif de cette modi­fi­ca­tion légis­la­tive est d’augmenter la trans­pa­rence dans le proces­sus d’expertise et la qualité desdites exper­tises. Toutes les assu­rances sociales soumises à la Loi fédé­rale sur la partie géné­rale du droit des assu­rances sociales (LPGA) sont concer­nées (au contraire des assu­rances privées régle­men­tées par la LCA). À cette fin, l’art. 44 al. 6 LPGA prévoit ainsi que « [s]auf avis contraire de l’assuré, les entre­tiens entre l’assuré et l’expert font l’objet d’enregistrements sonores, lesquels sont conser­vés dans le dossier de l’assureur ». Cette nouvelle exigence secoue le monde de la méde­cine d’assurance et inter­pelle, posant notam­ment d’importantes ques­tions en lien avec la protec­tion des données person­nelles et le secret médical.

2   Enregistrements sonores des exper­tises : quelles exigences en lien avec la protec­tion des données et le secret médical ?

Pour rappel, doctrine majo­ri­taire et juris­pru­dence s’accordent à dire que l’art. 321 CP ne pose pas de condi­tions person­nelles spéciales d’assujettissement et ne diffé­ren­cie ainsi pas entre méde­cin-théra­peute et méde­cin-expert, de sorte qu’il n’y a pas lieu de soumettre le secret profes­sion­nel à l’existence d’un lien de confiance parti­cu­lier (voir notam­ment TC FR, arrêt 603 2016 112 du 16 février 2018, c. 4b et réfé­rences citées ). Le mandat d’expertise est ainsi soumis au secret médi­cal, cela au même titre que le mandat théra­peu­tique, et les méde­cins traitent, à l’évidence, des données person­nelles au sens de l’art. 3 let. c LPD.

Les assu­reurs-mala­die et acci­dent, ainsi que leurs méde­cins-conseils, ont la qualité d’or­gane fédé­ral au sens de l’art. 2 al. 1 let. a LPD (voir notam­ment ATF 131 II 413 c. 2.3). Les offices AI canto­naux sont quant à eux soumis aux lois canto­nales de protec­tion des données (voir notam­ment TF, arrêt 1C_​125/​2015 du 17 juillet 2015 c. 2.1 à 2.3).

Comment la révi­sion de la LPGA a‑t-elle pris en compte ces exigences légales ? Selon l’art. 7k al. 2 OPGA (égale­ment entré en vigueur le 1^er janvier 2022), l’assureur doit, lorsqu’il annonce une exper­tise,  infor­mer l’assuré (i) que l’entretien fera l’objet d’un enre­gis­tre­ment sonore, (ii) du but de l’enregistrement, et (iii) qu’il a la possi­bi­lité de renon­cer à l’enregistrement. Quant à l’assuré, celui-ci peut, au moyen d’une décla­ra­tion écrite adres­sée à l’organe d’exécution, annon­cer avant l’expertise qu’il renonce à l’enregistrement sonore, révo­quer sa renon­cia­tion, et deman­der la destruc­tion de l’enregistrement jusqu’à dix jours après l’entretien enre­gis­tré (art. 7k al. 3 et 4 OPGA). L’assuré et l’expert doivent tous deux confir­mer orale­ment le début et la fin de l’entretien, en préci­sant leurs heures respec­tives (art. 7k al. 6 OPGA). Ils doivent confir­mer de la même manière toute inter­rup­tion de l’enregistrement (id.).

En ce qui concerne l’enregistrement sonore, l’art. 7k al. 5 OPGA pres­crit que celui-ci doit être réalisé par l’expert « confor­mé­ment à des pres­crip­tions tech­niques simples ». L’expert doit égale­ment veiller à ce que l’enregistrement sonore de l’entretien se déroule correc­te­ment sur le plan tech­nique (id.). Les experts et les centres d’expertise sont tenus de trans­mettre l’enregistrement sonore à l’assureur sous forme élec­tro­nique sécu­ri­sée en même temps que l’expertise (art. 7k al. 7 OPGA).

L’accès aux enre­gis­tre­ments sonores est régle­menté par les art. 7l al. 1 et 2 OPGA. Dès que la procé­dure pour laquelle l’expertise a été manda­tée est termi­née et que la déci­sion qui en découle est entrée en force, l’assureur peut détruire l’enregistrement sonore en accord avec l’assuré (art. 7l al. 3 OPGA).

