Arrêt du Tribunal fédé­ral 9C_​650/​2021 du 7 novembre 2022*

Employée depuis octobre 2012 au sein d’une clinique privée à hauteur de 80%, une infir­mière est assu­rée contre la perte de gain en cas de mala­die par Mutuel Assurances SA (Mutuel Assurances), un assu­reur complé­men­taire privé soumis à la Loi fédé­rale sur le contrat d’assurance (LCA). Début 2014, l’assurée débute une acti­vité acces­soire d’infirmière indé­pen­dante à hauteur de 20%. À ce titre, elle conclut en septembre 2017 une assu­rance indi­vi­duelle facul­ta­tive d’indemnités jour­na­lières selon la loi fédé­rale sur l’as­su­rance-mala­die (LAMal) auprès d’Avenir Assurance Maladie SA (Avenir Assurance), une assu­rance faisant partie du même groupe que Mutuel Assurances.

Lors de la conclu­sion de la propo­si­tion d’assurance auprès d’Avenir Assurance, l’assurée remplit un « Questionnaire de santé » au sein duquel elle n’indique pas l’existence d’un quel­conque trouble de la santé. Or, l’assurée se savait alors atteinte d’hydrocéphalie, une patho­lo­gie lui causant des phases d’incapacité entière de travail. Ce diag­nos­tic avait fait l’objet de deux rapports établis par un méde­cin et trans­mis à Mutuel Assurances en octobre 2017 et avril 2019.

En août 2019, Avenir Assurance reçoit une décla­ra­tion d’incapacité de travail de l’assurée pour cause d’hydrocéphalie. Après avoir obtenu, en décembre 2019, l’autorisation de son assu­rée, Avenir Assurance reçoit accès au dossier médi­cal de cette dernière de la part de Mutuel Assurances.  En janvier 2020, Avenir Assurance rend une déci­sion, confir­mée sur oppo­si­tion, insti­tuant, en raison d’une réti­cence, une réserve rétro­ac­tive pour une durée de 5 ans dès le 13 septembre 2017 pour cause d’hydrocéphalie, refuse tout droit aux pres­ta­tions et rési­lie le contrat d’assurance.

Saisi d’un recours, le Tribunal canto­nal du Valais juge que le délai pour insti­tuer une réserve pour motif de réti­cence était échu. Se fondant sur la théo­rie de l’accessibilité, les premiers juges consi­dèrent que les rapports médi­caux commu­ni­qués à Mutuel Assurances devaient être répu­tés connus d’Avenir Assurance dès le 25 octobre 2017 ; les socié­tés d’assurance prati­quant « toutes deux l’assurance-maladie sociale » et ayant adopté une orga­ni­sa­tion et une admi­nis­tra­tion commune.

Avenir Assurance saisit le Tribunal fédé­ral, invo­quant une viola­tion de l’art. 13 al. 2 Cst. (droit à la protec­tion de la sphère privée de l’assurée) ainsi que de la Loi fédé­rale sur la protec­tion des données (LPD). À noter que les juges fédé­raux consi­dèrent le recours en tant qu’il est fondé sur l’art. 13 al. 2 Cst. comme irre­ce­vable, celui-ci invo­quant un droit consti­tu­tion­nel dont Avenir Assurance n’est pas titu­laire. L’intérêt digne de protec­tion de l’assureur fondé sur la viola­tion de la LPD est toute­fois reconnu et fonde la rece­va­bi­lité du recours sur ce grief.

Malgré leur appar­te­nance à un même groupe, Avenir Assurance soutient que l’assureur LAMal doit être consi­déré comme un tiers par rapport à un assu­reur LCA et que, dès lors, les données médi­cales ne pouvaient être trans­mises entre assu­reurs sans motifs justi­fi­ca­tifs. Dans ce contexte, le Tribunal fédé­ral analyse (i) si Avenir Assurance doit se voir impu­ter la connais­sance qu’avait Mutuel Assurances des faits concer­nant l’assurée et (ii) le régime légal appli­cable aux organes fédéraux.

Application de la théo­rie de l’accessibilité.

Le Tribunal fédé­ral rappelle tout d’abord sa juris­pru­dence rela­tive à la théo­rie de l’accessibilité, selon laquelle une personne morale dispose de la connais­sance d’un état de fait lorsque l’information corres­pon­dante est objec­ti­ve­ment acces­sible au sein de son orga­ni­sa­tion. Toutefois, notre Haute Cour précise, qu’en l’espèce, la théo­rie de l’accessibilité ne saurait être appli­quée en faisant abstrac­tion de la posi­tion parti­cu­lière d’Avenir Assurance en tant qu’assureur-maladie social. En effet, la caisse mala­die, qui accom­plit une tâche publique (voir art. 1a LAMal) et a ainsi la qualité d’organe fédé­ral au sens de la LPD (art. 3 let. h LPD), est soumise à des règles plus strictes en matière de protec­tion des données que les entre­prises n’ayant pas une telle fonc­tion (voir notam­ment art. 28 al. 3 LPGA et 33 LPGA).

