swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

Transmissions de données sensibles entre assureurs LAMal et LCA d’un même groupe 

Stéphanie Chuffart-Finsterwald et Alma Marchand, le 1er février 2023
Nonobstant l’organisation commune de deux assu­reurs appar­te­nant à un même groupe, un assu­reur-mala­die social four­nis­sant des pres­ta­tions au sens de la LAMal ne peut se voir impu­ter la connais­sance de données sensibles rela­tives à l’un.e de ses assuré.e.s, recueillies par un assu­reur complé­men­taire privé soumis à la LCA, à moins que l’assuré.e n’ait (vala­ble­ment) consenti au trans­fert de données.

Arrêt du Tribunal fédé­ral 9C_​650/​2021 du 7 novembre 2022*

Employée depuis octobre 2012 au sein d’une clinique privée à hauteur de 80%, une infir­mière est assu­rée contre la perte de gain en cas de mala­die par Mutuel Assurances SA (Mutuel Assurances), un assu­reur complé­men­taire privé soumis à la Loi fédé­rale sur le contrat d’assurance (LCA). Début 2014, l’assurée débute une acti­vité acces­soire d’infirmière indé­pen­dante à hauteur de 20%. À ce titre, elle conclut en septembre 2017 une assu­rance indi­vi­duelle facul­ta­tive d’indemnités jour­na­lières selon la loi fédé­rale sur l’as­su­rance-mala­die (LAMal) auprès d’Avenir Assurance Maladie SA (Avenir Assurance), une assu­rance faisant partie du même groupe que Mutuel Assurances.

Lors de la conclu­sion de la propo­si­tion d’assurance auprès d’Avenir Assurance, l’assurée remplit un « Questionnaire de santé » au sein duquel elle n’indique pas l’existence d’un quel­conque trouble de la santé. Or, l’assurée se savait alors atteinte d’hydrocéphalie, une patho­lo­gie lui causant des phases d’incapacité entière de travail. Ce diag­nos­tic avait fait l’objet de deux rapports établis par un méde­cin et trans­mis à Mutuel Assurances en octobre 2017 et avril 2019.

En août 2019, Avenir Assurance reçoit une décla­ra­tion d’incapacité de travail de l’assurée pour cause d’hydrocéphalie. Après avoir obtenu, en décembre 2019, l’autorisation de son assu­rée, Avenir Assurance reçoit accès au dossier médi­cal de cette dernière de la part de Mutuel Assurances.  En janvier 2020, Avenir Assurance rend une déci­sion, confir­mée sur oppo­si­tion, insti­tuant, en raison d’une réti­cence, une réserve rétro­ac­tive pour une durée de 5 ans dès le 13 septembre 2017 pour cause d’hydrocéphalie, refuse tout droit aux pres­ta­tions et rési­lie le contrat d’assurance.

Saisi d’un recours, le Tribunal canto­nal du Valais juge que le délai pour insti­tuer une réserve pour motif de réti­cence était échu. Se fondant sur la théo­rie de l’accessibilité, les premiers juges consi­dèrent que les rapports médi­caux commu­ni­qués à Mutuel Assurances devaient être répu­tés connus d’Avenir Assurance dès le 25 octobre 2017 ; les socié­tés d’assurance prati­quant « toutes deux l’assurance-maladie sociale » et ayant adopté une orga­ni­sa­tion et une admi­nis­tra­tion commune.

Avenir Assurance saisit le Tribunal fédé­ral, invo­quant une viola­tion de l’art. 13 al. 2 Cst. (droit à la protec­tion de la sphère privée de l’assurée) ainsi que de la Loi fédé­rale sur la protec­tion des données (LPD). À noter que les juges fédé­raux consi­dèrent le recours en tant qu’il est fondé sur l’art. 13 al. 2 Cst. comme irre­ce­vable, celui-ci invo­quant un droit consti­tu­tion­nel dont Avenir Assurance n’est pas titu­laire. L’intérêt digne de protec­tion de l’assureur fondé sur la viola­tion de la LPD est toute­fois reconnu et fonde la rece­va­bi­lité du recours sur ce grief.

