M. le président. Madame Goulet, l'amendement n° 5 rectifié nonies est-il maintenu ?
Mme Nathalie Goulet. Non, je le retire, monsieur le président. Je retravaillerai cette mesure en vue de l'examen du PLFSS.
M. le président. L'amendement n° 5 rectifié nonies est retiré.
L'amendement n° 185 rectifié ter, présenté par M. Fargeot, Mme Florennes, MM. Courtial, Kern, Laugier et Delahaye, Mmes Antoine, Sollogoub, Jacquemet, Billon, Patru et Gacquerre, MM. Parigi et Houpert et Mme Josende, est ainsi libellé :
Après l'article 2
Insérer un article additionnel ainsi rédigé :
Chaque organisme national de sécurité sociale publie annuellement un rapport présentant la fraude détectée, la fraude empêchée et la fraude estimée selon une méthodologie harmonisée fixée par décret.
Ce rapport est transmis au Parlement et fait l'objet d'un audit par la Cour des comptes portant sur la sincérité des données présentées et la cohérence de la méthodologie appliquée.
La parole est à M. Daniel Fargeot.
M. Daniel Fargeot. En ce qui concerne la fraude, nous avons toujours le sentiment que l'on nous donne des chiffres à la louche. Chaque organisme applique sa propre méthode, voire n'en applique aucune. En conséquence, nous ne savons pas clairement ce qui est détecté, ce qui est empêché et ce qui est estimé. La Cour des comptes l'a d'ailleurs rappelé à plusieurs reprises : certaines branches refusent encore de produire des estimations fiables.
Cet amendement a simplement pour objet que, une fois par an, une publication homogène soit réalisée selon une méthodologie commune, permettant un audit par la Cour des comptes. Ce n'est pas une révolution, certes : c'est une exigence minimale pour piloter une politique publique.
Comment lutter efficacement contre la fraude si l'on n'est même pas capable d'en mesurer l'ampleur ? On ne peut pas améliorer ce que l'on ne mesure pas. Cet amendement est donc un amendement d'appel, qui met en lumière le véritable enjeu. Pour lutter efficacement contre la fraude, il faut disposer d'indicateurs sincères et homogènes.
M. le président. Quel est l'avis de la commission ?
Mme Frédérique Puissat, rapporteur. Cet amendement vise la publication annuelle, par chaque organisme national de sécurité sociale, d'un rapport présentant les montants de la fraude.
Or il est largement satisfait par les publications régulières des caisses nationales. Nous avons régulièrement l'occasion d'auditionner les représentants de ces organismes devant la commission des affaires sociales. Il est fait état, dans chacune des auditions, du travail qui est réalisé sur la fraude. Il y a eu de nombreux progrès, et des cellules de fraude ont parfois été créées au sein de ces administrations.
À mon sens, cet amendement est satisfait. Aussi, la commission émet un avis défavorable.
M. le président. Quel est l'avis du Gouvernement ?
Mme Charlotte Parmentier-Lecocq, ministre déléguée. Évidemment, le Gouvernement partage votre préoccupation de disposer d'éléments fiables pour mieux évaluer la réalité de la fraude sociale.
Dans le cadre du plan ministériel de lutte contre la fraude sociale de 2020, puis du plan de lutte contre toutes les fraudes aux finances publiques de 2023, les caisses nationales de sécurité sociale ont engagé un effort important, afin de réaliser une évaluation complète du manque à gagner lié aux fraudes sociales.
Ces travaux ont permis une première estimation du montant de ces fraudes par le Haut Conseil du financement de la protection sociale (HCFiPS), figurant dans un rapport remis au Premier ministre en septembre 2024. Les sommes en jeu sont évaluées à environ 13 milliards d'euros par an.
Les travaux des caisses se poursuivent. Le Premier ministre a confié au HCFiPS une mission de suivi de la lutte contre la fraude sociale, dont les résultats seront publiés dans ce cadre.
Par ailleurs, les caisses nationales produisent chaque année, comme l'a rappelé Mme la rapporteure, un bilan de leur programme de contrôle et de lutte contre la fraude, conformément à l'article L. 114-9 du code de la sécurité sociale.
Les résultats de ces bilans sont présentés dans la loi d'approbation des comptes de la sécurité sociale. Dans ces conditions, l'établissement d'un rapport supplémentaire ne paraît pas nécessaire.
Le Gouvernement demande donc le retrait de cet amendement, faute de quoi il émettrait un avis défavorable.
M. le président. La parole est à M. Daniel Fargeot, pour explication de vote.
M. Daniel Fargeot. Madame la ministre, j'entends ce que vous nous dites. Effectivement, les organismes publient des chiffres, mais pas selon la même méthode, ce qui gêne l'analyse. En outre, le montant global de la fraude y est rarement estimé. La Cour des comptes le répète d'ailleurs régulièrement depuis dix ans.