En outre, confir­mant la posi­tion d’Avenir Assurance selon laquelle les deux assu­reurs doivent être consi­dé­rés comme des tiers (art. 84a al. 5 LAMal), le Tribunal fédé­ral souligne que les aspects liés au trans­fert et au trai­te­ment des infor­ma­tions entre tiers – voire d’éventuelles limites légales à la trans­mis­sion des infor­ma­tions – ont leur impor­tance. Dès lors, lorsque le compor­te­ment d’un assu­reur-mala­die social est en cause, il convient de prendre en consi­dé­ra­tion les carac­té­ris­tiques de l’organisation des caisses-mala­dies, qui se doit d’être conci­liable avec le régime légal de la protec­tion des données, auxquelles celles-ci sont soumises en tant qu’organe fédéral.

Régime légal appli­cable aux organes fédéraux. 

Le Tribunal fédé­ral rappelle ensuite que l’assureur-maladie social n’est en droit de trai­ter des données sensibles (y compris les données sur la santé, art. 3 let. c LPD) que si une loi au sens formel le prévoit expres­sé­ment (art. 84 LAMal) ou si, excep­tion­nel­le­ment, la personne concer­née y a consenti ou a rendu ses données acces­sibles à tout un chacun et ne s’est pas oppo­sée formel­le­ment au trai­te­ment (art. 17 al. 2 let. c LPD). L’assureur-maladie social doit égale­ment s’assurer que le trai­te­ment des données (art. 3 let. e LPD) soit conforme à la loi.

Or, à teneur de loi, l’échange d’informations géné­ral entre la caisse-mala­die et un assu­reur complé­men­taire privé – même s’ils appar­tiennent au même groupe – est inter­dit, que le trans­fert des données se fasse de l’assureur-maladie social à l’assureur privé ou inver­se­ment. Dès lors, une commu­ni­ca­tion des données ne peut être envi­sa­gée sans le consen­te­ment de la personne concer­née (art. 13 al. 1 LPD et 84a al. 5 LAMal). À cet égard, le Tribunal fédé­ral précise que la signa­ture de la propo­si­tion d’assurance en septembre 2017 ne saurait consti­tuer un tel consen­te­ment. Si l’assurée a alors accepté de lever l’obligation des assu­reurs du groupe de garder le secret envers Avenir Assurance, cet accord ne porte que sur des cas dans lesquels il existe des soup­çons de réti­cence ou de fraude. Or, rien n’indique qu’Avenir Assurance aurait dû soup­çon­ner de tels compor­te­ments en 2017. Partant, le Tribunal fédé­ral consi­dère qu’Avenir Assurance n’a béné­fi­cié d’un consen­te­ment de l’assurée à la trans­mis­sion de ses données que dès décembre 2019.

Finalement, le Tribunal fédé­ral retient que, confor­mé­ment aux exigences de l’autorité de surveillance des assu­reurs-mala­die sociaux, les dossiers de l’assurée auprès des deux assu­reurs ont été enre­gis­trés sépa­ré­ment et sont trai­tés par des colla­bo­ra­trices diffé­rentes n’ayant pas un accès réci­proque et systé­ma­tique aux dossiers de l’autre assu­reur. Dans le cas d’espèce, rien n’indique qu’Avenir Assurance aurait, en viola­tion des règles en la matière, accédé spon­ta­né­ment aux données de Mutuel Assurances ou que cette dernière les aurait trans­mises à l’assureur-maladie social. Ainsi, malgré leur orga­ni­sa­tion commune, l’on ne saurait impu­ter à Avenir Assurance la connais­sance des données faisant partie du dossier de Mutuel Assurances avant le consen­te­ment de l’assurée à la trans­mis­sion de son dossier en décembre 2019.

Compte tenu de ce qui précède, le Tribunal fédé­ral consi­dère qu’Avenir Assurance a agi dans le délai juris­pru­den­tiel prévu pour émettre une réserve fondée sur une réti­cence. Le recours est admis et l’arrêt des premiers juges est annulé en tant qu’il porte l’obligation d’Avenir Assurance de verser des pres­ta­tions à l’assurée.

En 2014, le Tribunal fédé­ral avait décidé dans un arrêt 4A_​294/​2014, portant égale­ment sur un cas de réti­cence, que l’assureur de base et l’assureur complé­men­taire privé d’un même groupe devaient être répu­tés connaître les infor­ma­tions perti­nentes concer­nant un.e assuré.e et acces­sibles au sein de leur orga­ni­sa­tion. Cette déci­sion avait suscité de nombreuses réac­tions, notam­ment de la part du Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence, qui avait alors indi­qué que la déci­sion était « déli­cate du point de vue de la protec­tion des données ». C’est d’ailleurs sur cette juris­pru­dence fédé­rale que la déci­sion canto­nale valai­sanne, en l’espèce, se fondait pour donner raison à l’assurée. L’arrêt 9C_​650/​2021 ne retourne pas cette juris­pru­dence et les juges fédé­raux ont préféré souli­gner la diffé­rence factuelle entre les deux cas, à savoir que dans l’affaire Groupe Mutuel, c’est le compor­te­ment d’un assu­reur-mala­die social qui est perti­nent et que, dès lors, il y a lieu de prendre en consi­dé­ra­tion les carac­té­ris­tiques de l’or­ga­ni­sa­tion des caisses-mala­die, qui doit être conci­liable avec le régime légal de la protec­tion des données. Bien que le résul­tat parait juri­di­que­ment indis­cu­table, l’on peut toute­fois regret­ter une formu­la­tion un peu malheu­reuse qui pour­rait – à tort – donner à penser que l’or­ga­ni­sa­tion d’un assu­reur complé­men­taire privé n’aurait, quant à lui, pas à être conci­liable avec le régime légal de la protec­tion des données.