Conditions de mise en œuvre d’un contrôle administratif de facturation d’un professionnel de santé fondé sur l’exploitation d’un système de traitement de données à caractère personnel par l’organisme d’assurance maladie
2e Civ., 7 juillet 2022, pourvoi n° 20-21.365, publié au Bulletin
Sommaire :
Il résulte de la combinaison des articles L. 161-29, R. 161-31 et R. 161-32 du code de la sécurité sociale, 1er et 3 du décret n° 2015-389 du 3 avril 2015, dont la finalité est la lutte contre les fautes, abus et fraudes des professionnels de santé, notamment, d'une part, qu'ont accès aux systèmes de traitements de données à caractère personnel, les agents intervenant dans la prise en charge des assurés, individuellement habilités par le directeur de l'organisme d'assurance maladie auquel ils appartiennent, et, d'autre part, qu'il n'est pas exigé de l'organisme chargé du contrôle, lorsqu'il met en œuvre un traitement automatisé de données à caractère personnel dans le cadre d'un contrôle administratif de facturation auprès d'un professionnel de santé, qu'il saisisse la Commission nationale de l'informatique et des libertés (CNIL) d'une demande d'avis allégée prévue par la délibération de cette Commission n° 88-31 du 22 mars 1988, ni qu'il justifie auprès du professionnel de santé contrôlé, de l'enregistrement des critères et raisonnement sur lesquels est fondé ce contrôle.
Commentaire :
La loi confie aux organismes d’assurance maladie la mission, notamment, de lutter contre les fautes, abus et fraudes des professionnels de santé dans la mise en oeuvre des règles de tarification et de facturation des actes professionnels. Ces organismes ont ainsi accès, dans le cadre de cette mission, à des systèmes de traitement automatisé des données relatives aux actes effectués, aux prestations servies et aux pathologies diagnostiquées. Il s’agit de données sensibles qui sont encadrées par un dispositif législatif et réglementaire afin d’en assurer la protection.
La deuxième chambre civile, dans l’arrêt commenté comme dans un arrêt rendu le même jour (2e Civ., 7 juillet 2022, pourvoi n° 21-11.998), précise les conditions d’accès et d’exploitation de ces données recueillies par le système informationnel de l’assurance maladie (SIAM), dans le cadre d’un contrôle administratif de la facturation d’un professionnel de santé, mené avant l’entrée en vigueur du Règlement général de protection des données personnelles (RGPD).
Elle énonce tout d’abord que, pour avoir accès à ces données, il faut, mais il suffit, que les agents de la caisse d’assurance maladie soient individuellement habilités par le directeur de l'organisme auquel ils appartiennent. Elle exclut ensuite les conditions de mise en œuvre du traitement automatisé des données qui avaient été prévues par la Commission nationale de l'informatique et des libertés (CNIL) dans sa délibération n° 88-31 du 22 mars 1988, tenant à une demande préalable d’avis allégé auprès de cette Commission et à l'enregistrement des critères et raisonnement sur lesquels est fondé le contrôle. En effet, les dispositions législatives et réglementaires intervenues postérieurement à cette délibération (articles L. 161-29, R. 161-31 et R. 161-32 du code de la sécurité sociale, 1er et 3 du décret n° 2015-389 du 3 avril 2015) ne prévoient pas de telles restrictions à l’exploitation du SIAM.