M. le président. La parole est à Mme Nathalie Goulet, pour explication de vote.
Mme Nathalie Goulet. Madame la ministre, vous n'avez pas assisté à la discussion générale sur ce texte, et c'est bien dommage. En fait, il y a des comptes de la sécurité sociale, mais la Cour des comptes ne les valide pas, justement en raison d'un certain nombre de manquements, comme les approximations structurelles… Il y a toujours environ 2,5 millions de personnes en trop par rapport aux chiffres de l'Insee.
Instaurer une méthode homogène et robuste, c'est ce que l'on attend de l'ensemble des organismes sociaux. On ne peut pas continuer comme cela, au doigt mouillé, notamment avec ce problème dans la base des bénéficiaires.
Cet amendement étant de bon sens, je le voterai.
M. le président. La parole est à Mme Raymonde Poncet Monge, pour explication de vote.
Mme Raymonde Poncet Monge. Le refus de la Cour des comptes ne porte que sur les comptes de la branche famille, ce n'est pas la peine de tout mélanger. Il ne s'agit que de l'une des cinq branches de la sécurité sociale ; les autres ne posent pas de problème.
Un amendement similaire a été discuté tout à l'heure concernant la fraude fiscale. Il s'agissait d'un amendement d'appel, déposé par le groupe communiste, je crois. Je ne sais pas quel a été votre vote, mais, puisque cet amendement n'a pas été adopté, j'en déduis que, dans cette partie de l'hémicycle, on estime connaître suffisamment les méthodes et le montant de la fraude fiscale…
Je maintiens que nous disposons aujourd'hui d'une meilleure connaissance de la fraude sociale. La fourchette se situe entre 13 et 15 milliards d'euros. Il existe certes un problème au niveau de la branche famille, mais je considère que, sur la fraude sociale, nous maîtrisons la méthodologie et les montants et disposons d'une estimation raisonnable.
J'aimerais que nous disposions d'une fourchette aussi fiable pour la fraude fiscale. D'ailleurs, le groupe communiste avait également demandé que la Cour des comptes présente chaque année un rapport pour mieux évaluer la fraude fiscale et pour en parler davantage. Cette proposition n'a pas été retenue, et je crois que vous n'avez pas voté pour. Dès lors, nous avons, me semble-t-il, deux raisons de ne pas voter votre amendement.
M. le président. Je mets aux voix l'amendement n° 185 rectifié ter.
(L'amendement n'est pas adopté.)
Articles 3 (précédemment examiné) et 3 bis (nouveau) (précédemment examiné)
M. le président. Je rappelle que les articles 3 et 3 bis ont été précédemment examinés.
Article 4
L'article L. 114-9 du code de la sécurité sociale est ainsi rédigé :
« Art. L. 114-9. – I. – Les organismes nationaux des différents régimes de sécurité sociale conçoivent et mettent en place un programme de contrôle et de lutte contre la fraude adossé au plan de contrôle interne prévu à l'article L. 114-8-1.
« Ils suivent les opérations réalisées à ce titre par les organismes locaux mentionnés au II du présent article. Ils en établissent annuellement une synthèse qui est transmise au ministre chargé de la sécurité sociale. Un arrêté du ministre chargé de la sécurité sociale en définit le contenu et le calendrier d'élaboration.
« II. – Les directeurs des organismes chargés de la gestion d'un régime obligatoire de sécurité sociale ainsi que les directeurs des organismes chargés du recouvrement des cotisations de sécurité sociale ou du service des allocations et prestations mentionnées au présent code sont tenus, lorsqu'ils ont connaissance d'informations ou de faits pouvant être de nature à constituer une fraude, de procéder aux contrôles et enquêtes nécessaires. Ils transmettent à l'autorité compétente de l'État le rapport établi à l'issue des investigations menées.
« III. – Lorsqu'une fraude est constatée pour un montant supérieur à un seuil fixé par décret, les organismes mentionnés au II portent plainte. Lorsqu'elle a causé un préjudice à plusieurs de ces organismes, ces derniers peuvent mandater l'un d'entre eux pour porter plainte en leur nom et pour leur compte.
« Les organismes nationaux sont informés par l'organisme de sécurité sociale des fraudes et des suites qui y sont données. Ils peuvent agir, au nom et pour le compte d'un organisme local, à l'expiration d'un délai d'un mois après une mise en demeure de ce dernier restée infructueuse lui rappelant l'obligation prévue au premier alinéa du présent III. Ils peuvent déposer plainte au nom et pour le compte d'un ou plusieurs organismes de sécurité sociale qui les mandatent à cette fin.
« IV. – Les organismes mentionnés au I et au II sont dispensés de l'obligation de dépôt de plainte si la fraude a été constatée par un procès-verbal directement transmis au procureur de la République.
« Ces organismes sont dispensés de la consignation prévue à l'article 88 du code de procédure pénale lorsqu'ils déposent plainte avec constitution de partie civile devant le juge d'instruction ainsi que de la consignation prévue à l'article 392-1 du même code en cas de citation directe de l'auteur présumé de la fraude devant un tribunal répressif.
« V. – Les organismes mentionnés au I et au II du présent article communiquent au procureur de la République, à l'appui de leur plainte ou en cas de transmission d'un procès-verbal, le nom et les coordonnées des organismes d'assurance maladie complémentaire concernés ainsi que toute information qu'ils détiennent sur le préjudice causé à ces organismes par la fraude constatée.
