Question de Mme JACQUEMET Annick (Doubs - UC) publiée le 03/10/2024

Mme Annick Jacquemet attire l'attention de Mme la ministre de la santé et de l'accès aux soins sur les effets délétères du piratage de données détenues par les opérateurs de tiers-payant sur l'activité des opticiens.

La protection des données personnelles est un sujet essentiel en particulier dans le secteur de la santé, qui connaît un véritable essor des usages du numérique et qui constitue, selon l'agence nationale de la sécurité des systèmes d'information (ANSSI), le troisième secteur le plus touché par les cyberattaques. Pour l'optique, deux d'entre elles ont touché des opérateurs assurant la gestion du tiers-payant pour de nombreux organismes complémentaires d'assurance maladie - Almerys et Viamedis - impliquant le piratage de plus de 33 millions de dossiers de patients.

Selon la commission nationale de l'informatique et des libertés (CNIL), seules les données nécessaires au traitement des dossiers seraient concernées, à savoir l'état civil, la date de naissance, le numéro de sécurité sociale, le nom de l'assureur et les garanties prévues au contrat d'assurance. Or, pour ce qui est de l'optique, la majorité des opérateurs de tiers-payant conditionnent le remboursement des frais d'optique à la transmission de données personnelles de santé des assurées y compris dans le cadre de contrats responsables. Ces contrats sont avantageusement fiscalisés en contrepartie du fait de ne pas dépendre d'un questionnaire médical préalable. Ainsi, les cotisations ne peuvent varier en fonction de l'état de santé du souscripteur. Depuis la généralisation de la complémentaire santé, ce type de contrat est très largement majoritaire (+ 95 % des contrats selon la direction de la recherche, des études, de l'évaluation et des statistiques).

La sécurité sociale a créé les codes dits « de regroupement » pour permettre aux organismes complémentaires d'assurance maladie d'opérer la prise en charge en fonction de la complexité des équipements sans pour autant trahir les données de santé, et ce conformément aux principes des contrats responsables. Pourtant les données médicales (code « liste des produits et des prestations », ordonnances notamment) sont toujours exigées préalablement à tout remboursement, y compris par la complémentaire.

Les professionnels concernés ont alerté à plusieurs reprises sur les conséquences regrettables de cette situation, au delà de l'aspect financier, sur la protection des données personnelles de santé.

Devant l'ampleur de la violation de deux opérateurs de tiers payants, la CNIL, quant à elle, a décidé de mener des investigations afin de déterminer notamment si les mesures de sécurité mises en oeuvre préalablement à l'incident et en réaction à celui-ci étaient appropriées au regard des obligations du règlement général sur la protection des données (RGPD).

Ainsi, elle souhaite savoir quelles sont les intentions du Gouvernement pour faire aboutir les négociations, en cours depuis quatre ans, entre le ministère de la santé, la caisse nationale d'assurance maladie (CNAM), la CNIL, les assureurs et les opticiens. Elle lui demande dans quelles mesures la mise en place d'une blockchain est envisagée afin d'éviter l'empilage des plateformes et intermédiaires recueillant des données.

- page 3565


En attente de réponse du Ministère de la santé et de l'accès aux soins.

Page mise à jour le