Des centaines de plaintes ont été adressées à la CNIL par des personnes mettant en cause une cinquantaine d’organismes d’assurance maladie complémentaire (Ocam), désignés plus communément par le terme de « mutuelles ». Les plaintes portaient pour la plupart sur la possibilité légale accordée aux « mutuelles » de recevoir des données générées par les professionnels de santé pour le suivi des patients, par le biais des ordonnances et des prescriptions médicales, ou pour le remboursement des dépenses de santé, sous la forme de codes spécifiques utilisés dans le cadre de la Sécurité sociale (codes dits « affinés » ou « regroupés » selon leur précision).
Dans l’analyse juridique adressée aux Ocam, la CNIL estime que l’ensemble des données traitées (codes, ordonnances, prescriptions…) correspond à des données personnelles de santé, protégées par le réglement général sur la protection des données (RGPD) et couvertes par le secret médical. La commission rappelle que la collecte et le traitement de ces données sont interdits par le RGPD, hormis pour les exceptions prévues par l’article 9. La CNIL considère que les Ocam peuvent utiliser des données de santé pour procéder aux remboursements de leurs assurés, mais elle constate que les textes sont « trop lacunaires ». Ils devraient affirmer cette possibilité « plus nettement », en fournissant un encadrement et des garanties appropriés, eu égard à la sensibilité de ces données.
La CNIL observe aussi une « insuffisance des textes réglementant le secret médical ». Puisque les informations transmises aux Ocam sont couvertes par le secret médical, toute transmission de ce type de données par des professionnels de santé exige une dérogation à ce droit du patient. La CNIL constate que celle-ci est « soit très implicite, soit inexistante ». La commission souhaite donc que la loi soit précisée et complétée afin que cette dérogation puisse être accordée avec les « garanties appropriées ». En attendant, la CNIL considère que les transmissions peuvent se poursuivre dans le cadre des contrats dits « responsables », qui ouvrent droit à certains avantages fiscaux et s’inscrivent dans le cadre de la réforme du « 100% santé ». Ils représentent l’immense majorité des contrats. S’agissant des autres, le patient doit soit transmettre les informations lui-même à son Ocam, soit autoriser au cas par cas son professionnel de santé à le faire.