« VI. – En cas de fraude avérée d'un assuré en vue du versement d'indemnités journalières en application de l'article L. 321-1 ou du 2° de l'article L. 431-1, les organismes mentionnés au II du présent article transmettent à l'employeur les renseignements et les documents strictement utiles et nécessaires à la seule fin de caractériser cette fraude. Cette information est réalisée par tout moyen permettant de garantir sa bonne réception par l'employeur. »
M. le président. La parole est à Mme Anne-Sophie Romagny, sur l'article.
Mme Anne-Sophie Romagny. Monsieur le président, madame la ministre, mes chers collègues, il s'agit ici d'établir le lien entre l'article 2, que nous venons d'adopter, et l'article 4, qui traite des organismes sociaux.
Notre objectif, depuis le début de l'examen de ce texte, est clair : rendre l'action publique plus efficace dans la lutte contre la fraude sociale, laquelle mine la confiance de nos concitoyens.
Pourtant, nos administrations travaillent encore trop souvent en silos. Comme je l'ai souligné lors de la discussion générale, une telle organisation crée des failles que les fraudeurs connaissent et savent exploiter. Il s'agit non pas de créer de nouvelles structures, mais de mieux coopérer et de mieux partager les données.
Une collaboration plus étroite entre les ordres professionnels de santé et les caisses de sécurité sociale, par exemple, permettrait de croiser les informations, de détecter plus rapidement les abus et de protéger les professionnels honnêtes, sans que chacun se renvoie la balle en se retranchant derrière les limites de son champ de compétences.
J'ai interrogé plusieurs ordres professionnels, et tous me tiennent le même discours : travailler en silos conduit à l'inaction, car chacun considère que le problème relève d'un autre.
Madame la ministre, au-delà des mesures que le Parlement adopte, quelles actions concrètes le Gouvernement compte-t-il mettre en œuvre pour faciliter ces échanges ? En un mot, l'État doit mieux se parler à lui-même pour mieux servir les Français.
M. le président. Je suis saisi de deux amendements faisant l'objet d'une discussion commune.
L'amendement n° 283, présenté par Mme Puissat et M. Henno, au nom de la commission des affaires sociales, est ainsi libellé :
I. – Alinéa 3, première phrase
Remplacer le mot :
locaux
par les mots :
de sécurité sociale de leur réseau
II. – Alinéa 5, première phrase
Après le mot :
organismes
insérer les mots :
de sécurité sociale
III. – Alinéa 6
1° Première phrase
Remplacer les mots :
l'organisme de sécurité sociale
par les mots :
les organismes de sécurité sociale de leur réseau mentionnés au II,
2° Deuxième phrase
Remplacer les mots :
d'un organisme local
par les mots :
de l'un de ces organismes
IV. – Alinéa 7
Compléter cet alinéa par une phrase ainsi rédigée :
Ils se constituent partie civile au cours de la procédure.
V. – Alinéa 8
Remplacer le mot :
répressif
par le mot :
correctionnel
VI. – Alinéa 10, première phrase
Remplacer les mots :
en vue du
par les mots :
afin d'obtenir le
La parole est à M. le rapporteur.
M. Olivier Henno, rapporteur. Cet amendement a pour objet d'introduire l'obligation pour les caisses de sécurité sociale de se constituer partie civile en cours de procédure.
Vous connaissez la formule, mes chers collègues : détecter, récupérer, sanctionner. Ici, il s'agit de se mettre en capacité de mieux récupérer.
M. le président. L'amendement n° 155, présenté par MM. Durox, Hochart et Szczurek, est ainsi libellé :
Après l'alinéa 7
Insérer un alinéa ainsi rédigé :
« Lorsque le procureur de la République décide de donner suite à la plainte, les organismes de sécurité sociale sont tenus de se constituer partie civile.
La parole est à M. Christopher Szczurek.
M. Christopher Szczurek. Il est défendu, monsieur le président.
M. le président. Quel est l'avis du Gouvernement ?
Mme Charlotte Parmentier-Lecocq, ministre déléguée. L'amendement n° 283 vise à expliciter la répartition des obligations de contrôle et de dépôt de plainte entre les organismes nationaux, qui exercent un rôle de pilotage, et les organismes membres de leurs réseaux, c'est-à-dire les caisses régionales ou départementales. Sa rédaction a été travaillée avec nos services et répond à des besoins de précision bien réels.
Par ailleurs, il tend à réintroduire l'obligation pour les caisses de sécurité sociale de se constituer partie civile au cours de la procédure. Cette mention, qui avait pu sembler superfétatoire aux rapporteurs, est néanmoins souhaitée par le Gouvernement, afin de renforcer les obligations pesant sur les caisses et de garantir une indemnisation effective des préjudices résultant des fraudes.
Le Gouvernement émet donc un avis favorable sur l'amendement n° 283. En revanche, il est défavorable à l'amendement n° 155.
