Séance du 12 novembre 2025

compte rendu intégral des débats

M. le président. Je suis saisi de deux amendements faisant l’objet d’une discussion commune.

L’amendement n° 283, présenté par Mme Puissat et M. Henno, au nom de la commission des affaires sociales, est ainsi libellé :

I. – Alinéa 3, première phrase

Remplacer le mot :

locaux

par les mots :

de sécurité sociale de leur réseau

II. – Alinéa 5, première phrase

Après le mot :

organismes

insérer les mots :

de sécurité sociale

III. – Alinéa 6

1° Première phrase

Remplacer les mots :

l’organisme de sécurité sociale

par les mots :

les organismes de sécurité sociale de leur réseau mentionnés au II,

2° Deuxième phrase

Remplacer les mots :

d’un organisme local

par les mots :

de l’un de ces organismes

IV. – Alinéa 7

Compléter cet alinéa par une phrase ainsi rédigée :

Ils se constituent partie civile au cours de la procédure.

V. – Alinéa 8

Remplacer le mot :

répressif

par le mot :

correctionnel

VI. – Alinéa 10, première phrase

Remplacer les mots :

en vue du

par les mots :

afin d’obtenir le

La parole est à M. le rapporteur.

M. Olivier Henno, rapporteur. Cet amendement a pour objet d’introduire l’obligation pour les caisses de sécurité sociale de se constituer partie civile en cours de procédure.

Vous connaissez la formule, mes chers collègues : détecter, récupérer, sanctionner. Ici, il s’agit de se mettre en capacité de mieux récupérer.

M. le président. L’amendement n° 155, présenté par MM. Durox, Hochart et Szczurek, est ainsi libellé :

Après l’alinéa 7

Insérer un alinéa ainsi rédigé :

« Lorsque le procureur de la République décide de donner suite à la plainte, les organismes de sécurité sociale sont tenus de se constituer partie civile.

La parole est à M. Christopher Szczurek.

M. Christopher Szczurek. Il est défendu, monsieur le président.

M. le président. Quel est l’avis du Gouvernement ?

Mme Charlotte Parmentier-Lecocq, ministre déléguée. L’amendement n° 283 vise à expliciter la répartition des obligations de contrôle et de dépôt de plainte entre les organismes nationaux, qui exercent un rôle de pilotage, et les organismes membres de leurs réseaux, c’est-à-dire les caisses régionales ou départementales. Sa rédaction a été travaillée avec nos services et répond à des besoins de précision bien réels.

Par ailleurs, il tend à réintroduire l’obligation pour les caisses de sécurité sociale de se constituer partie civile au cours de la procédure. Cette mention, qui avait pu sembler superfétatoire aux rapporteurs, est néanmoins souhaitée par le Gouvernement, afin de renforcer les obligations pesant sur les caisses et de garantir une indemnisation effective des préjudices résultant des fraudes.

Le Gouvernement émet donc un avis favorable sur l’amendement n° 283. En revanche, il est défavorable à l’amendement n° 155.

M. le président. Quel est l’avis de la commission sur l’amendement n° 155 ?

M. Olivier Henno, rapporteur. L’adoption de cet amendement créerait une ambiguïté juridique, puisque le dispositif prévu ici mentionne les suites données par le procureur de la République.

La commission émet donc un avis défavorable.

M. le président. Je mets aux voix l’amendement n° 283.

(L’amendement est adopté.)

M. le président. En conséquence, l’amendement n° 155 n’a plus d’objet.

L’amendement n° 206 rectifié, présenté par MM. Chasseing et Grand, Mmes Lermytte et L. Darcos, MM. V. Louault, A. Marc, Chevalier, Brault et Capus, Mme Bourcier, MM. Rochette, Malhuret, Wattebled et Khalifé, Mme Belrhiti, MM. Menonville, Pillefer, H. Leroy, Levi et Chatillon, Mme Josende, M. Houpert et Mme Jacquemet, est ainsi libellé :

Alinéa 10

Compléter cet alinéa par une phrase ainsi rédigée :

L’employeur transmet l’ensemble des éléments ainsi réceptionnés à l’organisme assureur auquel le salarié est affilié en application à l’article L. 911-2.

