Développement continu de l’assurance invalidité et enregistrement sonore des expertises : quels risques au regard de la protection des données personnelles et du secret médical ?
1 Introduction
Entré en vigueur le 1er janvier dernier, le paquet de modifications législatives relatives au développement continu de l’assurance invalidité (AI) prévoit notamment l’enregistrement sonore des entretiens entre assurés et experts. L’objectif de cette modification législative est d’augmenter la transparence dans le processus d’expertise et la qualité desdites expertises. Toutes les assurances sociales soumises à la Loi fédérale sur la partie générale du droit des assurances sociales (LPGA) sont concernées (au contraire des assurances privées réglementées par la LCA). À cette fin, l’art. 44 al. 6 LPGA prévoit ainsi que « [s]auf avis contraire de l’assuré, les entretiens entre l’assuré et l’expert font l’objet d’enregistrements sonores, lesquels sont conservés dans le dossier de l’assureur ». Cette nouvelle exigence secoue le monde de la médecine d’assurance et interpelle, posant notamment d’importantes questions en lien avec la protection des données personnelles et le secret médical.
2 Enregistrements sonores des expertises : quelles exigences en lien avec la protection des données et le secret médical ?
Pour rappel, doctrine majoritaire et jurisprudence s’accordent à dire que l’art. 321 CP ne pose pas de conditions personnelles spéciales d’assujettissement et ne différencie ainsi pas entre médecin-thérapeute et médecin-expert, de sorte qu’il n’y a pas lieu de soumettre le secret professionnel à l’existence d’un lien de confiance particulier (voir notamment TC FR, arrêt 603 2016 112 du 16 février 2018, c. 4b et références citées ). Le mandat d’expertise est ainsi soumis au secret médical, cela au même titre que le mandat thérapeutique, et les médecins traitent, à l’évidence, des données personnelles au sens de l’art. 3 let. c LPD.
Les assureurs-maladie et accident, ainsi que leurs médecins-conseils, ont la qualité d’organe fédéral au sens de l’art. 2 al. 1 let. a LPD (voir notamment ATF 131 II 413 c. 2.3). Les offices AI cantonaux sont quant à eux soumis aux lois cantonales de protection des données (voir notamment TF, arrêt 1C_125/2015 du 17 juillet 2015 c. 2.1 à 2.3).
Comment la révision de la LPGA a‑t-elle pris en compte ces exigences légales ? Selon l’art. 7k al. 2 OPGA (également entré en vigueur le 1er janvier 2022), l’assureur doit, lorsqu’il annonce une expertise, informer l’assuré (i) que l’entretien fera l’objet d’un enregistrement sonore, (ii) du but de l’enregistrement, et (iii) qu’il a la possibilité de renoncer à l’enregistrement. Quant à l’assuré, celui-ci peut, au moyen d’une déclaration écrite adressée à l’organe d’exécution, annoncer avant l’expertise qu’il renonce à l’enregistrement sonore, révoquer sa renonciation, et demander la destruction de l’enregistrement jusqu’à dix jours après l’entretien enregistré (art. 7k al. 3 et 4 OPGA). L’assuré et l’expert doivent tous deux confirmer oralement le début et la fin de l’entretien, en précisant leurs heures respectives (art. 7k al. 6 OPGA). Ils doivent confirmer de la même manière toute interruption de l’enregistrement (id.).
En ce qui concerne l’enregistrement sonore, l’art. 7k al. 5 OPGA prescrit que celui-ci doit être réalisé par l’expert « conformément à des prescriptions techniques simples ». L’expert doit également veiller à ce que l’enregistrement sonore de l’entretien se déroule correctement sur le plan technique (id.). Les experts et les centres d’expertise sont tenus de transmettre l’enregistrement sonore à l’assureur sous forme électronique sécurisée en même temps que l’expertise (art. 7k al. 7 OPGA).