M. le président. Quel est l'avis de la commission sur l'amendement n° 155 ?
M. Olivier Henno, rapporteur. L'adoption de cet amendement créerait une ambiguïté juridique, puisque le dispositif prévu ici mentionne les suites données par le procureur de la République.
La commission émet donc un avis défavorable.
M. le président. En conséquence, l'amendement n° 155 n'a plus d'objet.
L'amendement n° 206 rectifié, présenté par MM. Chasseing et Grand, Mmes Lermytte et L. Darcos, MM. V. Louault, A. Marc, Chevalier, Brault et Capus, Mme Bourcier, MM. Rochette, Malhuret, Wattebled et Khalifé, Mme Belrhiti, MM. Menonville, Pillefer, H. Leroy, Levi et Chatillon, Mme Josende, M. Houpert et Mme Jacquemet, est ainsi libellé :
Alinéa 10
Compléter cet alinéa par une phrase ainsi rédigée :
L'employeur transmet l'ensemble des éléments ainsi réceptionnés à l'organisme assureur auquel le salarié est affilié en application à l'article L. 911-2.
La parole est à Mme Marie-Claude Lermytte
Mme Marie-Claude Lermytte. L'article 26 de la loi de financement de la sécurité sociale pour 2025 instaure pour l'organisme de sécurité sociale ayant constaté une fraude à l'arrêt de travail une obligation d'informer l'employeur de l'auteur de la fraude.
Cette disposition favorise une meilleure coordination entre l'employeur et la caisse primaire d'assurance maladie dans la lutte contre la fraude aux arrêts de travail. Toutefois, son efficacité pourrait être renforcée, en assurant également une transmission des informations aux organismes d'assurance complémentaire lorsque le salarié bénéficie d'indemnités journalières complémentaires.
Le présent amendement vise donc à garantir une coordination optimale entre les trois acteurs concernés – la caisse primaire d'assurance maladie, l'employeur et l'organisme assureur –, afin de permettre la suspension simultanée de l'ensemble des versements d'indemnités en cas de fraude avérée, notamment lorsque la caisse primaire d'assurance maladie (CPAM) a constaté une irrégularité avant le versement des indemnités journalières et engagé le recouvrement de ces dernières.
M. le président. Quel est l'avis de la commission ?
M. Olivier Henno, rapporteur. Le présent amendement a pour objet d'étendre l'obligation d'information qui incombe aux caisses d'assurance maladie aux assureurs privés offrant une protection sociale complémentaire aux salariés à la suite de conventions ou d'accords collectifs.
Or les garanties collectives visées ne couvrent pas le risque maladie ou accident du travail, de sorte qu'il n'y a pas lieu de transmettre aux assureurs cette information.
La commission émet donc un avis défavorable.
M. le président. Quel est l'avis du Gouvernement ?
Mme Charlotte Parmentier-Lecocq, ministre déléguée. Cet amendement vise à instaurer pour l'employeur une obligation d'informer l'organisme de prévoyance dès qu'une décision de la CPAM suspend le versement des indemnités journalières, notamment en cas d'arrêt de travail jugé frauduleux et non médicalement justifié.
Actuellement, le code de la sécurité sociale prévoit que, en cas de suspension des indemnités journalières pour ces motifs, la CPAM informe l'employeur. Mais aucune information n'est transmise à l'organisme complémentaire gérant le régime de prévoyance de l'entreprise. Vous souhaitez que l'employeur notifie également la décision de suspension à l'organisme complémentaire concerné.
Cette proposition soulève des questions légitimes relatives à la coordination entre les différents acteurs de l'indemnisation des arrêts de travail, dans une logique de renforcement de la lutte contre les fraudes.
Cependant, une telle mesure est déjà prévue par le projet de loi. En effet, l'amendement COM-120 des rapporteurs a instauré l'obligation pour l'employeur d'informer l'organisme complémentaire chargé du contrat de prévoyance de l'entreprise lors de la suspension du versement des indemnités journalières.
Votre amendement étant satisfait, le Gouvernement demande son retrait. À défaut, il émettrait un avis défavorable.
M. le président. La parole est à Mme Raymonde Poncet Monge, pour explication de vote.
Mme Raymonde Poncet Monge. J'ai une question. Du temps où je dirigeais une association, j'ai retenu que les complémentaires remboursent après l'assurance obligatoire. Elles seront donc informées indirectement de la situation, puisque les indemnités journalières de la sécurité sociale cesseront d'être versées par l'organisme d'assurance maladie.
Au-delà des arguments déjà exposés par M. le rapporteur, cet amendement est non pas seulement satisfait, mais surtout inutile. Les complémentaires, par définition, interviennent en complément et s'appuient sur les décisions prises par l'assurance maladie obligatoire. Multiplier les transmissions d'informations dans tous les sens n'aurait, à mon sens, aucune utilité opérationnelle.
M. le président. Je mets aux voix l'article 4, modifié.
(L'article 4 est adopté.)
