La gestion des données personnelles, et plus particulièrement des données médicales, est un sujet de plus en plus préoccupant. Confidentialité, sécurité, accessibilité, leur mauvaise gestion peut entraîner des conséquences préoccupantes sur la vie privée des individus.

 

Les données médicales comprennent des informations sur l’état de santé d’un individu. Elles peuvent inclure des résultats de tests, des diagnostics, des traitements et d’autres informations liées à la santé. Les récents piratages subis par des opérateurs de gestion du tiers payant démontrent la fragilité de la protection des données personnelles de millions de salariés et de leur famille.

 

Confidentialité, accessibilité et consentement

 

La gestion des données médicales présente plusieurs défis. Garantir la confidentialité et la sécurité des données, ce qui implique de mettre en place des mesures de protection appropriées, comme le chiffrement des données et l’utilisation de systèmes d’authentification robustes. Veiller à ce que les données soient accessibles aux professionnels de la santé tout en respectant les droits des patients, ce qui nécessite de mettre en place des politiques et des procédures claires pour l’accès et l’utilisation des données. Enfin, la question du consentement de l’assuré sur la transmission et utilisation de ses données est centrale, et requiert une approche globale, qui prend en compte à la fois les aspects techniques et juridiques de la gestion des données.

 

Intelligence Artificielle et BIG DATA

 

L’IA est au cœur de la médecine du futur avec les opérations assistées, le suivi des patients à distance, les prothèses intelligentes ou encore les traitements personnalisés grâce au recoupement de données (Big Data). Grâce à l’exploitation et à l’analyse de ces données croisées, l’IA pourrait être utilisée dans le domaine de la santé pour faciliter, accélérer et améliorer la précision des diagnostics médicaux.

Elle permettrait également de simplifier la gestion et le traitement des données patients et de leur historique médical.

Cependant, l’utilisation de l’IA dans la gestion des données médicales présente aussi des défis. Si l’IA a le potentiel de transformer la gestion des données médicales, en améliorant la précision des diagnostics et en simplifiant le traitement des données, il est essentiel de comprendre comment ces systèmes fonctionnent et de mettre en place des mesures appropriées pour garantir la sécurité et la confidentialité des données. La sécurisation des serveurs qui hébergent des données médicales, en particulier dans le contexte de l’IA et du Big Data, est par exemple une question cruciale.

Enfin, il est capital de respecter les dispositions de l’article  R.  4127-45 du Code de la santé publique (article  45 du Code de déontologie médicale), qui établit l’obligation de constituer et de conserver un dossier médical pour chacun de ses patients.

De même, l’article  R.  4127-96 du Code de la santé publique (article  96 du Code de déontologie médicale) précise que ce dossier médical est conservé sous la responsabilité du médecin

 

Gestion des données de santé des travailleurs par les assureurs

 

L’accès par les assureurs, employeurs ou non, aux données privées médicales jusqu’à maintenant détenues et gérées par la Sécurité sociale, peut ouvrir la voie à une catastrophe sociale. Il est légitime de s’en inquiéter.

D’abord en défenseur inconditionnel de la Sécurité sociale mais également dans l’intérêt général des travailleurs et de leur famille.

N’oublions pas que l’objectif de rentabilité n’est pas toujours compatible avec la confidentialité et la protection des données personnelles. Les velléités de commercialisation des données personnelles et notamment médicales sont une source de profit dont les sociétés financières ne se cachent pas. Il sera, dès lors, très tentant pour les assureurs d’utiliser les données médicales pour individualiser les risques, ce qui globalement serait défavorable aux assurés, voire conduirait à des situations potentielles d’exclusion ou de refus de garanties.

De plus, dans le secteur de l’assurance, il est courant que l’employeur soit également l’assureur de ses employés. Cela soulève des questions spécifiques en matière de gestion des données de santé des travailleurs.

 

L’employeur-assureur a une double responsabilité envers ses employés.

En tant qu’employeur, il a l’obligation de garantir la sécurité et la santé de ses travailleurs.

En tant qu’assureur, il a le devoir de protéger les données de santé de en place des mesures de protection efficaces pour garantir la confidentialité, la sécurité et l’accessibilité de ces données. Le risque existe que les données de santé des employés soient utilisées de manière abusive par l’employeur-assureur.

Cela pourrait potentiellement conduire à des situations de discrimination ou de pénalisation. Il est important de noter que l’utilisation de ces données est strictement encadrée par la loi, mais certains employeurs semblent passer outre.

Si l’employeur peut être amené à gérer des données de santé pour répondre à son obligation de sécurité des salariés, le traitement de ces données doit se faire dans le respect de la réglementation et sans porter atteinte au respect de la vie privée des personnes concernées.

De plus, l’employeur n’a, en théorie, jamais accès aux informations privées des salariés détenues par la mutuelle collective 

 

Quelle protection ?

