Par Philippe Girard, producteur
Les données liées à notre santé sont sensibles, puisqu’elles peuvent nous pénaliser auprès des assurances maladies privées, qui ont le droit d’émettre des réserves. C’est donc un volet sur lequel nous reviendrons souvent dans notre enquête ouverte.
Mais intéressons-nous ici au ontenu des données que les assurances ont sur nous – et celles qu’elles sont disposées à nous transmettre. Au lancement de notre enquête ouverte, un internaute nous interpelait sur notre groupe Facebook :
Capture sur Facebook pour le dossier "Donnez-moi mes données" de "On en parle".
Etonné que nos données d’assurance puissent occuper un aussi gros volume – et la personne citée dans le post n’étant pas disposée à parler aux journalistes – nous avons voulu vérifier.
J’ai donc écrit à mon ancienne assurance maladie, à laquelle j’ai été affilié plusieurs années pour l’assurance de base – notamment en 1996, à l’introduction de la LAMal, puis par intermittences auprès de deux filiales du groupe, dans les années 2000 – et où j’ai encore une petite complémentaire. Je lui ai demandé copie de toutes mes données en sa possession, sur le modèle de lettre rédigé par l’avocat stagiaire François Charlet.
N.B. Ayant fait la demande à titre personnel, et non en tant que journaliste, j’ai choisi de ne pas divulguer le nom de cette assurance – que nous appellerons "assurance X".
40 jours plus tard…
Après un premier accusé de réception me demandant de patienter, je reçois mon dossier en recommandé 40 jours plus tard.
L’envoi est loin de tenir dans un carton! Une grosse enveloppe, contenant 3 dossiers pour un total de 52 pages:
Première découverte: la lettre qui accompagne le dossier est signée d’un "préposé à la protection des données". L’assurance dispose donc d’un professionnel entièrement dévolu à nos données, ce qui est plutôt rassurant – même si le titre, identique à celui des administrations publiques, peut prêter à confusion.
Le premier dossier contient la liste des primes payées (toutes confondues, assurance de base et assurance privée), la liste des décomptes de prestations (mentionnant uniquement les numéros de factures, sans le détail des prestations) et la liste de tous les mouvements bancaires.
10 ans de conservation
Fait notable: toutes ces informations ne concernent que la période 2006 – 2015. J’apprendrai plus tard que les données sont conservées 10 ans, pour des raisons de prescription, m’écrira-t-on:
"Toutes les actions se prescrivent par dix ans, lorsque le droit civil fédéral n'en dispose pas autrement"
Art. 127 Loi fédérale complétant le Code civil suisse - Livre cinquième: Droit des obligations
"Le droit à des prestations ou à des cotisations arriérées s'éteint cinq ans après la fin du mois pour lequel la prestation était due et cinq ans après la fin de l'année civile pour laquelle la cotisation devait être payée"
Art. 24 Al. 1 Loi fédérale sur la partie générale du droit des assurances sociales (LPGA).
Par contre, malgré mes questions réitérées à ce sujet, l’assurance ne dira jamais clairement ce qu’il advient des données après 10 ans (archivage? suppression?).
Le deuxième dossier est essentiellement composé de captures d’écran. Elles correspondent à ma fiche personnelle tirée de la base de données de l’assurance pour chaque année d’affiliation. Mes données de base y figurent (nom, prénom, adresse, année de naissance, numéro de police, etc.). Plusieurs champs ne sont pas documentés (téléphone, e-mail…).
Un champ attire mon attention : "VIP". En ce qui me concerne, ce champ comporte la mention "normal". Faut-il comprendre que certains assurés bénéficient d’un traitement de faveur? Comme les documents ne le précisent pas, je pose la question par mail. J’apprends que les "VIP" sont les assurés salariés de la compagnie. Voilà mes soupçons d’iniquité dissipés.
Le 3 dossier, le plus important, comporte les copies de toutes les factures médicales traitées, ainsi que les copies de la correspondance entretenue. Cette correspondance est cependant très incomplète, puisque n’y figure que la réponse négative de l’assurance à une demande de résiliation de mon assurance complémentaire que j’avais adressée hors délai. La copie de ma lettre elle-même n’a pas été conservée, pas plus que celles des autres courriers que j’ai adressés à l’assurance – à une exception: l’assurance a pris la peine de me renvoyer une copie de ma lettre de demande de données personnelles, avec même la copie de l’enveloppe !
Pourquoi ma correspondance n’a pas été conservée? J’ai posé la question à deux reprises par e-mail. Silence radio.