Article 5
I. – Le titre III du livre Ier du code des assurances est complété par un chapitre V ainsi rédigé :
« CHAPITRE V
« Contrats conclus pour le remboursement et l'indemnisation des frais occasionnés par une maladie, une maternité ou un accident
« Art. L. 135-1. – Les entreprises d'assurance sont autorisées à traiter, en application du h du paragraphe 2 de l'article 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), et dans le respect de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, les données à caractère personnel relatives à la santé de leurs assurés et ayants droit couverts par un contrat d'assurance conclu pour le remboursement et l'indemnisation des frais occasionnés par une maladie, une maternité ou un accident, notamment les numéros de code des actes effectués et des prestations servies.
« Elles sont également autorisées à traiter les données d'identification et de facturation des professionnels et organismes ou établissements ayant prescrit ou dispensé ces actes ou prestations.
« Art. L. 135-2. – Peuvent faire l'objet du traitement prévu à l'article L. 135-1 les seules données strictement nécessaires :
« 1° Au remboursement et à l'indemnisation des frais occasionnés par une maladie, une maternité ou un accident dans le cadre des contrats au même article L. 135-1, y compris dans le cadre du tiers payant ;
« 2° Au contrôle et aux vérifications du respect des contrats couvrant les assurés et des conventions souscrites avec les professionnels et organismes ou établissements de santé ;
« 3° À la constatation, à l'exercice ou à la défense de droits en justice.
« Art. L. 135-3. – Les entreprises d'assurance mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau élevé de sécurité ainsi que la protection des droits des personnes concernées. Elles s'assurent que les données à caractère personnel ne sont conservées que pendant une durée n'excédant pas celle strictement nécessaire au regard des finalités mentionnées à l'article L. 135-2 et que leurs personnels, qui font l'objet d'une habilitation spécifique, n'accèdent qu'aux données strictement nécessaires à leurs missions.
« Les données à caractère personnel des traitements mis en œuvre en application du présent chapitre sont stockées exclusivement au sein de l'Espace économique européen, dans des conditions garantissant notamment la protection des données contre tout accès par des autorités publiques d'États tiers non autorisé par le droit de l'Union européenne ou d'un État membre.
« Seuls des professionnels de santé et les personnels placés sous leur autorité chargés du contrôle médical du dossier ont accès, dans le cadre de leur fonction et pour la durée de leur accomplissement, aux données à caractère personnel relatives à un assuré ou un ayant droit couvert par un contrat mentionné à l'article L. 135-1, identifié lorsqu'elles sont associées au numéro de code d'une pathologie diagnostiquée.
« Tout personnel de l'entreprise d'assurance est tenu au secret professionnel pour toutes les données à caractère personnel relatives à la santé ou d'identification et de facturation mentionnées au même article L. 135-1.
« Art. L. 135-4. – Par dérogation à l'article L. 1110-4 du code de la santé publique et pour les seuls besoins de la mise en œuvre du tiers payant, les professionnels de santé, organismes ou établissements dispensant des actes ou prestations remboursés ou indemnisés dans le cadre des contrats mentionnés à l'article L. 135-1 du présent code à des assurés ou à leurs ayants droit couverts par ces contrats sont autorisés à communiquer aux entreprises d'assurance les données mentionnées à l'article L. 161-29 du code de la sécurité sociale et toutes autres données strictement nécessaires à cette fin.
« Seuls des professionnels de santé et les personnels placés sous leur autorité chargés du contrôle médical du dossier ont accès, dans le cadre de leur fonction et pour la durée de leur accomplissement, aux données à caractère personnel relatives à un assuré ou un ayant droit couvert par les contrats d'assurance mentionnés à l'article L. 135-1 du présent code lorsqu'elles sont associées au numéro de code d'une pathologie diagnostiquée.
« Le personnel des entreprises d'assurance est soumis au secret professionnel, dans les conditions et sous les peines prévues à l'article 226-13 du code pénal, pour toutes les informations communiquées en application du présent article.
« Art. L. 135-5. – Un décret en Conseil d'État, pris après avis de la Commission nationale de l'informatique et des libertés, de l'Union nationale des professionnels de santé et de l'Union nationale des organismes complémentaires d'assurance maladie, précise les modalités d'application du présent chapitre, notamment :
« 1° Les catégories de données traitées, en particulier celles mentionnées à l'article L. 135-2 et pouvant être communiquées aux entreprises d'assurance pour la mise en œuvre du tiers payant ;
« 2° Les durées de conservation des données prévues au 1° du présent article ;
« 3° Les modalités d'information des assurés et des professionnels de santé concernés, ainsi que d'exercice des droits qu'ils tiennent du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
« 4° (nouveau) Les modalités de distinction entre les traitements de données réalisés à des fins de contrôle contractuel et ceux réalisés à des fins de constatation, d'exercice ou de défense de droits en justice ;
« 5° (nouveau) Les modalités de supervision des échanges d'informations par les autorités compétentes, notamment la Commission nationale de l'informatique et des libertés, l'Autorité de contrôle prudentiel et de résolution et l'Union nationale des caisses d'assurance maladie ;
« 6° (nouveau) La transmission annuelle à la Commission nationale de l'informatique et des libertés et à l'Autorité de contrôle prudentiel et de résolution d'un rapport consolidé sur les échanges réalisés au titre des articles L. 135-1 à L. 135-4 du présent code. »
II. – Le chapitre Ier du titre Ier du livre II du code de la mutualité est complété par une section 3 ainsi rédigée :
« Section 3
« Contrats conclus pour le remboursement et l'indemnisation des frais occasionnés par une maladie, une maternité ou un accident
« Art. L. 211-16. – Les mutuelles et unions sont autorisées à traiter, en application du h du paragraphe 2 de l'article 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), et dans le respect de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, les données à caractère personnel relatives à la santé de leurs membres participants et ayants droit couverts par un contrat ou un règlement conclu pour le remboursement et l'indemnisation des frais occasionnés par une maladie, une maternité ou un accident, notamment les numéros de code des actes effectués et des prestations servies.
