La CNIL a récemment annoncé l’interdiction pour les organismes complémentaires d’assurance maladie (OCAM) d’utiliser certaines données de santé en optique. Mais concrètement, qu’est-ce que cela change ?
Depuis 2020, la CNIL a reçu de nombreuses plaintes concernant la collecte et l’utilisation des données personnelles de santé par les OCAM. En réponse, elle a publié une analyse juridique détaillant les conditions de traitement de ces données, conformément au RGPD. Dans une lettre adressée aux OCAM, la CNIL précise que « la collecte des codes de regroupement est suffisante » pour la gestion du tiers payant et le remboursement des prestations.
Où est le problème ?
Cette limitation empêche la transmission d’informations détaillées sur les corrections visuelles, compliquant la détection des fraudes. En effet, près de 25 % des fraudes en optique sont liées à des corrections non conformes. Sans accès à une nomenclature précise, il devient difficile, voire impossible, d’identifier des abus ou des incohérences dans les demandes de remboursement.
Face au mécontentement des OCAM, le Conseil National d’Ophtalmologie a adressé, le 6 janvier 2025, une lettre aux opticiens intitulée « Télé-prescription d’une correction optique : règles de bonnes pratiques ». Ce document propose des recommandations pour encadrer la télé-expertise effectuée par des professionnels de santé lors de la validation des prescriptions de corrections optiques.
Ces bonnes pratiques sont-elles obligatoires ?
La lettre indique que « toute ordonnance délivrée en dehors de ce référentiel ne serait pas conforme aux recommandations de bonnes pratiques ». Le terme « recommandations » laisse entendre une certaine souplesse, sûrement pas une obligation.
Mais comment s’assurer du respect de ces bonnes pratiques si les OCAM n’ont accès qu’à des données minimisées ?
Aucun moyen, malheureusement, puisque les codes de regroupement ne permettent pas de prendre connaissance des corrections visuelles et donc de lutter contre les abus.
Si la protection des données de santé est essentielle, ne faudrait-il pas plutôt légiférer sur les obligations des OCAM en matière de sécurité des données ? Ce récent changement semble soulever des questions sur l’équilibre à trouver entre la protection des données personnelles et la gestion efficace du risque assurantiel.
