|
Direction de la séance |
Projet de loi Financement de la sécurité sociale pour 2025 (1ère lecture) (n° 129 , 138 , 130) |
N° 752 14 novembre 2024 |
AMENDEMENTprésenté par |
|
||||||||
|
M. IACOVELLI ARTICLE ADDITIONNEL APRÈS ARTICLE 16 |
|||||||||
Après l’article 16
Insérer un article additionnel ainsi rédigé :
I. – Le chapitre Ier du titre Ier du livre Ier du code des assurances est complété par un article L. 111-… ainsi rédigé :
« Art. L. 111-…. – I. Dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et du Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, les entreprises d’assurance sont autorisés à traiter les données à caractère personnel relatives à la santé de leurs assurés et de leurs ayants droit pour l’exercice de leurs missions liées à l’exécution du contrat :
« 1° Pour le remboursement ou l’indemnisation des frais occasionnés par une maladie, une maternité ou un accident, y compris dans le cadre du mécanisme du tiers payant ;
« 2° Pour des actions de prévention ;
« 3° Pour des actions de lutte contre la fraude, y compris les actions visées aux articles L. 114-9 et L. 114-9-1 du code de la sécurité sociale ;
« II. Dans ce cadre, les entreprises d’assurance sont habilitées à recevoir des assurés et des ayants droits, des organismes d’assurance maladie obligatoire, des professionnels de santé ou de tout professionnel participant à la prise en charge du patient, et des organismes ou établissements dispensant des actes ou prestations, les données à caractère personnel relatives à la santé de leurs assurés strictement nécessaire aux finalités visées au I., y compris les numéros de codes des actes effectués et des prestations servies ainsi que les données d’identification des professionnels et organismes ou établissements ayant prescrits ou dispensé lesdits actes ou prestations.
« III. Les entreprises d’assurance mettent en œuvre les mesures techniques et organisationnelles appropriées de manière à ce que les traitements des données à caractère personnel répondent aux exigences des dispositions visées au premier alinéa du présent article et garantissent la protection des droits des personnes concernées.
« Pour assurer les actions de lutte contre la fraude visée au 3° du I, les entreprises d’assurance mettent en place des services dédiés pour mener les investigations nécessaires.
« Toute personne au sein des entreprises d’assurance qui a connaissance ou accès aux données de santé prévue au II pour les finalités mentionnées au I. du présent article est tenue au secret professionnel dans les conditions et sous les peines prévues à l’article 226-13 du code pénal. »
II. – Le chapitre préliminaire du livre Ier du code de la mutualité est complété par un article L. 110-… ainsi rédigé :
« Art. L. 110-…. – I. Dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et du Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, les mutuelles et les unions sont autorisées à traiter les données à caractère personnel relatives à la santé de leurs membres participants et de leurs ayants droit pour l’exercice de leurs missions liées à l’exécution du règlement ou du contrat collectif :
« 1° Pour le remboursement ou l’indemnisation des frais occasionnés par une maladie, une maternité ou un accident, y compris dans le cadre du mécanisme du tiers payant ;
« 2° Pour des actions de prévention ;
« 3° Pour des actions de lutte contre la fraude, y compris les actions visées aux articles L. 114-9 et L. 114-9-1 du code de la Sécurité sociale ;
« II. Dans ce cadre, les mutuelles et les unions sont habilitées à recevoir des membres participants et des ayants droit , des organismes d’assurance maladie obligatoire, des professionnels de santé ou de tout professionnel participant à la prise en charge du patient, et des organismes ou établissements dispensant des actes ou prestations, les données à caractère personnel relatives à la santé de leurs assurés strictement nécessaire aux finalités visées au I., y compris les numéros de codes des actes effectués et des prestations servies ainsi que les données d’identification des professionnels et organismes ou établissements ayant prescrits ou dispensé lesdits actes ou prestations.
« III. Les mutuelles et les unions mettent en œuvre les mesures techniques et organisationnelles appropriées de manière à ce que les traitements des données à caractère personnel répondent aux exigences des dispositions visées au premier alinéa du présent article et garantissent la protection des droits des personnes concernées.
« Pour assurer les actions de lutte contre la fraude visée au 3° du I, les mutuelles et unions mettent en place des services dédiés pour mener les investigations nécessaires.
« Toute personne au sein des mutuelles et des unions qui a connaissance ou accès aux données de santé prévue au II pour les finalités mentionnées au I. du présent article est tenue au secret professionnel dans les conditions et sous les peines prévues à l’article 226-13 du code pénal.
III. – Le chapitre 1er du titre III du livre IX du code de la sécurité sociale est complété par un article L. 931-3-… ainsi rédigé :
« Art. L. 931-3-…. – I. Dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et du Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, les institutions de prévoyance et leurs unions sont autorisées à traiter les données à caractère personnel relatives à la santé de leurs membres participants et de leurs ayants droit pour l’exercice de leurs missions liées à l’exécution du contrat ou du bulletin d’adhésion au règlement :
« 1° Pour le remboursement ou l’indemnisation des frais occasionnés par une maladie, une maternité ou un accident, y compris dans le cadre du mécanisme du tiers payant.
« 2° Pour des actions de prévention ;
« 3° Pour des actions de lutte contre la fraude, y compris les actions visées aux articles L. 114-9 et L. 114-9-1 du code de la Sécurité sociale ;
« II. Dans ce cadre, les institutions de prévoyance et leurs unions sont habilitées à recevoir des membres participants et des ayants droit, des organismes d’assurance maladie obligatoire, des professionnels de santé ou de tout professionnel participant à la prise en charge du patient, et des organismes ou établissements dispensant des actes ou prestations, les données à caractère personnel relatives à la santé de leurs membres participants et ayants droit strictement nécessaires aux finalités visées au I., y compris les numéros de codes des actes effectués et des prestations servies ainsi que les données d’identification des professionnels et organismes ou établissements ayant prescrits ou dispensé lesdits actes ou prestations.
« III. Les institutions de prévoyance et leurs unions mettent en œuvre les mesures techniques et organisationnelles appropriées de manière à ce que les traitements des données à caractère personnel répondent aux exigences des dispositions visées au premier alinéa du présent article et garantissent la protection des droits des personnes concernées.
« Pour assurer les actions de lutte contre la fraude visée au 3° du I, les institutions de prévoyance et leurs unions mettent en place des services dédiés pour mener les investigations nécessaires.
« Toute personne au sein des institutions de prévoyance et de leurs unions qui a connaissance ou accès aux données de santé prévue au II pour les finalités mentionnées au I. du présent article est tenue au secret professionnel dans les conditions et sous les peines prévues à l’article 226-13 du code pénal. »
Objet
En soutien de l’article mentionné ci-dessus et en cohérence avec l’avis de la CNIL, cet amendement vise à rappeler la licéité des organismes complémentaires des entreprises d’assurance, des mutuelles et des institutions de prévoyance à traiter de données de santé, dans le cadre de finalités précises liées à l’exécution des contrats d’assurance relevant de la protection sociale, et dans le strict respect des conditions fixées par le RGPD en termes de sécurité et protection des données personnelles.