Tous les fournisseurs de prestations au sens de l'article 35, alinéa 2 de la loi fédérale sur l'assurance-maladie LAMal (médecins, pharmaciens, chiropraticiens, établissements médico-sociaux, hôpitaux, laboratoires, etc.) sont tenus de fournir depuis le 1er janvier 2022 une copie de leur facture aux assurés, dans tous les cas et sans que ces derniers ne l’aient exigé. Avec l’accord exprès de ces derniers, elle peut être transmise par voie électronique. Cette obligation de communication a été introduite à l'article 42, alinéa 3 LAMal dans le cadre de mesures de frein aux coûts de la santé. Elle a pour objectif de permettre aux assurés de vérifier leurs factures et de signaler à l'assureur les éventuelles erreurs. Cette obligation n’est en soi pas nouvelle puisqu’elle existait déjà dans le système du tiers payant mais n’était réglée auparavant qu’au niveau d’une ordonnance. Le législateur a décidé d’inscrire cette obligation au niveau de la loi en l’assortissant de sanctions en cas de non-respect (avertissement, restitution, amende, exclusion de toute activité à la charge de l’assurance).
Tant dans le projet du Conseil fédéral que lors des débats parlementaires, la forme que doit prendre cette transmission (papier, électronique ou autre) et le respect des prescriptions de protection des données ont fait l’objet d’une attention particulière. Il est ainsi précisé dans le message que toute transmission de la copie de la facture par voie électronique doit répondre aux normes en vigueur en matière de sécurité des données et n’est possible que si l’assuré a au préalable été informé et a expressément donné son accord. Il peut en outre exiger la transmission sous forme de document papier sans aucun frais supplémentaire.
Les données touchant à la santé étant des données sensibles au sens de la loi fédérale sur la protection des données (LPD), leurs traitements impliquent la mise en place de mesures particulières. Ainsi, les fournisseurs de prestations souhaitant transmettre les copies de leurs factures par voie électronique sont responsables d’assurer une communication sécurisée en prenant les mesures techniques et organisationnelles appropriées au sens des articles 8 LPD et 3 de l’ordonnance sur la protection des données (OPDo).
La qualité et la sécurité des différentes procédures mises en place relèvent de la responsabilité des fournisseurs de prestations. Il leur appartient en particulier d’examiner les mesures de chiffrement permettant d’éviter tout accès par des personnes non autorisées et les procédures d’authentification à plusieurs facteurs qu’ils entendent mettre en place en tant que responsables de la sécurité de la communication de données sensibles qu’ils vont effectuer par voie électronique.
En résumé, les fournisseurs de prestations qui choisissent de transmettre la copie de leurs factures par la voie électronique :
- doivent avoir informé préalablement l’assuré des risques liés à ce mode de transmission,
- doivent s’être assurés que celui-ci a expressément et librement donné son accord à une telle transmission sous forme électronique,
- et sont responsables de prendre les mesures techniques et organisationnelles appropriées au sens de la législation sur la protection des données, notamment par l’utilisation de mesures de chiffrement et de procédures d’authentification à plusieurs facteurs.
Le non-respect par les fournisseurs de prestations de leur obligation d’assurer la mise en place de mesures de protection et de sécurité des données peut entraîner des conséquences graves d’ordre tant civil que pénal, notamment :
- des prétentions de la personne concernée qui pourra agir au travers de démarches civiles au sens des articles 32 LPD et 28 du Code civil (celui qui subit une atteinte illicite à sa personnalité peut agir en justice pour sa protection contre toute personne qui y participe),
- des actions en dommages et intérêts et en réparation du tort moral de la personne ayant subi un préjudice au sens de l’article 28a du Code civil, dans le cas par exemple de l’interception malintentionnée de mails non cryptés et la divulgation de données de santé à des tiers,
- ou encore des poursuites pénales en cas de violation du secret médical en vertu des articles 321 du Code pénal et 62 LPD, dans le cas par exemple de la communication de données médicales à des destinataires indus.
En cas de refus du patient de recevoir sous forme électronique la copie de sa facture, les fournisseurs de prestations doivent respecter ce choix et lui transmettre cette copie sous forme de document papier par la voie du courrier postal traditionnel et sans qu’aucun frais supplémentaire ne lui soit demandé.
En fonction de la difficulté à laquelle des fournisseurs de prestations seraient confrontés dans la mise en place des mesures techniques et organisationnelles appropriées, il convient de rappeler que le législateur a également prévu la possibilité pour l’assureur et le fournisseur de prestations de convenir que ce soit l’assureur qui fasse parvenir la copie de la facture à l’assuré.