Transmissions de données sensibles entre assureurs LAMal et LCA d’un même groupe
Arrêt du Tribunal fédéral 9C_650/2021 du 7 novembre 2022*
Employée depuis octobre 2012 au sein d’une clinique privée à hauteur de 80%, une infirmière est assurée contre la perte de gain en cas de maladie par Mutuel Assurances SA (Mutuel Assurances), un assureur complémentaire privé soumis à la Loi fédérale sur le contrat d’assurance (LCA). Début 2014, l’assurée débute une activité accessoire d’infirmière indépendante à hauteur de 20%. À ce titre, elle conclut en septembre 2017 une assurance individuelle facultative d’indemnités journalières selon la loi fédérale sur l’assurance-maladie (LAMal) auprès d’Avenir Assurance Maladie SA (Avenir Assurance), une assurance faisant partie du même groupe que Mutuel Assurances.
Lors de la conclusion de la proposition d’assurance auprès d’Avenir Assurance, l’assurée remplit un « Questionnaire de santé » au sein duquel elle n’indique pas l’existence d’un quelconque trouble de la santé. Or, l’assurée se savait alors atteinte d’hydrocéphalie, une pathologie lui causant des phases d’incapacité entière de travail. Ce diagnostic avait fait l’objet de deux rapports établis par un médecin et transmis à Mutuel Assurances en octobre 2017 et avril 2019.
En août 2019, Avenir Assurance reçoit une déclaration d’incapacité de travail de l’assurée pour cause d’hydrocéphalie. Après avoir obtenu, en décembre 2019, l’autorisation de son assurée, Avenir Assurance reçoit accès au dossier médical de cette dernière de la part de Mutuel Assurances. En janvier 2020, Avenir Assurance rend une décision, confirmée sur opposition, instituant, en raison d’une réticence, une réserve rétroactive pour une durée de 5 ans dès le 13 septembre 2017 pour cause d’hydrocéphalie, refuse tout droit aux prestations et résilie le contrat d’assurance.
Saisi d’un recours, le Tribunal cantonal du Valais juge que le délai pour instituer une réserve pour motif de réticence était échu. Se fondant sur la théorie de l’accessibilité, les premiers juges considèrent que les rapports médicaux communiqués à Mutuel Assurances devaient être réputés connus d’Avenir Assurance dès le 25 octobre 2017 ; les sociétés d’assurance pratiquant « toutes deux l’assurance-maladie sociale » et ayant adopté une organisation et une administration commune.
Avenir Assurance saisit le Tribunal fédéral, invoquant une violation de l’art. 13 al. 2 Cst. (droit à la protection de la sphère privée de l’assurée) ainsi que de la Loi fédérale sur la protection des données (LPD). À noter que les juges fédéraux considèrent le recours en tant qu’il est fondé sur l’art. 13 al. 2 Cst. comme irrecevable, celui-ci invoquant un droit constitutionnel dont Avenir Assurance n’est pas titulaire. L’intérêt digne de protection de l’assureur fondé sur la violation de la LPD est toutefois reconnu et fonde la recevabilité du recours sur ce grief.
Malgré leur appartenance à un même groupe, Avenir Assurance soutient que l’assureur LAMal doit être considéré comme un tiers par rapport à un assureur LCA et que, dès lors, les données médicales ne pouvaient être transmises entre assureurs sans motifs justificatifs. Dans ce contexte, le Tribunal fédéral analyse (i) si Avenir Assurance doit se voir imputer la connaissance qu’avait Mutuel Assurances des faits concernant l’assurée et (ii) le régime légal applicable aux organes fédéraux.
Application de la théorie de l’accessibilité.
Le Tribunal fédéral rappelle tout d’abord sa jurisprudence relative à la théorie de l’accessibilité, selon laquelle une personne morale dispose de la connaissance d’un état de fait lorsque l’information correspondante est objectivement accessible au sein de son organisation. Toutefois, notre Haute Cour précise, qu’en l’espèce, la théorie de l’accessibilité ne saurait être appliquée en faisant abstraction de la position particulière d’Avenir Assurance en tant qu’assureur-maladie social. En effet, la caisse maladie, qui accomplit une tâche publique (voir art. 1a LAMal) et a ainsi la qualité d’organe fédéral au sens de la LPD (art. 3 let. h LPD), est soumise à des règles plus strictes en matière de protection des données que les entreprises n’ayant pas une telle fonction (voir notamment art. 28 al. 3 LPGA et 33 LPGA).
