Question de M. PELLEVAT Cyril (Haute-Savoie - Les Républicains-R) publiée le 10/10/2024

M. Cyril Pellevat attire l'attention de Mme la ministre de la santé et de l'accès aux soins sur le conditionnement du remboursement des frais d'optique à la transmission de données personnelles de santé des assurés par des opérateurs de tiers-payant.

La protection des données personnelles est un sujet essentiel en particulier dans le secteur de la santé, le pays étant frappé régulièrement par des cyber-attaques d'origines diverses.

Pour le secteur de l'optique, deux cyber-attaques ont récemment touché des opérateurs assurant la gestion du tiers-payant pour de nombreux organismes complémentaires d'assurance maladie, impliquant le piratage de plus de 33 millions de dossiers de patients.

Selon la commission nationale de l'informatique et des libertés (CNIL), seules les données nécessaires au traitement des dossiers seraient concernées, à savoir l'état civil, la date de naissance, le numéro de sécurité sociale, le nom de l'assureur et les garanties prévues au contrat d'assurance.

Or, pour ce qui est de l'optique, la majorité des opérateurs de tiers-payant, dont font partie les deux opérateurs victimes de cyber-attaques en janvier 2024, conditionne le remboursement des frais d'optique à la transmission de données personnelles de santé des assurés y compris dans le cadre de contrats responsables.

Or, ces contrats sont avantageusement fiscalisés en contrepartie du fait de ne pas dépendre d'un questionnaire médical préalable. Ainsi les cotisations ne peuvent varier en fonction de l'état de santé du souscripteur. Depuis la généralisation de la complémentaire santé, ce type de contrat est très largement majoritaire (+ de 95 % des contrats selon la direction de la recherche, des études, de l'évaluation et des statistiques - DREES).

La sécurité sociale a créé les codes dits « de regroupement » pour permettre aux organismes complémentaires d'assurance maladie d'opérer la prise en charge en fonction de la complexité des équipements sans pour autant trahir les données de santé, et ce conformément aux principes des contrats responsables. Pourtant les données médicales (code de la liste des produits et prestations - LPP - détaillé, ordonnances notamment) sont toujours exigées préalablement à tout remboursement.

Au-delà de l'aspect financier, se pose le problème du respect des libertés fondamentales et de la protection des données personnelles de santé. Les professionnels de santé en optique s'inquiètent de voir les données de santé de leurs patients être ainsi piratées. Début avril 2024, c'est un célèbre verrier qui a été victime d'une cyber-attaque, alors même que des données de santé non anonymisées sont encore véhiculées entre professionnels de santé et industriels.

C'est pourquoi la filière a travaillé à la mise en place d'une solution de type blockchain (tiers de confiance neutre et indépendant) qui permet d'éviter à nos concitoyens de voir leurs données utilisées à leur insu.

Des négociations sont en cours depuis plus de quatre ans entre le ministère de la santé, la caisse nationale d'assurance maladie (CNAM), la CNIL, les assureurs et les opticiens pour la mise en oeuvre de cette solution, mais ces négociations sont bloquées depuis une année.

Aussi, il lui demande d'une part les raisons du blocage des négociations et ce que compte faire son ministère pour permettre l'adoption d'une solution permettant de protéger les données personnelles des patients et ainsi garantir le respect du règlement général de protection des données (RGPD).

- page 3885

Transmise au Ministère auprès de la ministre du travail, de la santé, de la solidarité et des familles, chargé de la santé et de l'accès aux soins


Réponse du Ministère auprès de la ministre du travail, de la santé, de la solidarité et des familles, chargé de la santé et de l'accès aux soins publiée le 10/07/2025

Toute entité publique comme privée qui met en oeuvre un traitement de données à caractère personnel est soumise aux obligations du règlement général sur la protection des données (RGPD) et de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Ce cadre juridique complet suppose que, lorsque cette entité fait appel à un sous-traitant pour effectuer tout ou partie des opérations de traitement, elle doit conclure un contrat de sous-traitance. Celui-ci définit les missions du prestataire, ses obligations en matière de sécurité et de confidentialité des données exploitées et enfin les règles applicables en cas de fuite de données (modalités de notification de la commission informatique et libertés, Commission nationale de l'informatique et des libertés (CNIL), et d'information des personnes concernées). En juin 2024, la ministre a envoyé un courrier aux opérateurs de la protection sociale pour leur rappeler l'importance de garantir la sécurité des données des assurés et souligner que l'État reste vigilant sur ces sujets. Le cadre juridique relatif à la protection des données prévoit une responsabilisation des entités qui traitent les données, qui doivent tout mettre en oeuvre pour assurer la conformité de leurs traitements notamment aux principes de minimisation et de licéité des traitements. Seule la CNIL peut en contrôler l'application. Suite à la fuite de données ayant touché ces deux opérateurs, la CNIL mène des investigations afin de déterminer si les mesures de sécurité mises en oeuvre par les opérateurs de tiers-payant préalablement à l'incident et en réaction à celui-ci sont appropriées au regard de leurs obligations. Si la CNIL constate des manquements, elle appliquera les procédures prévues non seulement par la loi informatique et libertés, mais aussi par le code pénal. Par ailleurs, concernant l'attaque elle-même, une enquête a été confiée à la brigade de lutte contre la cybercriminalité de la préfecture de police de Paris. Enfin, le ministère de l'intérieur a mis en place un formulaire en ligne sur son site (www.masecurite.interieur.gouv.fr/fr/actualites/lettre-plainte-vol-donnees-personnelles-viamedis-almerys) afin de faciliter le dépôt de plainte des personnes concernées par la fuite. Sans connaître le contexte de la demande transmise à la CNIL par les professionnels de santé sur la mise en place d'une blockchain, il est utile de préciser qu'il ne revient pas à la commission de préconiser le recours à des outils numériques, encore moins de se substituer à des intermédiaires traitant des données pour le compte d'autres entités. Elle édicte des règles d'interprétation pour faciliter la bonne application du cadre juridique relatif à la protection des données.

- page 4028

Page mise à jour le