Numéro 7 - Juillet 2022

Bulletin des arrêts des chambres civiles

S'abonner

Télécharger PDF

Bulletin des arrêts des chambres civiles

Numéro 7 - Juillet 2022

INFORMATIQUE

2e Civ., 7 juillet 2022, n° 20-21.365, (B), FRH

Cassation

Informatique et libertés (loi du 6 janvier 1978) – Traitement de données à caractère personnel – Mise en oeuvre – Formalités préalables – Saisine de la CNIL d'une demande d'avis – Exclusion – Cas – Sécurité sociale – Contrôle administratif de facturation auprès d'un professionnel de santé

Il résulte de la combinaison des articles L. 161-29, R. 161-31 et R. 161-32 du code de la sécurité sociale, 1er et 3 du décret n° 2015-389 du 3 avril 2015, dont la finalité est la lutte contre les fautes, abus et fraudes des professionnels de santé, notamment, d'une part, qu'ont accès aux systèmes de traitements de données à caractère personnel, les agents intervenant dans la prise en charge des assurés, individuellement habilités par le directeur de l'organisme d'assurance maladie auquel ils appartiennent, et, d'autre part, qu'il n'est pas exigé de l'organisme chargé du contrôle, lorsqu'il met en oeuvre un traitement automatisé de données à caractère personnel dans le cadre d'un contrôle administratif de facturation auprès d'un professionnel de santé, qu'il saisisse la Commission nationale de l'informatique et des libertés (CNIL) d'une demande d'avis allégée prévue par la délibération de cette Commission n° 88-31 du 22 mars 1988, ni qu'il justifie auprès du professionnel de santé contrôlé, de l'enregistrement des critères et raisonnement sur lesquels est fondé ce contrôle.

Faits et procédure

1. Selon l'arrêt attaqué (Nancy, 8 septembre 2020), à la suite d'un contrôle de l'application des règles de tarification et de facturation des actes professionnels, la caisse primaire d'assurance maladie des Ardennes (la caisse) a notifié, le 25 avril 2016, à Mme [P], infirmière libérale (la professionnelle de santé), un indu d'un certain montant pour la période du 22 avril 2013 au 31 décembre 2015.

2. La professionnelle de santé a saisi d'un recours une juridiction de sécurité sociale.

Examen des moyens

Sur le premier moyen, pris en ses deux premières branches, et le deuxième moyen, pris en ses première, deuxième et quatrième branches

Enoncé des moyens

3. La caisse fait grief à l'arrêt de dire irrégulier le contrôle de l'activité de la professionnelle de santé et de rejeter sa demande en remboursement de l'indu, alors :

« 1°/ que le juge tranche le litige conformé ment aux règles de droit qui lui sont applicables ; qu'en estimant que l'agent de la caisse ayant opéré le contrôle n'était pas régulièrement habilité pour utiliser le système informationnel de l'assurance maladie (SIAM), sans préciser sur quelles règles de droit ils se fondaient, les juges du fond ont violé l'article 12 du code de procédure civile ;

2°/ que le juge tranche le litige conformément aux règles de droit qui lui sont applicables ; qu'en tranchant le litige au regard de la délibération de la CNIL n°88-31 du 22 mars 1988 qui, pour valoir simplement avis sur un projet de décision présenté par le directeur de la CNAM, est dépourvue de toute valeur réglementaire, les juges du fond ont violé l'article 12 du code de procédure civile ;

1°/ que nulle disposition du décret n° 2015-389 du 3 avril 2015, lequel fixe les obligations pesant sur les organismes de sécurité lorsqu'ils mettent en ?uvre un traitement automatisé de données en matière de lutte contre les fautes, abus et fraudes, ne prévoit l'envoi d'une demande d'avis allégé à la Commission nationale de l'informatique et des libertés (CNIL) ; qu'en estimant que la caisse était tenue d'une telle obligation, les juges du fond ont violé les articles 1er à 6 du décret n°2015-389 du 3 avril 2015 ;

2°/ que nulle disposition du décret n°2015-389 du 3 avril 2015, lequel fixe les obligations pesant sur les organismes de sécurité lorsqu'ils mettent en ?uvre un traitement automatisé de données en matière de lutte contre les fautes, abus et fraudes, ne prévoit l'enregistrement des critères et raisonnements sur lesquels le contrôle est fondé ; qu'en estimant que la caisse était tenue d'une telle obligation, les juges du fond ont violé les articles 1er à 6 du décret n° 2015-389 du 3 avril 2015 ;