En outre, confirmant la position d’Avenir Assurance selon laquelle les deux assureurs doivent être considérés comme des tiers (art. 84a al. 5 LAMal), le Tribunal fédéral souligne que les aspects liés au transfert et au traitement des informations entre tiers – voire d’éventuelles limites légales à la transmission des informations – ont leur importance. Dès lors, lorsque le comportement d’un assureur-maladie social est en cause, il convient de prendre en considération les caractéristiques de l’organisation des caisses-maladies, qui se doit d’être conciliable avec le régime légal de la protection des données, auxquelles celles-ci sont soumises en tant qu’organe fédéral.
Régime légal applicable aux organes fédéraux.
Le Tribunal fédéral rappelle ensuite que l’assureur-maladie social n’est en droit de traiter des données sensibles (y compris les données sur la santé, art. 3 let. c LPD) que si une loi au sens formel le prévoit expressément (art. 84 LAMal) ou si, exceptionnellement, la personne concernée y a consenti ou a rendu ses données accessibles à tout un chacun et ne s’est pas opposée formellement au traitement (art. 17 al. 2 let. c LPD). L’assureur-maladie social doit également s’assurer que le traitement des données (art. 3 let. e LPD) soit conforme à la loi.
Or, à teneur de loi, l’échange d’informations général entre la caisse-maladie et un assureur complémentaire privé – même s’ils appartiennent au même groupe – est interdit, que le transfert des données se fasse de l’assureur-maladie social à l’assureur privé ou inversement. Dès lors, une communication des données ne peut être envisagée sans le consentement de la personne concernée (art. 13 al. 1 LPD et 84a al. 5 LAMal). À cet égard, le Tribunal fédéral précise que la signature de la proposition d’assurance en septembre 2017 ne saurait constituer un tel consentement. Si l’assurée a alors accepté de lever l’obligation des assureurs du groupe de garder le secret envers Avenir Assurance, cet accord ne porte que sur des cas dans lesquels il existe des soupçons de réticence ou de fraude. Or, rien n’indique qu’Avenir Assurance aurait dû soupçonner de tels comportements en 2017. Partant, le Tribunal fédéral considère qu’Avenir Assurance n’a bénéficié d’un consentement de l’assurée à la transmission de ses données que dès décembre 2019.
Finalement, le Tribunal fédéral retient que, conformément aux exigences de l’autorité de surveillance des assureurs-maladie sociaux, les dossiers de l’assurée auprès des deux assureurs ont été enregistrés séparément et sont traités par des collaboratrices différentes n’ayant pas un accès réciproque et systématique aux dossiers de l’autre assureur. Dans le cas d’espèce, rien n’indique qu’Avenir Assurance aurait, en violation des règles en la matière, accédé spontanément aux données de Mutuel Assurances ou que cette dernière les aurait transmises à l’assureur-maladie social. Ainsi, malgré leur organisation commune, l’on ne saurait imputer à Avenir Assurance la connaissance des données faisant partie du dossier de Mutuel Assurances avant le consentement de l’assurée à la transmission de son dossier en décembre 2019.
Compte tenu de ce qui précède, le Tribunal fédéral considère qu’Avenir Assurance a agi dans le délai jurisprudentiel prévu pour émettre une réserve fondée sur une réticence. Le recours est admis et l’arrêt des premiers juges est annulé en tant qu’il porte l’obligation d’Avenir Assurance de verser des prestations à l’assurée.
En 2014, le Tribunal fédéral avait décidé dans un arrêt 4A_294/2014, portant également sur un cas de réticence, que l’assureur de base et l’assureur complémentaire privé d’un même groupe devaient être réputés connaître les informations pertinentes concernant un.e assuré.e et accessibles au sein de leur organisation. Cette décision avait suscité de nombreuses réactions, notamment de la part du Préposé fédéral à la protection des données et à la transparence, qui avait alors indiqué que la décision était « délicate du point de vue de la protection des données ». C’est d’ailleurs sur cette jurisprudence fédérale que la décision cantonale valaisanne, en l’espèce, se fondait pour donner raison à l’assurée. L’arrêt 9C_650/2021 ne retourne pas cette jurisprudence et les juges fédéraux ont préféré souligner la différence factuelle entre les deux cas, à savoir que dans l’affaire Groupe Mutuel, c’est le comportement d’un assureur-maladie social qui est pertinent et que, dès lors, il y a lieu de prendre en considération les caractéristiques de l’organisation des caisses-maladie, qui doit être conciliable avec le régime légal de la protection des données. Bien que le résultat parait juridiquement indiscutable, l’on peut toutefois regretter une formulation un peu malheureuse qui pourrait – à tort – donner à penser que l’organisation d’un assureur complémentaire privé n’aurait, quant à lui, pas à être conciliable avec le régime légal de la protection des données.
Proposition de citation : Stéphanie Chuffart-Finsterwald / Alma Marchand, Transmissions de données sensibles entre assureurs LAMal et LCA d’un même groupe , 1er février 2023 in www.swissprivacy.law/197
Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.