3   Risques concrets et sugges­tions de bonnes pratiques

Si l’objectif de trans­pa­rence accrue visé par ce déve­lop­pe­ment imposé dans le cadre des exper­tises en matière d’assurances sociales est à saluer, la mise en œuvre de cette nouvelle obli­ga­tion n’est pas sans risque, tant pour les assu­rés que pour les experts. Livrés à eux-mêmes dans le choix des tech­niques d’enregistrement, les experts peuvent faci­le­ment violer de nombreuses exigences légales, et notam­ment le secret médi­cal ou des obli­ga­tions rela­tives à la protec­tion des données person­nelles, par exemple en héber­geant les données dans un cloud sis à l’étranger. Le trans­fert sans droit de données rela­tives à la santé, sensibles au sens de l’art. 3 let. c LPD, peut quant à lui causer d’importants dommages aux assurés.

Face à ces enjeux, l’association eAVS/​AI, sur mandat de la Conférence des offices AI, a mis sur pied une appli­ca­tion web qui peut être utili­sée par les experts et les offices AI ainsi qu’une appli­ca­tion iOS et Android pour les experts. Ces appli­ca­tions ont pour objec­tif de répondre aux exigences légales appli­cables, y compris en matière de protec­tion des données person­nelles et de secret médi­cal. Dans la décla­ra­tion de protec­tion des données idoine, l’association eAVS/​AI indique en parti­cu­lier avoir pris « [..] des mesures tech­niques et orga­ni­sa­tion­nelles adéquates pour garan­tir la sécu­rité [des] données ». Il est précisé à ce titre que « [l]a trans­mis­sion et l’en­re­gis­tre­ment des données ainsi que l’ac­cès à celles-ci sont proté­gés par toutes les mesures tech­niques néces­saires (notam­ment chif­fre­ment, double authen­ti­fi­ca­tion) ». Par ailleurs, les données sont stockées et trai­tées exclu­si­ve­ment en Suisse (voir FAQ). Les appli­ca­tions et leur mise en œuvre ont été véri­fiées par une société tierce indé­pen­dante (id.). Finalement, en ce qui concerne les proces­sus, une fois l’enregistrement sonore terminé, celui-ci est télé­chargé sur la solu­tion puis effacé de la mémoire du télé­phone portable (id.), ce qui décharge les experts de la respon­sa­bi­lité de stocker de manière sécu­ri­sée les enre­gis­tre­ments. En ce qui concerne les exper­tises AI, il parait ainsi essen­tiel que les experts fassent usage des appli­ca­tions déve­lop­pées par l’association eAVS/​AI.

La mise en œuvre des enre­gis­tre­ments sonores dans le cadre d’expertises en lien avec d’autres assu­rances sociales, et en parti­cu­lier par les diffé­rentes compa­gnies d’assurance, repose quant à elle à ce jour essen­tiel­le­ment sur les experts indi­vi­duels. Ceux-ci doivent être conscients de leurs obli­ga­tions au regard tant de la protec­tion des données person­nelles que du secret médi­cal. Ils doivent en parti­cu­lier s’assurer que les enre­gis­tre­ments sont stockés sur des serveurs sis en Suisse et mettre en œuvre des mesures orga­ni­sa­tion­nelles et tech­niques adéquates pour garan­tir suffi­sam­ment la sécu­rité des données ainsi que les proté­ger contre des accès indus. Les exigences mini­males rela­tives à la sécu­rité infor­ma­tique des cabi­nets médi­caux (y compris l’utilisation de termi­naux privés) édic­tées par la FMH sont certai­ne­ment perti­nentes afin de poser les seuils mini­mums appli­cables et les stan­dards de la branche. En cas d’utilisation de services cloud, les exigences tech­niques et orga­ni­sa­tion­nelles pour les services sur le cloud publiées par la FMH doivent égale­ment être prises en compte.

4   Conclusion

L’enregistrement sonore des exper­tises dans le domaine des assu­rances sociales pour­suit un objec­tif essen­tiel de trans­pa­rence et de qualité. Peu accom­pa­gnée, cette obli­ga­tion désta­bi­lise les experts et il est malheu­reu­se­ment probable que sa mise en œuvre donnera lieu à des juris­pru­dences nouvelles en matière de protec­tion des données person­nelles et de viola­tion du secret médi­cal. Alors que les inté­rêts des assu­rés étaient au cœur de cette révi­sion de la LPGA, espé­rons ainsi qu’ils seront préser­vés au maxi­mum dans cette période d’adaptation de la méde­cine d’assurance.