Les assureurs prennent les mesures techniques et organisationnelles nécessaires pour garantir la protection des données; ils établissent en particulier les règlements de traitement des données nécessaires conformément à l’ordonnance du 31 août 2022 sur la protection des données1. Ces règlements sont soumis à l’appréciation du préposé fédéral à la protection des données et à la transparence et sont rendus publics.
RS 235.11 .Le renvoi a été adapté en application de l’art. 12 al. 2 de la LF du 18 juin 2004 sur les publications officielles (RS 170.512 ). ↩
1 commentary
Die Krankenkasse darf nicht routinemässig personenbezogene Daten an konzernnahe Zusatzversicherer übermitteln. Solche Datenübermittlungen sind nur mit ausdrücklicher Einwilligung der betroffenen Person zulässig; die Kasse hat dies im Rahmen der nach Art. 84b KVG zu treffenden technischen und organisatorischen Massnahmen sicherzustellen.
“3 infra) -, est en cause le comportement d'un assureur-maladie social, il y a lieu de prendre en considération les caractéristiques de l'organisation des caisses-maladie qui se doit d'être conciliable avec le régime légal de la protection des données, auxquelles celles-ci sont soumises en tant qu'organe fédéral au sens de l'art. 3 let. h LPD (sur ce dernier point ATF 133 V 359 consid. 6.4 et les références; arrêt A-3548/2018 cité consid. 4.5.5 et les références). Dans le cadre de son organisation, la caisse-maladie est tenue de respecter les règles légales et ne peut contraindre ses organes ou collaborateurs à violer la loi. En matière de protection des données, l'assureur-maladie social n'est en droit de traiter de données sensibles - dont les données sur la santé (art. 3 let. c LPD) - que si une loi au sens formel le prévoit expressément (cf., de manière générale, l'art. 84 LAMal) ou si, exceptionnellement (et entre autres éventualités), la personne concernée y a consenti ou a rendu ses données accessibles à tout un chacun et ne s'est pas opposée formellement au traitement (art. 17 al. 2 let. c LPD). Il est tenu de prendre les mesures techniques et organisationnelles nécessaires pour garantir la protection des données (art. 84b LAMal; cf. aussi l'art. 7 al. 1 LPD). Dans ce cadre, il doit assurer que le traitement des données, y compris la collecte des données et leur exploitation (cf. art. 3 let. e LPD), soit effectué en conformité à la loi. Or, celle-ci interdit un échange d'informations général entre la caisse-maladie et une assurance complémentaire privée, même si elles appartiennent à un même groupe d'assureurs, que le transfert de données se fasse de l'assureur-maladie social à l'assureur privé ou dans l'autre sens (Message du 20 septembre 2013 concernant la modification de la loi fédérale sur l'assurance-maladie [Compensation des risques. Séparation de l'assurance de base et des assurances complémentaires], FF 2013 7135 ss, 7148 ch. 2 ad art. 13 al. 2 let. g P-LAMal). Une communication de ces données personnelles ne peut être envisagée qu'avec le consentement de la personne concernée (cf. art. 13 al. 1 LPD sur le consentement de l'intéressé et art. 84a al. 5 LAMal sur le transfert des données par la caisse-maladie au tiers), qui n'a pas été donné en l'espèce (consid.”