Des questions sans réponse
Si mon dossier est relativement complet, l’assurance ne répond en revanche à aucune de mes questions sur les personnes qui ont accès à mes données et sur leur une éventuelle transmission à des tiers. Elle se contente de me dire qu’on reste à ma disposition pour répondre à mes questions.
Je reformule donc mes questions par mail. La réponse, plutôt évasive et rédigée dans un français approximatif, ne répond qu’imparfaitement à mes interrogations: on m’assure que l’accès à mes données est limité aux seules personnes qui en ont besoin, pour calculer par exemple les prestations d’assurance.
Pour le reste, on m’indique que "la provenance des données ressort clairement des documents", que les données servent "au décompte des prestations (art. 84 LAMal). Il s'agit aussi bien de données personnelles que de données personnelles particulièrement dignes de protection" (j’ignorais cette distinction !) et que "les destinataires des données apparaissent dans les documents".
Pour comparaison
L’assurance a pris la peine de constituer un dossier plus ou moins complet, mais peine à informer et rassurer quant à l’accès et à l’utilisation de ces données. Pas un mot, par exemple, sur la façon dont l’assurance gère et sépare assurance obligatoire des soins et assurance privée (le sujet avait été abordé dans notre émission "On en parle" du 28 janvier 2015). En outre, plusieurs de mes questions n’ont pas eu de réponses claires – sans doute pour des raisons de langue, le siège de l’assurance étant situé en Suisse alémanique.
Pour comparaison, je décide donc d’entamer la même démarche auprès de ma caisse-maladie actuelle (appellons-la "assurance Y"), qui a son siège en Suisse romande et auprès de laquelle je suis assuré uniquement pour l’assurance de base depuis 2013 (comme je l’ai aussi été pour les années 2004 – 2005, je suis curieux de voir si mes données pour ces exercices-là ont été conservées).
La réponse me parvient 20 jours plus tard. Le contenu est sensiblement le même que celui envoyé par l’assurance X (listing des prestations, captures d’écran de ma fiche personnelles avec données de base, etc.), à l’exception notable des factures originales des soins et de ma correspondance, toutes deux totalement absentes du dossier! Interrogée sur cette absence, l’assurance m’a répondu qu’elle ne renvoyait pas de copies de factures aux assurés, "c’est à l’assuré de faire des copies avant de les transmettre à son assureur. Une fois les factures traitées. Celles-ci sont enregistrées dans les dossiers des assurés".
Les factures font donc bel et bien partie de mon dossier. Mais cette assurance étant connue pour son aversion de la paperasserie, je ne suis guère étonné qu’elle n’ait pas pris la peine de les inclure dans son envoi.
En revanche, dans sa lettre d’accompagnement, l’assurance Y est beaucoup plus précise que la caisse X. Pour tout ce qui concerne le traitement, la transmission et la conservation des données, elle renvoie à un règlement d’une vingtaine de pages, assez complet, disponible sur internet.
Elle mentionne aussi que "les données vous concernant seront détruites après une durée de conservation d’environ 10 ans après un éventuel départ [de l’assurance Y], compte tenu également du délai de prescription de 5 ans pour nous adresser des factures", ce qui corrobore les informations de l’assurance X.
Mais à la différence de cette dernière, l’assurance Y m’a envoyé le relevé des prestations pour l’exercice 2005 – qu’elle n’a donc pas encore détruit! – et mentionne dans sa lettre que, pour l’année 2004, "aucune prise en charge ne figure à votre dossier". Là encore, un simple relevé, sans copie des factures médicales originales.
Demander l’effacement des données ?
Dans son post sur Facebook, notre auditeur nous demande s’il est possible de demander la destruction des données à la résiliation d’une police. "Oui, à condition que l’assurance n’en ait plus besoin pour examiner une prestation", répond l’assurance X.
Cela étant, la destruction de type de données est risquée. En témoigne le cas de Myriam, auditrice que nous citions dans notre "2e Service" du 26 juin 2015: victime d’un accident dans son enfance, elle avait eu à subir un traitement assez lourd au nouveau dentaire. Plus de 30 ans plus tard, devant subir un contrôle d’arthrose à ce propos, elle a besoin de son dossier médical de l’époque. Mais ni la caisse, ni le médecin d’alors, ni son successeur n’ont conservé ce dossier.
"Le renvoi des dossiers aux patients lorsqu'un médecin part à la retraite devrait être automatique. Le transfert des dossiers d'une caisse à l'autre devrait être automatique. Et finalement, il devrait être systématiquement remis au patient (ou lui être proposé) de pouvoir recevoir une copie de son dossier médical", s’insurge Myriam.
Prudence donc avant de demander la destruction de ses données! Il est préférable d’en demander copie avant – ou d’avoir soi-même conservé un dossier complet.