La parole est à Mme Marie-Claude Lermytte

Mme Marie-Claude Lermytte. L’article 26 de la loi de financement de la sécurité sociale pour 2025 instaure pour l’organisme de sécurité sociale ayant constaté une fraude à l’arrêt de travail une obligation d’informer l’employeur de l’auteur de la fraude.

Cette disposition favorise une meilleure coordination entre l’employeur et la caisse primaire d’assurance maladie dans la lutte contre la fraude aux arrêts de travail. Toutefois, son efficacité pourrait être renforcée, en assurant également une transmission des informations aux organismes d’assurance complémentaire lorsque le salarié bénéficie d’indemnités journalières complémentaires.

Le présent amendement vise donc à garantir une coordination optimale entre les trois acteurs concernés – la caisse primaire d’assurance maladie, l’employeur et l’organisme assureur –, afin de permettre la suspension simultanée de l’ensemble des versements d’indemnités en cas de fraude avérée, notamment lorsque la caisse primaire d’assurance maladie (CPAM) a constaté une irrégularité avant le versement des indemnités journalières et engagé le recouvrement de ces dernières.

M. le président. Quel est l’avis de la commission ?

M. Olivier Henno, rapporteur. Le présent amendement a pour objet d’étendre l’obligation d’information qui incombe aux caisses d’assurance maladie aux assureurs privés offrant une protection sociale complémentaire aux salariés à la suite de conventions ou d’accords collectifs.

Or les garanties collectives visées ne couvrent pas le risque maladie ou accident du travail, de sorte qu’il n’y a pas lieu de transmettre aux assureurs cette information.

La commission émet donc un avis défavorable.

M. le président. Quel est l’avis du Gouvernement ?

Mme Charlotte Parmentier-Lecocq, ministre déléguée. Cet amendement vise à instaurer pour l’employeur une obligation d’informer l’organisme de prévoyance dès qu’une décision de la CPAM suspend le versement des indemnités journalières, notamment en cas d’arrêt de travail jugé frauduleux et non médicalement justifié.

Actuellement, le code de la sécurité sociale prévoit que, en cas de suspension des indemnités journalières pour ces motifs, la CPAM informe l’employeur. Mais aucune information n’est transmise à l’organisme complémentaire gérant le régime de prévoyance de l’entreprise. Vous souhaitez que l’employeur notifie également la décision de suspension à l’organisme complémentaire concerné.

Cette proposition soulève des questions légitimes relatives à la coordination entre les différents acteurs de l’indemnisation des arrêts de travail, dans une logique de renforcement de la lutte contre les fraudes.

Cependant, une telle mesure est déjà prévue par le projet de loi. En effet, l’amendement COM-120 des rapporteurs a instauré l’obligation pour l’employeur d’informer l’organisme complémentaire chargé du contrat de prévoyance de l’entreprise lors de la suspension du versement des indemnités journalières.

Votre amendement étant satisfait, le Gouvernement demande son retrait. À défaut, il émettrait un avis défavorable.

M. le président. La parole est à Mme Raymonde Poncet Monge, pour explication de vote.

Mme Raymonde Poncet Monge. J’ai une question. Du temps où je dirigeais une association, j’ai retenu que les complémentaires remboursent après l’assurance obligatoire. Elles seront donc informées indirectement de la situation, puisque les indemnités journalières de la sécurité sociale cesseront d’être versées par l’organisme d’assurance maladie.

Au-delà des arguments déjà exposés par M. le rapporteur, cet amendement est non pas seulement satisfait, mais surtout inutile. Les complémentaires, par définition, interviennent en complément et s’appuient sur les décisions prises par l’assurance maladie obligatoire. Multiplier les transmissions d’informations dans tous les sens n’aurait, à mon sens, aucune utilité opérationnelle.

