Examen des faits auprès d’un service de médecin-conseil dans le domaine de l’assurance-maladie obligatoire

Au cours de l’année 2006, nous avons procédé à un examen des faits auprès du service de médecin-conseil de la société d’assurance-maladie CSS et y avons constaté des lacunes. Ceci nous a incités au printemps 2007 à adresser six recommandations à la CSS.

Au début 2006, la presse a rapporté des violations possibles de la protection des données au sein de la CSS, notamment au service de médecin-conseil. Elle a relevé en particulier qu’un nombre excessivement élevé de collaborateurs de la CSS – on parlait d’environ 400 personnes – avait accès à des données sensibles concernant des assurés. Dans le cadre de nos activités de surveillance, nous avons décidé d’établir les faits. Notre examen a révélé que le Service de médecin-conseil de la CSS présentait effectivement des lacunes au niveau de la protection des données. En raison de l’absence de procédure standardisée régissant l’octroi des autorisations d’accès, il n’est toutefois plus possible de dire rétrospectivement si des personnes non autorisées ont eu accès aux données sensibles du Service de médecin-conseil. Cette question devra être élucidée dans le cadre de la procédure pénale engagée par l’OFSP en mai 2006. La question de savoir si quelque 400 personnes ont effectivement eu accès à des données sensibles de ce service doit donc pour l’instant rester sans réponse.

Sur la base des résultats de l’établissement des faits, nous avons au printemps 2007 adressé six recommandations à l’intention de la CSS pour garantir que son service de médecin-conseil se conforme dorénavant aux prescriptions régissant la protection des données.

La première recommandation vise à mieux protéger les dossiers des patients. Ces dossiers sont, pour la plupart, encore traités et conservés sous forme papier. Les locaux où travaillaient les collaborateurs du Service de médecin-conseil n’étaient pas séparés des postes de travail des autres collaborateurs de la CSS, si bien qu'aucun contrôle d'accès systématique ne pouvait avoir lieu. Nous avons recommandé à la CSS de doter son Service de médecin-conseil des infrastructures et de locaux séparés dont il a besoin et de veiller à ce que les données dont dispose ce service soient toujours traitées de façon confidentielle vis-à-vis de l’assurance et des tiers.

La deuxième recommandation vise à renforcer l’indépendance du Service de médecin-conseil. Ce service est en effet actif non seulement dans le cadre de l’assurance de base, comme le prescrit la loi fédérale sur l’assurance-maladie (LAMal), mais aussi dans celui des assurances complémentaires au sens de la loi sur le contrat d’assurance (LCA) en tant que service d’expertise médicale. Ce double rôle présentait visiblement un conflit d’intérêts qui à notre avis n’assurait pas suffisamment l’indépendance prescrite dans le domaine de l’assurance de base. C’est pourquoi nous avons toujours jugé absolument nécessaire d’opérer une séparation stricte en termes de personnel entre le Service de médecin-conseil dans le domaine de la LAMal et le service d’expertise médicale dans le domaine de la LCA.

La troisième recommandation vise elle aussi à renforcer l’indépendance du Service de médecin-conseil. Ainsi, nous avons recommandé que le chef de ce service ne soit plus, comme jusqu’ici, subordonné au chef de la Division Prestations, mais directement à la direction générale.

Les recommandations quatre et cinq concernaient l’octroi des autorisations d’accès au système électronique de gestion des demandes auprès du Service de médecin-conseil. Dans une quatrième recommandation nous avons ainsi demandé de faire en sorte que les collaborateurs des services administratifs ne puissent avoir accès aux informations sensibles relatives aux assurés en cas de décision négative. Dans la cinquième recommandation, nous avons demandé que les devoirs et les obligations des experts médicaux qui ont accès aux données sensibles soient décrits de façon aussi détaillée que possible. De plus, le nombre de personnes disposant de tels droits d’accès étendus doit être aussi restreint que possible et réexaminé en permanence.

Enfin, dans notre sixième recommandation, nous avons demandé à la CSS de soumettre son Service de médecin-conseil à un audit externe afin de déterminer si ce dernier exerce ses activités en conformité avec la protection des données. Nous avions en effet estimé que le nombre de personnes ayant accès aux données sensibles du Service de médecin-conseil – soit environ 120 personnes selon les indications de la CSS – était trop élevé. Le nombre approprié – qui doit tenir compte des principes de proportionnalité et de finalité – doit être déterminé sur la base d’une analyse détaillée et étayée des processus internes. Dans le cadre de l'établissement des faits, la CSS n'a été en mesure de fournir des indications précises ni sur le nombre effectif des autorisations d'accès, ni sur le nombre qui serait nécessaire. Cette situation montre à notre avis à quel point il est nécessaire de procéder à un audit externe, indépendant et systématique. Nous avions à ce sujet également défendu le point de vue qu’un tel audit devrait être répété à intervalles réguliers en raison de la complexité de la matière, des changements qui peuvent intervenir et de la gravité du danger potentiel.

La CSS a accepté toutes les recommandations sans problème. Elle a, comme nous l’avions recommandé, mandaté un audit externe. Elle nous a ensuite communiqué, en joignant un rapport, que cet audit a été effectué par l’Association Suisse pour Systèmes de Qualité et de Management (SQS). Ce qui nous semble important dans ce contexte est que la CSS a décidé de se soumettre à l’avenir à intervalles réguliers à un tel audit externe. Nous saluons cette initiative de la CSS et attendons des autres institutions et entreprises qu’elles suivent ce bon exemple. A la fin de l’année, la CSS nous a communiqué qu’elle avait mis en place toutes les mesures contenues dans nos recommandations.

L’examen des faits auprès de la CSS représente un tournant dans notre collaboration avec l’OFSP. Ainsi, l’enquête actuellement en cours sur l’organisation en matière de protection des données du service de médecin-conseil des assureurs-maladie a pour but d’adopter une attitude commune en ce qui concerne les questions de protection des données.

Informations complémentaires

Documents

informations complémentaires

Dernière modification 30.06.2008

Début de la page

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activite/anciens-rapports/15eme-rapport-d-activites-2007-2008/examen-des-faits-aupres-dun-service-de-medecin-conseil-dans-le-d.html