4°/ qu'ont accès aux données à caractère non médical d'un traitement automatisé les agents individuellement habilités par le directeur de l'organisme d'assurance maladie auquel ils appartiennent ; qu'en retenant que l'agent de la caisse ayant procédé au contrôle n'était pas régulièrement habilitée à utiliser le logiciel SIAM, s'agissant des données à caractère non médical recueillies dans le cadre du contrôle concernant la professionnelle de santé, après avoir pourtant constaté que l'habilitation produite était revêtue de la signature du directeur de la Caisse, les juges du fond ont violé l'article 3 du décret n° 2015-389 du 3 avril 2015. »

Réponse de la Cour

Vu les articles 12 du code de procédure civile, L. 161-29, R. 161-31 et R. 161-32 du code de la sécurité sociale, 1er et 3 du décret n°2015-389 du 3 avril 2015 :

4. Aux termes du premier de ces textes, le juge tranche le litige conformément aux règles de droit qui lui sont applicables.

5. Selon le deuxième, dans l'intérêt de la santé publique et en vue de contribuer à la maîtrise des dépenses d'assurance maladie, les professionnels et les organismes ou établissements dispensant des actes ou prestations remboursables par l'assurance maladie à des assurés sociaux ou à leurs ayants droit communiquent aux organismes d'assurance maladie concernés le numéro de code des actes effectués, des prestations servies à ces assurés sociaux ou à leurs ayants droit, y compris lorsque ces prestations sont établies à partir des données mentionnées aux articles L. 6113-7 et L. 6113-8 du code de la santé publique, et des pathologies diagnostiquées. Pour assurer l'exécution de leur mission, les caisses nationales mettent en oeuvre un traitement automatisé des données mentionnées à l'alinéa précédent. Sous réserve des dispositions de l'alinéa suivant, le personnel des organismes d'assurance maladie a connaissance, dans le cadre de ses fonctions et pour la durée nécessaire à leur accomplissement, des numéros de code des pathologies diagnostiquées, des actes effectués et des prestations servies au bénéfice d'une personne déterminée, y compris lorsque ces prestations sont établies à partir des données mentionnées aux articles L. 6113-7 et L. 6113-8 du code de la santé publique, tels qu'ils figurent sur le support utilisé pour la transmission prévue au premier alinéa ou dans les données issues du traitement susmentionné. Seuls les praticiens-conseils et les personnels placés sous leur autorité ont accès aux données nominatives issues du traitement susvisé, lorsqu'elles sont associées au numéro de code d'une pathologie diagnostiquée.

6. Le troisième précise que des dispositions légales et réglementaires autorisent ou imposent un traitement automatisé des données relatives aux actes effectués, aux prestations servies et aux pathologies diagnostiquées, ainsi que la transmission aux praticiens-conseils et aux personnels des organismes d'assurance maladie de celles de ces données qu'ils sont, respectivement, habilités à connaître dans des conditions et limites définies par l'article L. 161-29.

Les assurés sociaux exercent leur droit d'accès aux informations les concernant, dans les conditions prévues par la loi n° 78-17 du 6 janvier 1978, auprès de l'organisme d'assurance maladie auquel ils sont affiliés.

7. Aux termes du quatrième, les organismes chargés de la gestion d'un régime obligatoire d'assurance maladie sont tenus de prendre toutes les dispositions nécessaires aux fins de préserver, notamment dans le cadre du traitement mentionné au deuxième alinéa de l'article L. 161-29, la confidentialité des données transmises et traitées aux termes de cet article, et en particulier pour limiter aux seuls personnels habilités l'accès direct aux données médicales relatives aux assurés ou à leurs ayants droit. A cette fin, les directeurs des organismes mentionnés à l'alinéa précédent veillent au respect des dispositions de l'acte autorisant le traitement automatisé, ainsi que des règles limitant l'accès direct aux données médicales des personnels placés sous leur autorité.

Les praticiens-conseils veillent au respect des mêmes règles par les personnels placés sous leur autorité.

8. Selon l'article 1er du décret n° 2015-389 du 3 avril 2015, pour l'application des dispositions du chapitre IV ter du titre I et du livre I et de la première partie du code de la sécurité sociale relatives au contrôle et à la lutte contre la fraude ainsi que des articles L. 224-14 et L. 315-1 du code de la sécurité sociale et des articles L. 723-2 et L. 723-11 du code rural et de la pêche maritime, les organismes gestionnaires des régimes obligatoires de base de l'assurance maladie sont autorisés à mettre en ?uvre des traitements de données à caractère personnel dont la finalité est la lutte contre la fraude interne et les fautes, abus et fraudes des assurés (...), professionnels et établissements de santé (...), ou toute autre personne physique ou morale autorisée à réaliser des actes de prévention, de diagnostic et de soins, à réaliser une prestation de service ou des analyses de biologie médicale ou à délivrer des produits ou dispositifs médicaux, et à cet effet :

1° Effectuer les opérations nécessaires au calcul des indus et des sanctions et à suivre et analyser des situations administratives, des prestations versées, des soins produits et des biens délivrés ;

2° Elaborer une typologie des risques de fautes, abus et fraudes permettant de mieux cibler les dossiers à contrôler ;(...)