M. le président. Je mets aux voix l’amendement n° 206 rectifié.

(L’amendement n’est pas adopté.)

M. le président. Je mets aux voix l’article 4, modifié.

(L’article 4 est adopté.)

Dossier législatif : projet de loi relatif à la lutte contre les fraudes sociales et fiscales

Article 5

I. – Le titre III du livre I^er du code des assurances est complété par un chapitre V ainsi rédigé :

« CHAPITRE V

« Contrats conclus pour le remboursement et l’indemnisation des frais occasionnés par une maladie, une maternité ou un accident

« Art. L. 135-1. – Les entreprises d’assurance sont autorisées à traiter, en application du h du paragraphe 2 de l’article 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), et dans le respect de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, les données à caractère personnel relatives à la santé de leurs assurés et ayants droit couverts par un contrat d’assurance conclu pour le remboursement et l’indemnisation des frais occasionnés par une maladie, une maternité ou un accident, notamment les numéros de code des actes effectués et des prestations servies.

« Elles sont également autorisées à traiter les données d’identification et de facturation des professionnels et organismes ou établissements ayant prescrit ou dispensé ces actes ou prestations.

« Art. L. 135-2. – Peuvent faire l’objet du traitement prévu à l’article L. 135-1 les seules données strictement nécessaires :

« 1° Au remboursement et à l’indemnisation des frais occasionnés par une maladie, une maternité ou un accident dans le cadre des contrats au même article L. 135-1, y compris dans le cadre du tiers payant ;

« 2° Au contrôle et aux vérifications du respect des contrats couvrant les assurés et des conventions souscrites avec les professionnels et organismes ou établissements de santé ;

« 3° À la constatation, à l’exercice ou à la défense de droits en justice.

« Art. L. 135-3. – Les entreprises d’assurance mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau élevé de sécurité ainsi que la protection des droits des personnes concernées. Elles s’assurent que les données à caractère personnel ne sont conservées que pendant une durée n’excédant pas celle strictement nécessaire au regard des finalités mentionnées à l’article L. 135-2 et que leurs personnels, qui font l’objet d’une habilitation spécifique, n’accèdent qu’aux données strictement nécessaires à leurs missions.

« Les données à caractère personnel des traitements mis en œuvre en application du présent chapitre sont stockées exclusivement au sein de l’Espace économique européen, dans des conditions garantissant notamment la protection des données contre tout accès par des autorités publiques d’États tiers non autorisé par le droit de l’Union européenne ou d’un État membre.

« Seuls des professionnels de santé et les personnels placés sous leur autorité chargés du contrôle médical du dossier ont accès, dans le cadre de leur fonction et pour la durée de leur accomplissement, aux données à caractère personnel relatives à un assuré ou un ayant droit couvert par un contrat mentionné à l’article L. 135-1, identifié lorsqu’elles sont associées au numéro de code d’une pathologie diagnostiquée.

« Tout personnel de l’entreprise d’assurance est tenu au secret professionnel pour toutes les données à caractère personnel relatives à la santé ou d’identification et de facturation mentionnées au même article L. 135-1.

« Art. L. 135-4. – Par dérogation à l’article L. 1110-4 du code de la santé publique et pour les seuls besoins de la mise en œuvre du tiers payant, les professionnels de santé, organismes ou établissements dispensant des actes ou prestations remboursés ou indemnisés dans le cadre des contrats mentionnés à l’article L. 135-1 du présent code à des assurés ou à leurs ayants droit couverts par ces contrats sont autorisés à communiquer aux entreprises d’assurance les données mentionnées à l’article L. 161-29 du code de la sécurité sociale et toutes autres données strictement nécessaires à cette fin.

« Seuls des professionnels de santé et les personnels placés sous leur autorité chargés du contrôle médical du dossier ont accès, dans le cadre de leur fonction et pour la durée de leur accomplissement, aux données à caractère personnel relatives à un assuré ou un ayant droit couvert par les contrats d’assurance mentionnés à l’article L. 135-1 du présent code lorsqu’elles sont associées au numéro de code d’une pathologie diagnostiquée.

