Le PFPDT a établi les faits à propos du traitement des données opéré dans le Service du médecin-conseil de l’assurance-maladie CSS SA
Berne, 27.04.2007 - Dans le cadre de ses activités de surveillance dans le domaine de la protection des données, le Préposé fédéral à la protection des données et à la transparence (PFPDT) a établi les faits en rapport avec le Service du médecin-conseil de l’assurance-maladie CSS SA et a constaté des lacunes. Le 17 avril 2007, il a édicté six recommandations à l’intention de la CSS. Celle-ci a 30 jours pour accepter ou rejeter ces recommandations.
Début 2006, la presse s’est fait l’écho de possibles violations de la protection des données de la part de la CSS, notamment au sein du Service du médecin-conseil de cette dernière. Elle a relevé en particulier qu’un nombre excessivement élevé de collaborateurs de la CSS – on parlait d’environ 400 personnes – avait accès à des données d’assurance de nature sensible. En mai de la même année, le PFPDT a décidé, dans le cadre de ses activités de surveillance, d’établir les faits conformément à l’art. 27 de la loi fédérale sur la protection des données (LPD).
L’examen du PFPDT a révélé que le Service du médecin-conseil de la CSS présentait effectivement et présente toujours des lacunes. En raison de l’absence de procédure standardisée permettant de régir l’octroi des autorisations d’accès, il n’est toutefois plus possible de dire rétrospectivement si des personnes non autorisées ont eu accès aux données sensibles du Service du médecin-conseil. Cette question sera traitée dans le cadre de la plainte pénale déposée par l’OFSP en mai 2006. La question de savoir si quelque 400 personnes ont effectivement eu accès à ces données sensibles reste donc sans réponse pour l’instant.
D’après les indications fournies par la CSS, environ 150 personnes disposaient à l’époque d’une autorisation d’accès aux données sensibles du système. La CSS a revu ce chiffre à la baisse au lendemain de la couverture médiatique de l’affaire, parlant désormais de quelque 120 personnes.
Fort des résultats de l’établissement des faits auquel il a procédé, le PFPDT a édicté, le 17 avril 2007, six recommandations à l’intention de la CSS pour garantir que le Service du médecin-conseil de cette dernière se conformera dorénavant aux prescriptions régissant la protection des données.
La première recommandation vise à mieux protéger les dossiers des patients. Ces dossiers sont encore, pour la plupart, traités sous forme papier et conservés sous cette forme également. Les locaux où travaillent les collaborateurs du Service du médecin-conseil ne sont pas séparés des postes de travail des autres collaborateurs de la CSS, si bien qu’aucun contrôle d’accès systématique n’est effectué. Le PFPDT recommande à la CSS de doter son Service du médecin-conseil des infrastructures et des locaux séparés dont il a besoin. Les données dont dispose ce service doivent toujours être traitées de façon confidentielle vis-à-vis de l’assurance et des tiers.
La deuxième recommandation vise à renforcer l’indépendance du Service du médecin-conseil. Ce service est en effet actif non seulement dans le cadre de l’assurance de base au sens de la loi fédérale sur l’assurance-maladie (LAMal), mais aussi dans celui des assurances complémentaires au sens de la loi sur le contrat d’assurance (LCA) en tant que service d’expertise médicale. Ce conflit d’intérêts peut conduire à ce que l’indépendance prescrite ne soit pas suffisamment assurée dans le domaine de l’assurance de base. C’est pourquoi le PFPDT estime qu’il est indispensable qu’une séparation stricte en termes de personnel soit opérée entre le Service du médecin-conseil dans le domaine de la LAMal et le service d’expertise médicale dans le domaine de la LCA.
La troisième recommandation vise elle aussi à renforcer l’indépendance du Service du médecin-conseil. Ainsi, à l’avenir, le chef de ce service ne devra plus être subordonné au chef de la Division Prestations, mais directement à la direction générale.
La quatrième et la cinquième recommandations concernent l’octroi des autorisations d’accès au système électronique du Service du médecin-conseil qui gère les demandes. Le PFPDT demande ainsi à la CSS, dans sa quatrième recommandation, de faire en sorte que les collaborateurs des services administratifs n’aient aucun accès aux informations sensibles relatives aux assurés en cas de décision négative.
Faisant l’objet de la cinquième recommandation, les devoirs et les obligations des experts médicaux qui ont accès aux données sensibles doivent être décrits de façon aussi détaillée que possible. Le nombre de personnes titulaires de droits d’accès d’une telle étendue doit être aussi restreint que possible et être réexaminé en permanence.
Enfin, dans sa sixième recommandation, le PFPDT demande à la CSS de soumettre son Service du médecin-conseil à un audit externe pour déterminer si ce dernier exerce ses activités en conformité avec la protection des données. Il estime en effet que le nombre de personnes ayant accès aux données sensibles du Service du médecin-conseil – soit environ 120 personnes selon les indications de la CSS – est trop élevé. Le bon nombre – qui doit tenir compte des principes de la proportionnalité et de l’opportunité – doit être déterminé sur la base d’une analyse détaillée et étayée des processus internes. Dans le cadre de l’établissement des faits, la CSS n’a été en mesure de fournir des indications précises ni sur le nombre effectif des autorisations d’accès, ni sur le nombre qui serait nécessaire. Cette situation montre à quel point un audit externe indépendant mené avec toute la rigueur requise s’impose. Un tel audit devra être répété à intervalles réguliers en raison de la complexité de la matière, des changements qui peuvent se produire et de la gravité du danger potentiel.
La CSS devra signifier au PFPDT, dans les 30 jours suivant la notification des recommandations, si elle les accepte ou non. Si elle les rejette ou si elle ne les suit pas, le PFPDT pourra porter l’affaire pour décision devant le Département fédéral de l’intérieur.
Auteur
Préposé fédéral à la protection des données et à la transparence
https://www.edoeb.admin.ch/edoeb/fr/home.html