« Elles sont également autorisées à traiter les données d'identification et de facturation des professionnels et organismes ou établissements ayant prescrit ou dispensé ces actes ou prestations.
« Art. L. 211-17. – Peuvent faire l'objet du traitement prévu à l'article L. 211-16 les seules données strictement nécessaires :
« 1° Au remboursement et à l'indemnisation des frais occasionnés par une maladie, une maternité ou un accident dans le cadre d'un contrat ou de l'adhésion à un règlement mentionné au même article L. 211-16, y compris dans le cadre du tiers payant ;
« 2° Au contrôle et aux vérifications du respect des contrats couvrant les assurés et des conventions souscrites avec les professionnels et organismes ou établissements de santé ;
« 3° À la constatation, à l'exercice ou à la défense de droits en justice.
« Art. L. 211-18. – Les mutuelles ou unions mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau élevé de sécurité ainsi que la protection des droits des personnes concernées. Elles s'assurent que les données à caractère personnel ne sont conservées que pendant une durée n'excédant pas celle strictement nécessaire au regard des finalités mentionnées à l'article L. 211-17 et que leurs personnels, qui font l'objet d'une habilitation spécifique, n'accèdent qu'aux données strictement nécessaires à leurs missions.
« Les données à caractère personnel des traitements mis en œuvre en application de la présente section sont stockées exclusivement au sein de l'Espace économique européen, dans des conditions garantissant notamment la protection des données contre tout accès par des autorités publiques d'États tiers non autorisé par le droit de l'Union européenne ou d'un État membre.
« Seuls des professionnels de santé et les personnels placés sous leur autorité chargés du contrôle médical du dossier ont accès, dans le cadre de leur fonction et pour la durée de leur accomplissement, aux données à caractère personnel relatives à un membre participant ou un ayant droit couvert par un règlement ou un contrat mentionné à l'article L. 211-16 lorsqu'elles sont associées au numéro de code d'une pathologie diagnostiquée.
« Tout personnel de la mutuelle ou de l'union est tenu au secret professionnel pour toutes les données à caractère personnel relatives à la santé ou d'identification et de facturation mentionnées au même article L. 211-16.
« Art. L. 211-19. – Par dérogation à l'article L. 1110-4 du code de la santé publique et pour les seuls besoins de la mise en œuvre du tiers payant, les professionnels de santé, organismes ou établissements dispensant des actes ou prestations remboursés dans le cadre des règlements et contrats mentionnés à l'article L. 211-16 du présent code à des assurés ou à leurs ayants droit couverts par ces contrats sont autorisés à communiquer aux mutuelles et unions les données mentionnées à l'article L. 161-29 du code de la sécurité sociale et toutes autres données strictement nécessaires à cette fin.
« Seuls des professionnels de santé et les personnels placés sous leur autorité chargés du contrôle médical du dossier ont accès, dans le cadre de leur fonction et pour la durée de leur accomplissement, aux données à caractère personnel relatives à un membre participant ou un ayant droit couvert par un règlement ou contrat mentionné à l'article L. 211-16 du présent code, lorsqu'elles sont associées au numéro de code d'une pathologie diagnostiquée.
« Le personnel des mutuelles et de leurs unions est soumis au secret professionnel, dans les conditions et sous les peines prévues à l'article 226-13 du code pénal, pour toutes les informations communiquées en application du présent article.
« Art. L. 211-20. – Un décret en Conseil d'État, pris après avis de la Commission nationale de l'informatique et des libertés, de l'Union nationale des professionnels de santé et de l'Union nationale des organismes complémentaires d'assurance maladie, précise les modalités d'application de la présente section, notamment :
« 1° Les catégories de données traitées, en particulier celles mentionnées à l'article L. 211-17 et pouvant être communiquées aux mutuelles et unions pour la mise en œuvre du tiers payant ;
« 2° Les durées de conservation des données prévues au 1° du présent article ;
« 3° Les modalités d'information des assurés et des professionnels de santé concernés, ainsi que d'exercice des droits qu'ils tiennent du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données). »
III. – Le code de la sécurité sociale est ainsi modifié :
1° Après l'article L. 114-9, sont insérés des articles L. 114-9-1 à L. 114-9-5 ainsi rédigés :
« Art. L. 114-9-1. – Lorsque les investigations menées en application de l'article L. 114-9 mettent en évidence des faits de nature à faire présumer l'un des cas de fraude en matière sociale mentionné au deuxième alinéa de l'article L. 114-16-2 et que l'importance ou la nature de la fraude présumée le justifie, dans des conditions définies par décret en Conseil d'État, les agents chargés du contrôle mentionnés à l'article L. 114-10 du présent code ou à l'article L. 724-7 du code rural et de la pêche maritime communiquent aux organismes d'assurance maladie complémentaire les informations strictement nécessaires à l'identification de l'auteur de ces faits et des actes et prestations sur lesquels ils portent.