« Le personnel des entreprises d’assurance est soumis au secret professionnel, dans les conditions et sous les peines prévues à l’article 226-13 du code pénal, pour toutes les informations communiquées en application du présent article.

« Art. L. 135-5. – Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, de l’Union nationale des professionnels de santé et de l’Union nationale des organismes complémentaires d’assurance maladie, précise les modalités d’application du présent chapitre, notamment :

« 1° Les catégories de données traitées, en particulier celles mentionnées à l’article L. 135-2 et pouvant être communiquées aux entreprises d’assurance pour la mise en œuvre du tiers payant ;

« 2° Les durées de conservation des données prévues au 1° du présent article ;

« 3° Les modalités d’information des assurés et des professionnels de santé concernés, ainsi que d’exercice des droits qu’ils tiennent du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;

« 4° (nouveau) Les modalités de distinction entre les traitements de données réalisés à des fins de contrôle contractuel et ceux réalisés à des fins de constatation, d’exercice ou de défense de droits en justice ;

« 5° (nouveau) Les modalités de supervision des échanges d’informations par les autorités compétentes, notamment la Commission nationale de l’informatique et des libertés, l’Autorité de contrôle prudentiel et de résolution et l’Union nationale des caisses d’assurance maladie ;

« 6° (nouveau) La transmission annuelle à la Commission nationale de l’informatique et des libertés et à l’Autorité de contrôle prudentiel et de résolution d’un rapport consolidé sur les échanges réalisés au titre des articles L. 135-1 à L. 135-4 du présent code. »

II. – Le chapitre I^er du titre I^er du livre II du code de la mutualité est complété par une section 3 ainsi rédigée :

« Section 3

« Contrats conclus pour le remboursement et l’indemnisation des frais occasionnés par une maladie, une maternité ou un accident

« Art. L. 211-16. – Les mutuelles et unions sont autorisées à traiter, en application du h du paragraphe 2 de l’article 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), et dans le respect de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, les données à caractère personnel relatives à la santé de leurs membres participants et ayants droit couverts par un contrat ou un règlement conclu pour le remboursement et l’indemnisation des frais occasionnés par une maladie, une maternité ou un accident, notamment les numéros de code des actes effectués et des prestations servies.

« Art. L. 211-17. – Peuvent faire l’objet du traitement prévu à l’article L. 211-16 les seules données strictement nécessaires :

« 1° Au remboursement et à l’indemnisation des frais occasionnés par une maladie, une maternité ou un accident dans le cadre d’un contrat ou de l’adhésion à un règlement mentionné au même article L. 211-16, y compris dans le cadre du tiers payant ;

« 2° Au contrôle et aux vérifications du respect des contrats couvrant les assurés et des conventions souscrites avec les professionnels et organismes ou établissements de santé ;

« 3° À la constatation, à l’exercice ou à la défense de droits en justice.

« Art. L. 211-18. – Les mutuelles ou unions mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau élevé de sécurité ainsi que la protection des droits des personnes concernées. Elles s’assurent que les données à caractère personnel ne sont conservées que pendant une durée n’excédant pas celle strictement nécessaire au regard des finalités mentionnées à l’article L. 211-17 et que leurs personnels, qui font l’objet d’une habilitation spécifique, n’accèdent qu’aux données strictement nécessaires à leurs missions.

« Les données à caractère personnel des traitements mis en œuvre en application de la présente section sont stockées exclusivement au sein de l’Espace économique européen, dans des conditions garantissant notamment la protection des données contre tout accès par des autorités publiques d’États tiers non autorisé par le droit de l’Union européenne ou d’un État membre.

« Seuls des professionnels de santé et les personnels placés sous leur autorité chargés du contrôle médical du dossier ont accès, dans le cadre de leur fonction et pour la durée de leur accomplissement, aux données à caractère personnel relatives à un membre participant ou un ayant droit couvert par un règlement ou un contrat mentionné à l’article L. 211-16 lorsqu’elles sont associées au numéro de code d’une pathologie diagnostiquée.