L’accès aux enregistrements sonores est réglementé par les art. 7l al. 1 et 2 OPGA. Dès que la procédure pour laquelle l’expertise a été mandatée est terminée et que la décision qui en découle est entrée en force, l’assureur peut détruire l’enregistrement sonore en accord avec l’assuré (art. 7l al. 3 OPGA).
3 Risques concrets et suggestions de bonnes pratiques
Si l’objectif de transparence accrue visé par ce développement imposé dans le cadre des expertises en matière d’assurances sociales est à saluer, la mise en œuvre de cette nouvelle obligation n’est pas sans risque, tant pour les assurés que pour les experts. Livrés à eux-mêmes dans le choix des techniques d’enregistrement, les experts peuvent facilement violer de nombreuses exigences légales, et notamment le secret médical ou des obligations relatives à la protection des données personnelles, par exemple en hébergeant les données dans un cloud sis à l’étranger. Le transfert sans droit de données relatives à la santé, sensibles au sens de l’art. 3 let. c LPD, peut quant à lui causer d’importants dommages aux assurés.
Face à ces enjeux, l’association eAVS/AI, sur mandat de la Conférence des offices AI, a mis sur pied une application web qui peut être utilisée par les experts et les offices AI ainsi qu’une application iOS et Android pour les experts. Ces applications ont pour objectif de répondre aux exigences légales applicables, y compris en matière de protection des données personnelles et de secret médical. Dans la déclaration de protection des données idoine, l’association eAVS/AI indique en particulier avoir pris « [..] des mesures techniques et organisationnelles adéquates pour garantir la sécurité [des] données ». Il est précisé à ce titre que « [l]a transmission et l’enregistrement des données ainsi que l’accès à celles-ci sont protégés par toutes les mesures techniques nécessaires (notamment chiffrement, double authentification) ». Par ailleurs, les données sont stockées et traitées exclusivement en Suisse (voir FAQ). Les applications et leur mise en œuvre ont été vérifiées par une société tierce indépendante (id.). Finalement, en ce qui concerne les processus, une fois l’enregistrement sonore terminé, celui-ci est téléchargé sur la solution puis effacé de la mémoire du téléphone portable (id.), ce qui décharge les experts de la responsabilité de stocker de manière sécurisée les enregistrements. En ce qui concerne les expertises AI, il parait ainsi essentiel que les experts fassent usage des applications développées par l’association eAVS/AI.
La mise en œuvre des enregistrements sonores dans le cadre d’expertises en lien avec d’autres assurances sociales, et en particulier par les différentes compagnies d’assurance, repose quant à elle à ce jour essentiellement sur les experts individuels. Ceux-ci doivent être conscients de leurs obligations au regard tant de la protection des données personnelles que du secret médical. Ils doivent en particulier s’assurer que les enregistrements sont stockés sur des serveurs sis en Suisse et mettre en œuvre des mesures organisationnelles et techniques adéquates pour garantir suffisamment la sécurité des données ainsi que les protéger contre des accès indus. Les exigences minimales relatives à la sécurité informatique des cabinets médicaux (y compris l’utilisation de terminaux privés) édictées par la FMH sont certainement pertinentes afin de poser les seuils minimums applicables et les standards de la branche. En cas d’utilisation de services cloud, les exigences techniques et organisationnelles pour les services sur le cloud publiées par la FMH doivent également être prises en compte.
4 Conclusion
L’enregistrement sonore des expertises dans le domaine des assurances sociales poursuit un objectif essentiel de transparence et de qualité. Peu accompagnée, cette obligation déstabilise les experts et il est malheureusement probable que sa mise en œuvre donnera lieu à des jurisprudences nouvelles en matière de protection des données personnelles et de violation du secret médical. Alors que les intérêts des assurés étaient au cœur de cette révision de la LPGA, espérons ainsi qu’ils seront préservés au maximum dans cette période d’adaptation de la médecine d’assurance.
Proposition de citation : Stéphanie Chuffart-Finsterwald, Développement continu de l’assurance invalidité et enregistrement sonore des expertises : quels risques au regard de la protection des données personnelles et du secret médical ?, 20 juillet 2022 in www.swissprivacy.law/158
Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.