Malgré leur appar­te­nance à un même groupe, Avenir Assurance soutient que l’assureur LAMal doit être consi­déré comme un tiers par rapport à un assu­reur LCA et que, dès lors, les données médi­cales ne pouvaient être trans­mises entre assu­reurs sans motifs justi­fi­ca­tifs. Dans ce contexte, le Tribunal fédé­ral analyse (i) si Avenir Assurance doit se voir impu­ter la connais­sance qu’avait Mutuel Assurances des faits concer­nant l’assurée et (ii) le régime légal appli­cable aux organes fédéraux.

Application de la théo­rie de l’accessibilité.

Le Tribunal fédé­ral rappelle tout d’abord sa juris­pru­dence rela­tive à la théo­rie de l’accessibilité, selon laquelle une personne morale dispose de la connais­sance d’un état de fait lorsque l’information corres­pon­dante est objec­ti­ve­ment acces­sible au sein de son orga­ni­sa­tion. Toutefois, notre Haute Cour précise, qu’en l’espèce, la théo­rie de l’accessibilité ne saurait être appli­quée en faisant abstrac­tion de la posi­tion parti­cu­lière d’Avenir Assurance en tant qu’assureur-maladie social. En effet, la caisse mala­die, qui accom­plit une tâche publique (voir art. 1a LAMal) et a ainsi la qualité d’organe fédé­ral au sens de la LPD (art. 3 let. h LPD), est soumise à des règles plus strictes en matière de protec­tion des données que les entre­prises n’ayant pas une telle fonc­tion (voir notam­ment art. 28 al. 3 LPGA et 33 LPGA).

En outre, confir­mant la posi­tion d’Avenir Assurance selon laquelle les deux assu­reurs doivent être consi­dé­rés comme des tiers (art. 84a al. 5 LAMal), le Tribunal fédé­ral souligne que les aspects liés au trans­fert et au trai­te­ment des infor­ma­tions entre tiers – voire d’éventuelles limites légales à la trans­mis­sion des infor­ma­tions – ont leur impor­tance. Dès lors, lorsque le compor­te­ment d’un assu­reur-mala­die social est en cause, il convient de prendre en consi­dé­ra­tion les carac­té­ris­tiques de l’organisation des caisses-mala­dies, qui se doit d’être conci­liable avec le régime légal de la protec­tion des données, auxquelles celles-ci sont soumises en tant qu’organe fédéral.

Régime légal appli­cable aux organes fédéraux. 

Le Tribunal fédé­ral rappelle ensuite que l’assureur-maladie social n’est en droit de trai­ter des données sensibles (y compris les données sur la santé, art. 3 let. c LPD) que si une loi au sens formel le prévoit expres­sé­ment (art. 84 LAMal) ou si, excep­tion­nel­le­ment, la personne concer­née y a consenti ou a rendu ses données acces­sibles à tout un chacun et ne s’est pas oppo­sée formel­le­ment au trai­te­ment (art. 17 al. 2 let. c LPD). L’assureur-maladie social doit égale­ment s’assurer que le trai­te­ment des données (art. 3 let. e LPD) soit conforme à la loi.

Or, à teneur de loi, l’échange d’informations géné­ral entre la caisse-mala­die et un assu­reur complé­men­taire privé – même s’ils appar­tiennent au même groupe – est inter­dit, que le trans­fert des données se fasse de l’assureur-maladie social à l’assureur privé ou inver­se­ment. Dès lors, une commu­ni­ca­tion des données ne peut être envi­sa­gée sans le consen­te­ment de la personne concer­née (art. 13 al. 1 LPD et 84a al. 5 LAMal). À cet égard, le Tribunal fédé­ral précise que la signa­ture de la propo­si­tion d’assurance en septembre 2017 ne saurait consti­tuer un tel consen­te­ment. Si l’assurée a alors accepté de lever l’obligation des assu­reurs du groupe de garder le secret envers Avenir Assurance, cet accord ne porte que sur des cas dans lesquels il existe des soup­çons de réti­cence ou de fraude. Or, rien n’indique qu’Avenir Assurance aurait dû soup­çon­ner de tels compor­te­ments en 2017. Partant, le Tribunal fédé­ral consi­dère qu’Avenir Assurance n’a béné­fi­cié d’un consen­te­ment de l’assurée à la trans­mis­sion de ses données que dès décembre 2019.