« Dans le cadre de cette communication, les données à caractère personnel relatives à la santé sont strictement limitées à la nature des actes et prestations concernés. Les informations transmises ne peuvent être conservées par l'organisme d'assurance maladie complémentaire que pour la durée strictement nécessaire aux fins de contrôle et de vérification du respect des contrats conclus pour le remboursement et l'indemnisation des frais occasionnés par une maladie, une maternité ou un accident et des conventions souscrites avec les professionnels de santé, professionnels et organismes ou établissements de santé et, le cas échéant, de préparation, d'exercice et de suivi d'une action en justice.
« Lorsqu'une décision de déconventionnement est prononcée, les agents mentionnés au premier alinéa du présent article en informent les organismes d'assurance maladie complémentaire.
« Art. L. 114-9-2. – Lorsque l'organisme d'assurance maladie complémentaire de l'assuré a connaissance de faits pouvant être de nature à constituer une fraude et que l'importance ou la nature de la fraude le justifie, dans des conditions définies par décret en Conseil d'État, il communique aux agents chargés du contrôle mentionnés à l'article L. 114-10 du présent code ou à l'article L. 724-7 du code rural et de la pêche maritime de l'organisme compétent les informations strictement nécessaires à l'identification de l'auteur de ces faits et des actes et prestations sur lesquels ils portent.
« Les informations transmises ne peuvent être conservées par l'organisme d'assurance maladie obligatoire qu'aux fins de déclencher ou poursuivre la procédure de contrôle ou d'enquête mentionnée au premier alinéa de l'article L. 114-9 du présent code, de préparer et, le cas échéant, d'exercer et de suivre une action en justice, de mettre en œuvre une procédure de sanction administrative prévue à l'article L. 114-17-1 ou l'une des procédures de déconventionnement définies aux articles L. 162-15-1 et L. 162-32-3 pour les organismes d'assurance maladie obligatoire.
« Art. L. 114-9-3. – Toute personne au sein des organismes d'assurance maladie complémentaire dont les interventions sont nécessaires aux finalités mentionnées aux articles L. 114-9-1 et L. 114-9-2 est tenue au secret professionnel.
« Les informations communiquées en application des mêmes articles L. 114-9-1 et L. 114-9-2 ne peuvent être utilisées à d'autres fins que celles prévues à ces articles, sous peine des sanctions prévues à l'article 226-21 du code pénal.
« Les organismes concernés s'assurent de la mise à jour des informations transmises et procèdent sans délai à la suppression des données enregistrées dès lors que la suspicion de fraude est écartée et que la personne physique ou morale concernée est mise hors de cause.
« Art. L. 114-9-4. – Les organismes d'assurance maladie complémentaire peuvent recourir à un intermédiaire présentant des garanties techniques et organisationnelles appropriées assurant un haut niveau de sécurité des données ainsi que des garanties d'indépendance et d'expertise nécessaires à la mise en œuvre des échanges prévus au présent article.
« Art. L. 114-9-5. – Un décret en Conseil d'État, pris après avis de la Commission nationale de l'informatique et des libertés, de l'Union nationale des professionnels de santé, de l'Union nationale des caisses d'assurance maladie et de l'Union nationale des organismes d'assurance maladie complémentaire précise les conditions et modalités de mise en œuvre des échanges d'informations prévus aux articles L. 114-9-1 à L. 114-9-4, notamment les conditions d'habilitation des personnels de l'organisme d'assurance maladie complémentaire concerné ainsi que les modalités d'information des assurés et des professionnels concernés par ces échanges. Il définit le rôle, les attributions et les garanties de sécurité de l'intermédiaire mentionné à l'article L. 114-9-4. » ;
2° La section 1 du chapitre Ier du titre III du livre IX est complétée par des articles L. 931-3-9 à L. 931-3-13 ainsi rédigés :
« Art. L. 931-3-9. – Les institutions de prévoyance et leurs unions sont autorisées à traiter, en application du h du paragraphe 2 de l'article 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), et dans le respect de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, les données à caractère personnel relatives à la santé de leurs membres participants et ayants droit dans le cadre des adhésions aux règlements ou des contrats conclus pour le remboursement et l'indemnisation des frais occasionnés par une maladie, une maternité ou un accident, notamment les numéros de code des actes effectués et des prestations servies.
« Elles sont également autorisées à traiter les données d'identification et de facturation des professionnels et organismes ou établissements ayant prescrit ou dispensé ces actes ou prestations.