7° Suivre les signalements de suspicions de fautes, abus et fraudes afin de diligenter les contrôles, mener les investigations et, le cas échéant, d'engager des actions contentieuses ou des mesures d'accompagnement ;

8° Suivre les actions contentieuses et les actions de prévention et de lutte contre les fautes, abus et fraudes (...).

9. Selon l'article 3, I et II, du même décret, ont accès aux données des traitements mentionnés à l'article 1er pour leur enregistrement et leur gestion et à raison de leurs attributions respectives et dans la limite du besoin d'en connaître les agents intervenant dans la prise en charge des assurés, individuellement habilités par le directeur de l'organisme d'assurance maladie auquel ils appartiennent.

Sont destinataires des données des traitements mentionnés à l'article 1er strictement nécessaires à l'exercice de leurs missions et dans la limite du besoin d'en connaître, notamment les agents de l'Etat ou des organismes de protection sociale mentionnés à l'article L. 114-16-3 du code de sécurité sociale.

10. Il résulte de la combinaison ces textes, dont la finalité est la lutte contre les fautes, abus et fraudes des professionnels de santé notamment, d'une part, qu'ont accès aux systèmes de traitements de données à caractère personnel, les agents intervenant dans la prise en charge des assurés, individuellement habilités par le directeur de l'organisme d'assurance maladie auquel ils appartiennent, et, d'autre part, qu'aucune de ces dispositions n'impose à l'organisme chargé du contrôle, lorsqu'il met en ?uvre un traitement automatisé de données à caractère personnel dans le cadre d'un contrôle administratif de facturation auprès d'un professionnel de santé, de saisir la Commission nationale de l'informatique et des libertés (CNIL) d'une demande d'avis allégée prévue par la délibération de cette Commission n° 88-31 du 22 mars 1988, ni de justifier auprès du professionnel de santé contrôlé, de l'enregistrement des critères et raisonnement sur lesquels est fondé ce contrôle.

11. Pour dire que le contrôle mené par la caisse est irrégulier et rejeter la demande en répétition de l'indu formée par celle-ci, l'arrêt relève que n'est pas produite aux débats la délégation du médecin conseil régional autorisant le médecin conseil chef de service à signer l'habilitation de l'agent ayant procédé au contrôle à accéder au système informationnel de l'assurance maladie (SIAM) et à l'utiliser. Il retient, par ailleurs, que la caisse ne démontre pas que les demandes d'avis allégées prévues par la délibération de la CNIL ont été déposées auprès de cette dernière ni qu'elle a procédé à l'enregistrement des critères et raisonnement sur lesquels était fondé le contrôle dont la professionnelle de santé a fait l'objet, de façon à en permettre le contrôle a posteriori.

12. En statuant ainsi, par des motifs inopérants, la cour d'appel a violé les textes susvisés.

PAR CES MOTIFS, et sans qu'il y ait lieu de statuer sur les autres griefs du pourvoi, la Cour :

CASSE ET ANNULE, en toutes ses dispositions, l'arrêt rendu le 8 septembre 2020, entre les parties, par la cour d'appel de Nancy ;

Remet l'affaire et les parties dans l'état où elles se trouvaient avant cet arrêt et les renvoie devant la cour d'appel de Nancy, autrement composée.

Arrêt rendu en formation restreinte hors RNSM.

- Président : M. Pireyre - Rapporteur : M. Labaune - Avocat général : M. Halem - Avocat(s) : SCP Foussard et Froger -

Textes visés :

Articles L. 161-29, R. 161-31 et R. 161-32 du code de la sécurité sociale ; Articles 1er et 3 du décret n° 2015-389 du 3 avril 2015 ; Délibération de la CNIL n° 88-31 du 22 mars 1988.

Vous devez être connecté pour gérer vos abonnements.

Vous devez être connecté pour ajouter cette page à vos favoris.

Vous devez être connecté pour ajouter une note.

Retour en haut de page

Restez informé

Restez informé en personnalisant vos alertes et notifications. Abonnez-vous à toutes nos actualités.

Suivez la Cour

Retrouvez toute l’actualité de la Cour de cassation sur les réseaux sociaux.