Finalement, le Tribunal fédé­ral retient que, confor­mé­ment aux exigences de l’autorité de surveillance des assu­reurs-mala­die sociaux, les dossiers de l’assurée auprès des deux assu­reurs ont été enre­gis­trés sépa­ré­ment et sont trai­tés par des colla­bo­ra­trices diffé­rentes n’ayant pas un accès réci­proque et systé­ma­tique aux dossiers de l’autre assu­reur. Dans le cas d’espèce, rien n’indique qu’Avenir Assurance aurait, en viola­tion des règles en la matière, accédé spon­ta­né­ment aux données de Mutuel Assurances ou que cette dernière les aurait trans­mises à l’assureur-maladie social. Ainsi, malgré leur orga­ni­sa­tion commune, l’on ne saurait impu­ter à Avenir Assurance la connais­sance des données faisant partie du dossier de Mutuel Assurances avant le consen­te­ment de l’assurée à la trans­mis­sion de son dossier en décembre 2019.

Compte tenu de ce qui précède, le Tribunal fédé­ral consi­dère qu’Avenir Assurance a agi dans le délai juris­pru­den­tiel prévu pour émettre une réserve fondée sur une réti­cence. Le recours est admis et l’arrêt des premiers juges est annulé en tant qu’il porte l’obligation d’Avenir Assurance de verser des pres­ta­tions à l’assurée.

En 2014, le Tribunal fédé­ral avait décidé dans un arrêt 4A_​294/​2014, portant égale­ment sur un cas de réti­cence, que l’assureur de base et l’assureur complé­men­taire privé d’un même groupe devaient être répu­tés connaître les infor­ma­tions perti­nentes concer­nant un.e assuré.e et acces­sibles au sein de leur orga­ni­sa­tion. Cette déci­sion avait suscité de nombreuses réac­tions, notam­ment de la part du Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence, qui avait alors indi­qué que la déci­sion était « déli­cate du point de vue de la protec­tion des données ». C’est d’ailleurs sur cette juris­pru­dence fédé­rale que la déci­sion canto­nale valai­sanne, en l’espèce, se fondait pour donner raison à l’assurée. L’arrêt 9C_​650/​2021 ne retourne pas cette juris­pru­dence et les juges fédé­raux ont préféré souli­gner la diffé­rence factuelle entre les deux cas, à savoir que dans l’affaire Groupe Mutuel, c’est le compor­te­ment d’un assu­reur-mala­die social qui est perti­nent et que, dès lors, il y a lieu de prendre en consi­dé­ra­tion les carac­té­ris­tiques de l’or­ga­ni­sa­tion des caisses-mala­die, qui doit être conci­liable avec le régime légal de la protec­tion des données. Bien que le résul­tat parait juri­di­que­ment indis­cu­table, l’on peut toute­fois regret­ter une formu­la­tion un peu malheu­reuse qui pour­rait – à tort – donner à penser que l’or­ga­ni­sa­tion d’un assu­reur complé­men­taire privé n’aurait, quant à lui, pas à être conci­liable avec le régime légal de la protec­tion des données.



Proposition de citation : Stéphanie Chuffart-Finsterwald / Alma Marchand, Transmissions de données sensibles entre assureurs LAMal et LCA d’un même groupe , 1er février 2023 in www.swissprivacy.law/197


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • La mise en place de mesures de sécurité techniques et organisationnelles : not just a checklist !
  • Télémonitoring et données médicales : le casse-tête des professionnels de la santé
  • Le transfert de données à l'étranger : état des lieux en Suisse
  • Données personnelles : une approche dynamique, contextuelle et pragmatique
Derniers articles
  • Contenu de l’information sur le licenciement d’un employé à l’interne
  • L’administration publique responsable dans l’utilisation de services en nuage
  • Une DPO peut-elle être licenciée pour une raison autre que celle liée à ses qualités professionnelles ?
  • La mise en place de mesures de sécurité techniques et organisationnelles : not just a checklist !
Abonnement à notre newsletter
swissprivacy.law