 

Si un employé estime que ses droits ne sont pas respectés, il peut porter plainte auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL). Les organisations syndicales de salariés ont également la capacité d’agir afin de faire cesser un manquement au RGPD.

 

Il est donc crucial que les employeurs-assureurs respectent les lois et réglementations en vigueur pour garantir la protection des données de santé de leurs employés.

La responsabilité en cas de fuite ou d’utilisation frauduleuse de données personnelles, y compris les données médicales, repose généralement sur l’entité qui gère ces données, souvent appelée le «responsable du traitement» des données.

Le Code pénal prévoit des sanctions pour le responsable du traitement qui ne respecte pas certaines obligations. Par exemple, le fait de procéder à des traitements de données à caractère personnel sans respecter les formalités préalables à leur mise en œuvre, ou le fait de ne pas mettre en œuvre les mesures prescrites pour garantir la sécurité des données est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende.

 

Enfin, l’employeur qui collecte des données personnelles par un moyen frauduleux, déloyal ou illicite encourt les mêmes sanctions.

En cas de fuite de données, le responsable du traitement doit agir rapidement pour limiter les dommages et informer les personnes concernées ainsi que l’autorité de contrôle compétente. Il est important de noter que sur le plan juridique, une fuite de données peut entraîner des sanctions et des frais de justice, voire la mise en cause de la responsabilité personnelle (civile et pénale) du dirigeant.

 

La question de la gestion des données personnelles est un sujet complexe qui pose d’innombrables questions, notamment au regard de la protection des individus et des travailleurs. On le constate également, la gestion de ces données est un enjeu majeur pour l’économie de marché.

Comment, dès lors, garantir aux individus la confidentialité de leurs données les plus sensibles ? Malgré des législations existantes en la matière, la tentation est grande pour les sociétés financières, et notamment les assureurs, de contourner ces législations à leur avantage.

 

La gestion de ces données est un enjeu majeur pour l’économie de marché. Plus qu’une simple question de profit, il s’agit là sans aucun doute d’un tournant de société, ouvrant des perspectives aux dystopies les plus autoritaires…

Nous aurons à revenir sur ce sujet et à l’approfondir dans le cadre de l’action syndicale revendicative au sein des entreprises et des branches. 

 

===============================================================================

Délégation de gestion de données : qui est responsable ?

 

La question de la responsabilité en cas de délégation de gestion, notamment dans le cadre du tiers payant, est complexe et dépend de plusieurs facteurs.

En général, la responsabilité peut être partagée entre le délégataire (celui qui gère le tiers payant) et le donneur de délégation.

• Responsabilité du délégataire : si la délégation est valide et efficace du point de vue juridique, la responsabilité pénale du délégant ne pourra pas, en principe, être mise en cause et sera reportée sur le délégataire. Cependant, la délégation de pouvoirs n’écarte pas, en principe, la responsabilité civile de l’employeur.

• Responsabilité du donneur de délégation : les collectivités concernées sont toujours responsables de la bonne marche du service et devront donc intervenir en cas de dysfonctionnement grave, voire d’arrêt du service délégué.

 

Il est important de noter que ces principes généraux peuvent varier en fonction des spécificités de chaque situation et du cadre juridique applicable.

================================================================================

 

Cas de piratage : le cas Viamedis et Almerys

 

En janvier 2024, les deux opérateurs de gestion du tiers payant pour les complémentaires santé, Viamedis et Almerys, ont été victimes d’un piratage de grande ampleur. La question de la responsabilité est complexe et dépend de plusieurs facteurs, y compris les termes spécifiques des contrats entre les parties et la législation applicable.

En général, la responsabilité peut être partagée entre le délégataire (l’opérateur de gestion du tiers payant) et le donneur de délégation (l’employeur ou l’assureur).

 

Dans le cas spécifique du piratage des opérateurs de gestion du tiers payant Viamedis et Almerys, plusieurs points sont à noter :

• Responsabilité des opérateurs (Viamedis et Almerys) : en tant qu’opérateurs de tiers payant, Viamedis et Almerys ont la responsabilité de protéger les données qu’ils gèrent. Ils doivent mettre en place des mesures de sécurité appropriées pour prévenir les cyberattaques et les fuites de données. En cas de violation de données, ils ont l’obligation d’informer les personnes concernées et l’autorité de contrôle compétente.

• Responsabilité des employeurs/assureurs : les employeurs et les assureurs ont également une responsabilité en matière de protection des données de leurs employés et assurés. Ils doivent s’assurer que les opérateurs qu’ils engagent pour gérer le tiers payant respectent les normes de sécurité appropriées. En outre, ils ont l’obligation d’informer les assurés de toute violation de données.

• Recours juridiques : si les données sont utilisées frauduleusement et causent un préjudice aux assurés, ces derniers peuvent porter plainte. En France, ils peuvent le faire via un formulaire en ligne sans se déplacer en commissariat ou en brigade de gendarmerie.

Une enquête a été ouverte par le parquet de Paris à la suite de cette cyberattaque.

=============================================================================