« Tout personnel de la mutuelle ou de l’union est tenu au secret professionnel pour toutes les données à caractère personnel relatives à la santé ou d’identification et de facturation mentionnées au même article L. 211-16.

« Art. L. 211-19. – Par dérogation à l’article L. 1110-4 du code de la santé publique et pour les seuls besoins de la mise en œuvre du tiers payant, les professionnels de santé, organismes ou établissements dispensant des actes ou prestations remboursés dans le cadre des règlements et contrats mentionnés à l’article L. 211-16 du présent code à des assurés ou à leurs ayants droit couverts par ces contrats sont autorisés à communiquer aux mutuelles et unions les données mentionnées à l’article L. 161-29 du code de la sécurité sociale et toutes autres données strictement nécessaires à cette fin.

« Seuls des professionnels de santé et les personnels placés sous leur autorité chargés du contrôle médical du dossier ont accès, dans le cadre de leur fonction et pour la durée de leur accomplissement, aux données à caractère personnel relatives à un membre participant ou un ayant droit couvert par un règlement ou contrat mentionné à l’article L. 211-16 du présent code, lorsqu’elles sont associées au numéro de code d’une pathologie diagnostiquée.

« Le personnel des mutuelles et de leurs unions est soumis au secret professionnel, dans les conditions et sous les peines prévues à l’article 226-13 du code pénal, pour toutes les informations communiquées en application du présent article.

« Art. L. 211-20. – Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, de l’Union nationale des professionnels de santé et de l’Union nationale des organismes complémentaires d’assurance maladie, précise les modalités d’application de la présente section, notamment :

« 1° Les catégories de données traitées, en particulier celles mentionnées à l’article L. 211-17 et pouvant être communiquées aux mutuelles et unions pour la mise en œuvre du tiers payant ;

« 2° Les durées de conservation des données prévues au 1° du présent article ;

III. – Le code de la sécurité sociale est ainsi modifié :

1° Après l’article L. 114-9, sont insérés des articles L. 114-9-1 à L. 114-9-5 ainsi rédigés :

« Art. L. 114-9-1. – Lorsque les investigations menées en application de l’article L. 114-9 mettent en évidence des faits de nature à faire présumer l’un des cas de fraude en matière sociale mentionné au deuxième alinéa de l’article L. 114-16-2 et que l’importance ou la nature de la fraude présumée le justifie, dans des conditions définies par décret en Conseil d’État, les agents chargés du contrôle mentionnés à l’article L. 114-10 du présent code ou à l’article L. 724-7 du code rural et de la pêche maritime communiquent aux organismes d’assurance maladie complémentaire les informations strictement nécessaires à l’identification de l’auteur de ces faits et des actes et prestations sur lesquels ils portent.

« Dans le cadre de cette communication, les données à caractère personnel relatives à la santé sont strictement limitées à la nature des actes et prestations concernés. Les informations transmises ne peuvent être conservées par l’organisme d’assurance maladie complémentaire que pour la durée strictement nécessaire aux fins de contrôle et de vérification du respect des contrats conclus pour le remboursement et l’indemnisation des frais occasionnés par une maladie, une maternité ou un accident et des conventions souscrites avec les professionnels de santé, professionnels et organismes ou établissements de santé et, le cas échéant, de préparation, d’exercice et de suivi d’une action en justice.

« Lorsqu’une décision de déconventionnement est prononcée, les agents mentionnés au premier alinéa du présent article en informent les organismes d’assurance maladie complémentaire.

« Art. L. 114-9-2. – Lorsque l’organisme d’assurance maladie complémentaire de l’assuré a connaissance de faits pouvant être de nature à constituer une fraude et que l’importance ou la nature de la fraude le justifie, dans des conditions définies par décret en Conseil d’État, il communique aux agents chargés du contrôle mentionnés à l’article L. 114-10 du présent code ou à l’article L. 724-7 du code rural et de la pêche maritime de l’organisme compétent les informations strictement nécessaires à l’identification de l’auteur de ces faits et des actes et prestations sur lesquels ils portent.

