Question de M. FIALAIRE Bernard (Rhône - RDSE) publiée le 29/02/2024
M. Bernard Fialaire attire l'attention de M. le ministre délégué auprès de la ministre du travail, de la santé et des solidarités, chargé de la santé et de la prévention sur le piratage de données détenues par les opérateurs de tiers payant.
En février 2024, Almerys et Viamedis, les deux plus gros opérateurs assurant le tiers payant pour le compte de nombreuses complémentaires de santé et mutuelles, ont subi un piratage de données, rendant ainsi vulnérables les informations personnelles de plus 33 millions de Français.
Selon la commission nationale de l'informatique et des libertés (CNIL), les données concernées sont, pour les assurés et leur famille, l'état civil, la date de naissance et le numéro de sécurité sociale, le nom de l'assureur santé ainsi que les garanties du contrat souscrit. Pour les professionnels de santé, particulièrement les fournisseurs de bien médicaux, il s'agit de la raison sociale, de l'état civil, des identifiants d'accès à Viamedis et Almerys, du numéro de téléphone, de l'adresse postale, du relevé d'identité bancaire (RIB), du numéro de fichier national des établissements sanitaires et sociaux (FINESS), du numéro de système d'identification du répertoire des établissements (SIRET), du réseau de soins.
Les mutuelles ont l'obligation d'avertir les professionnels de santé et les assurés de ce piratage. Cela n'a été fait que partiellement et parfois par courriel, ce qui peut être contraignant pour nos concitoyens éloignés du numérique.
Cette attaque a également eu des effets délétères sur l'activité des professionnels de santé, en particulier des opticiens, qui ont été empêchés de proposer le tiers payant à leur patients et clients.
Les professionnels de santé fournisseurs de biens médicaux ont alerté à plusieurs reprise la CNIL sur le fait que la transmission de données auprès de ces opérateurs n'était pas utile au remboursement.
Les assurés fournissent des données à leur mutuelle qui doivent protéger celles-ci conformément au règlement général de protection des données (RGPD), or, ces données sont transmises à des opérateurs, plateformes de traitement, dont les garanties quant à leur utilisation et à leur stockage pourraient être insuffisantes au regard des obligations du RGPD.
On peut également s'interroger sur l'utilité même de cette collecte.
En effet, un professionnel de santé fournisseur de biens est soumis par la caisse primaire d'assurance maladie (CPAM) à une gestion par les codes qui permettent l'identification individuelle des dispositifs médicaux, produits et prestations remboursables (codes LPP) et valident leur rattachement au dispositif de prise en charge par l'assurance maladie. Un code LPP et une description du produit sont seuls nécessaires pour valider le règlement d'une part mutuelle.
Les professionnels de santé ont demandé à la CNIL la mise en place d'une blockchain afin d'éviter l'empilage des plateformes et intermédiaires recueillant des données. Aucune réponse n'a été apportée à ce jour.
Au regard de tous ces éléments, il lui demande quelles mesures le Gouvernement entend mettre en oeuvre pour pallier ces dysfonctionnements.
- page 763
En attente de réponse du Ministère auprès de la ministre du travail, de la santé et des solidarités, chargé de la santé et de la prévention.
Page mise à jour le