« Art. L. 931-3-10. – Peuvent faire l'objet du traitement prévu au premier alinéa du présent article les seules données strictement nécessaires :
« 1° Au remboursement et à l'indemnisation des frais occasionnés par une maladie, une maternité ou un accident dans le cadre d'un contrat ou de l'adhésion à un règlement mentionné à l'article L. 931-3-9, y compris dans le cadre du tiers payant ;
« 2° Au contrôle et aux vérifications du respect des contrats couvrant les assurés et des conventions souscrites avec les professionnels et organismes ou établissements de santé ;
« 3° À la constatation, à l'exercice ou à la défense de droits en justice.
« Art. L. 931-3-11. – Les institutions de prévoyance et leurs unions mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau élevé de sécurité ainsi que la protection des droits des personnes concernées. Elles s'assurent que les données à caractère personnel ne sont conservées que pendant une durée n'excédant pas celle strictement nécessaire au regard des finalités mentionnées à l'article L. 931-3-10 et que leurs personnels, qui font l'objet d'une habilitation spécifique, n'accèdent qu'aux données strictement nécessaires à leurs missions.
« Les données à caractère personnel des traitements mis en œuvre en application de la présente section sont stockées exclusivement au sein de l'Espace économique européen, dans des conditions garantissant notamment la protection des données contre tout accès par des autorités publiques d'États tiers non autorisé par le droit de l'Union européenne ou d'un État membre.
« Seuls des professionnels de santé et les personnels placés sous leur autorité chargés du contrôle médical du dossier ont accès, dans le cadre de leur fonction et pour la durée de leur accomplissement, aux données à caractère personnel relatives à un membre participant ou un ayant droit couvert par un règlement ou un contrat mentionné à l'article L. 913-3-9 lorsqu'elles sont associées au numéro de code d'une pathologie diagnostiquée.
« Tout personnel de l'institution de prévoyance ou de leur union est tenu au secret professionnel pour toutes les données à caractère personnel relatives à la santé ou d'identification et de facturation mentionnées au même article L. 931-3-9.
« Art. L. 931-3-12. – Par dérogation à l'article L. 1110-4 du code de la santé publique et pour les seuls besoins de la mise en œuvre du tiers payant, les professionnels de santé, organismes ou établissements dispensant des actes ou prestations remboursés dans le cadre des règlements ou contrats mentionnés à l'article L. 931-3-9 du présent code à des assurés ou à leurs ayants droit couverts par ces contrats ou règlements sont autorisés à communiquer aux institutions de prévoyance et à leurs unions les données mentionnées à l'article L. 161-29 du code de la sécurité sociale et toutes autres données strictement nécessaires à cette fin.
« Seuls des professionnels de santé et les personnels placés sous leur autorité chargés du contrôle médical du dossier ont accès, dans le cadre de leur fonction et pour la durée de leur accomplissement, aux données à caractère personnel relatives à un membre participant ou un ayant droit couvert par un contrat ou un règlement mentionné à l'article L. 931-3-9 du présent code lorsqu'elles sont associées au numéro de code d'une pathologie diagnostiquée.
« Le personnel des institutions de prévoyance et de leurs unions est soumis au secret professionnel, dans les conditions et sous les peines prévues à l'article 226-13 du code pénal, pour toutes les informations communiquées en application du présent article.
« Art. L. 931-3-13. – Un décret en Conseil d'État, pris après avis de la Commission nationale de l'informatique et des libertés, de l'Union nationale des professionnels de santé et de l'Union nationale des organismes complémentaires d'assurance maladie, précise les modalités d'application des articles L. 931-3-9, L. 931-3-10, L. 931-3-11 et L. 931-3-12, notamment :
« 1° Les catégories de données traitées, en particulier celles mentionnées à l'article L. 931-3-10 et pouvant être communiquées aux institutions de prévoyance et à leurs unions pour la mise en œuvre du tiers payant ;
« 2° Les durées de conservation des données prévues au 1° du présent article ;
« 3° Les modalités d'information des assurés et des professionnels de santé concernés ainsi que d'exercice des droits qu'ils tiennent du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données). »
III bis (nouveau). – L'article L. 1226-1 du code du travail est ainsi modifié :
1° À la fin du 1°, les mots : « code de la sécurité sociale » sont remplacés par les mots : « même code » ;
2° Après le cinquième alinéa, il est inséré un alinéa ainsi rédigé :
« L'employeur informé de la suspension, prévue à l'article L. 315-2 dudit code, du service de l'allocation mentionnée au premier alinéa du présent article en avise, le cas échéant, l'entreprise d'assurance, la mutuelle ou union ou l'institut de prévoyance ou union assurant le versement de prestations au salarié concerné dans le cadre des garanties collectives mentionnées à l'article L. 911-2 du même code. »
IV. – Au 3° de l'article 65 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, les mots : « ainsi que la prise en charge des prestations » sont remplacés par les mots : « ainsi que les traitements mis en œuvre pour les finalités mentionnées à l'article L. 931-3-10 du code de la sécurité sociale, à l'article L. 135-2 du code des assurances et à l'article L. 211-17 du code de la mutualité ».