« Les informations transmises ne peuvent être conservées par l’organisme d’assurance maladie obligatoire qu’aux fins de déclencher ou poursuivre la procédure de contrôle ou d’enquête mentionnée au premier alinéa de l’article L. 114-9 du présent code, de préparer et, le cas échéant, d’exercer et de suivre une action en justice, de mettre en œuvre une procédure de sanction administrative prévue à l’article L. 114-17-1 ou l’une des procédures de déconventionnement définies aux articles L. 162-15-1 et L. 162-32-3 pour les organismes d’assurance maladie obligatoire.

« Art. L. 114-9-3. – Toute personne au sein des organismes d’assurance maladie complémentaire dont les interventions sont nécessaires aux finalités mentionnées aux articles L. 114-9-1 et L. 114-9-2 est tenue au secret professionnel.

« Les informations communiquées en application des mêmes articles L. 114-9-1 et L. 114-9-2 ne peuvent être utilisées à d’autres fins que celles prévues à ces articles, sous peine des sanctions prévues à l’article 226-21 du code pénal.

« Les organismes concernés s’assurent de la mise à jour des informations transmises et procèdent sans délai à la suppression des données enregistrées dès lors que la suspicion de fraude est écartée et que la personne physique ou morale concernée est mise hors de cause.

« Art. L. 114-9-4. – Les organismes d’assurance maladie complémentaire peuvent recourir à un intermédiaire présentant des garanties techniques et organisationnelles appropriées assurant un haut niveau de sécurité des données ainsi que des garanties d’indépendance et d’expertise nécessaires à la mise en œuvre des échanges prévus au présent article.

« Art. L. 114-9-5. – Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, de l’Union nationale des professionnels de santé, de l’Union nationale des caisses d’assurance maladie et de l’Union nationale des organismes d’assurance maladie complémentaire précise les conditions et modalités de mise en œuvre des échanges d’informations prévus aux articles L. 114-9-1 à L. 114-9-4, notamment les conditions d’habilitation des personnels de l’organisme d’assurance maladie complémentaire concerné ainsi que les modalités d’information des assurés et des professionnels concernés par ces échanges. Il définit le rôle, les attributions et les garanties de sécurité de l’intermédiaire mentionné à l’article L. 114-9-4. » ;

2° La section 1 du chapitre I^er du titre III du livre IX est complétée par des articles L. 931-3-9 à L. 931-3-13 ainsi rédigés :

« Art. L. 931-3-9. – Les institutions de prévoyance et leurs unions sont autorisées à traiter, en application du h du paragraphe 2 de l’article 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), et dans le respect de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, les données à caractère personnel relatives à la santé de leurs membres participants et ayants droit dans le cadre des adhésions aux règlements ou des contrats conclus pour le remboursement et l’indemnisation des frais occasionnés par une maladie, une maternité ou un accident, notamment les numéros de code des actes effectués et des prestations servies.

« Art. L. 931-3-10. – Peuvent faire l’objet du traitement prévu au premier alinéa du présent article les seules données strictement nécessaires :

« 1° Au remboursement et à l’indemnisation des frais occasionnés par une maladie, une maternité ou un accident dans le cadre d’un contrat ou de l’adhésion à un règlement mentionné à l’article L. 931-3-9, y compris dans le cadre du tiers payant ;

« 2° Au contrôle et aux vérifications du respect des contrats couvrant les assurés et des conventions souscrites avec les professionnels et organismes ou établissements de santé ;

« 3° À la constatation, à l’exercice ou à la défense de droits en justice.

« Art. L. 931-3-11. – Les institutions de prévoyance et leurs unions mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau élevé de sécurité ainsi que la protection des droits des personnes concernées. Elles s’assurent que les données à caractère personnel ne sont conservées que pendant une durée n’excédant pas celle strictement nécessaire au regard des finalités mentionnées à l’article L. 931-3-10 et que leurs personnels, qui font l’objet d’une habilitation spécifique, n’accèdent qu’aux données strictement nécessaires à leurs missions.

« Seuls des professionnels de santé et les personnels placés sous leur autorité chargés du contrôle médical du dossier ont accès, dans le cadre de leur fonction et pour la durée de leur accomplissement, aux données à caractère personnel relatives à un membre participant ou un ayant droit couvert par un règlement ou un contrat mentionné à l’article L. 913-3-9 lorsqu’elles sont associées au numéro de code d’une pathologie diagnostiquée.

« Tout personnel de l’institution de prévoyance ou de leur union est tenu au secret professionnel pour toutes les données à caractère personnel relatives à la santé ou d’identification et de facturation mentionnées au même article L. 931-3-9.

« Art. L. 931-3-12. – Par dérogation à l’article L. 1110-4 du code de la santé publique et pour les seuls besoins de la mise en œuvre du tiers payant, les professionnels de santé, organismes ou établissements dispensant des actes ou prestations remboursés dans le cadre des règlements ou contrats mentionnés à l’article L. 931-3-9 du présent code à des assurés ou à leurs ayants droit couverts par ces contrats ou règlements sont autorisés à communiquer aux institutions de prévoyance et à leurs unions les données mentionnées à l’article L. 161-29 du code de la sécurité sociale et toutes autres données strictement nécessaires à cette fin.

« Seuls des professionnels de santé et les personnels placés sous leur autorité chargés du contrôle médical du dossier ont accès, dans le cadre de leur fonction et pour la durée de leur accomplissement, aux données à caractère personnel relatives à un membre participant ou un ayant droit couvert par un contrat ou un règlement mentionné à l’article L. 931-3-9 du présent code lorsqu’elles sont associées au numéro de code d’une pathologie diagnostiquée.

« Le personnel des institutions de prévoyance et de leurs unions est soumis au secret professionnel, dans les conditions et sous les peines prévues à l’article 226-13 du code pénal, pour toutes les informations communiquées en application du présent article.

« Art. L. 931-3-13. – Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, de l’Union nationale des professionnels de santé et de l’Union nationale des organismes complémentaires d’assurance maladie, précise les modalités d’application des articles L. 931-3-9, L. 931-3-10, L. 931-3-11 et L. 931-3-12, notamment :

« 1° Les catégories de données traitées, en particulier celles mentionnées à l’article L. 931-3-10 et pouvant être communiquées aux institutions de prévoyance et à leurs unions pour la mise en œuvre du tiers payant ;

« 2° Les durées de conservation des données prévues au 1° du présent article ;

« 3° Les modalités d’information des assurés et des professionnels de santé concernés ainsi que d’exercice des droits qu’ils tiennent du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données). »

III bis (nouveau). – L’article L. 1226-1 du code du travail est ainsi modifié :

1° À la fin du 1°, les mots : « code de la sécurité sociale » sont remplacés par les mots : « même code » ;

2° Après le cinquième alinéa, il est inséré un alinéa ainsi rédigé :

« L’employeur informé de la suspension, prévue à l’article L. 315-2 dudit code, du service de l’allocation mentionnée au premier alinéa du présent article en avise, le cas échéant, l’entreprise d’assurance, la mutuelle ou union ou l’institut de prévoyance ou union assurant le versement de prestations au salarié concerné dans le cadre des garanties collectives mentionnées à l’article L. 911-2 du même code. »

IV. – Au 3° de l’article 65 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, les mots : « ainsi que la prise en charge des prestations » sont remplacés par les mots : « ainsi que les traitements mis en œuvre pour les finalités mentionnées à l’article L. 931-3-10 du code de la sécurité sociale, à l’article L. 135-2 du code des assurances et à l’article L. 211-17 du code de la mutualité ».