Aller au contenu principal
← Toutes les actualités

Traitement des données de santé par les OCAM : ce que change la loi relative à la lutte contre les fraudes sociales et fiscales

OCAMARTICLEJUILLET 2026

L'article 21 de la loi n° 2026-534 du 25 juin 2026 relative à la lutte contre les fraudes sociales et fiscales vient sécuriser certains traitements de données de santé jusque-là mis en œuvre par les organismes complémentaires d'assurance maladie (assureurs, mutuelles et institutions de prévoyance).

Le législateur tire ainsi les conséquences de l'analyse juridique publiée par la CNIL en novembre 2022, dans laquelle l'autorité avait relevé que le cadre alors applicable ne permettait pas de déduire avec certitude une autorisation générale permettant aux OCAM de traiter des données de santé.


Une autorisation législative nécessaire

Pour rappel, la licéité d'un traitement de données de santé suppose de respecter une double exigence : d'une part, le traitement doit reposer sur une base légale au sens de l'article 6 du RGPD ; d'autre part, le responsable de traitement doit pouvoir s'appuyer sur l'un des motifs de dérogation prévus par l'article 9, paragraphe 2, du RGPD.

Une difficulté portait précisément sur cette seconde exigence.

En effet, dans son analyse de 2022, la CNIL avait rappelé que pour pouvoir mobiliser l'une des deux exceptions prévues aux articles 9.2 b) et 9.2 h) du RGPD, le traitement devait être autorisé ou prévu par le droit de l'Union ou par le droit national. Dans ce cadre, la CNIL considérait que, pour les contrats dits « responsables », l'article L. 871-1 du code de la sécurité sociale pouvait constituer un fondement suffisant. En revanche, pour les contrats dits « non responsables », la CNIL indiquait ne pas avoir identifié de disposition permettant aux OCAM de se prévaloir des dérogations prévues aux articles 9.2 b) ou 9.2 h) du RGPD.

L'article 21 vient donc combler cette incertitude en inscrivant directement dans le code des assurances, le code de la mutualité et le code de la sécurité sociale une autorisation législative spécifique.

Le champ de l'autorisation donnée aux OCAM

La loi autorise désormais les OCAM à traiter, en application de l'article 9.2 h) du RGPD, les deux catégories de données suivantes :

- Les données à caractère personnel relatives à la santé des assurés ou membres participants et ayants droit couverts par un contrat ou un règlement conclu pour le remboursement et l'indemnisation des frais occasionnés par une maladie, une maternité ou un accident, notamment les numéros de code des actes effectués et des prestations servies ;
- Les données d'identification et de facturation des professionnels, organismes ou établissements ayant prescrit ou dispensé ces actes ou ces prestations.


Cette autorisation n'est toutefois pas générale et porte uniquement sur les données strictement nécessaires aux trois finalités suivantes :

(1) Le remboursement et l'indemnisation des frais occasionnés par une maladie, une maternité ou un accident, y compris dans le cadre du tiers payant ;
(2) Le contrôle et la vérification du respect des contrats ou des règlements couvrant les assurés / membres participants et leurs ayants droit et des conventions souscrites avec les professionnels et les organismes ou les établissements de santé ;
(3) La constatation, l'exercice ou la défense de droits en justice.


Des garanties renforcées

L’autorisation octroyée aux OCAM est assortie des garanties suivantes :

- Les OCAM devront mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau élevé de sécurité et la protection des droits des personnes concernées. Ils devront également s’assurer que les données ne sont conservées que pendant une durée n’excédant pas celle strictement nécessaire au regard des finalités poursuivies;

- Les données devront en outre être stockées exclusivement dans l’Espace économique européen, dans des conditions garantissant leur protection contre tout accès non autorisé par des autorités publiques d’États tiers non autorisé par le droit de l’Union européenne ou par la législation d’un État membre;

- La loi prévoit également une garantie spécifique pour les données de santé associées au numéro de code d’une pathologie diagnostiquée : seuls des professionnels de santé et le personnel placé sous leur autorité chargé du contrôle médical peuvent y accéder, dans le cadre de leurs fonctions et pour la durée de celles-ci ;

- Enfin, le personnel des OCAM est soumis au secret professionnel pour toutes les informations communiquées en vertu de l’autorisation.


La distinction entre contrats "responsables" et "non responsables" perd son rôle structurant

L'un des effets pratiques de l'article 21 est de mettre fin à la différence de régime qui résultait de l'analyse retenue par la CNIL dans son courrier du 14 novembre 2022, selon laquelle les traitements de données de santé ne pouvaient être opérés dans les mêmes conditions selon que les garanties relevaient de contrats « responsables » ou de contrats « non responsables ».

L'autorisation législative vise désormais l'ensemble des contrats conclus pour le remboursement ou l'indemnisation des frais occasionnés par une maladie, une maternité ou un accident, sans subordonner cette autorisation au caractère responsable du contrat.

Les traitements de données concernés pourront donc, dans les deux cas, s'appuyer sur l'article 9, paragraphe 2, h) du RGPD.


Une autorisation dont les modalités restent à préciser par décret

Bien que la loi soit entrée en vigueur, ses modalités d'application devront encore être précisées par décret en Conseil d'État, pris après avis de la CNIL.

Le décret devra notamment préciser :

- Les catégories de données traitées qui peuvent être communiquées pour la mise en œuvre du tiers payant;
- Les durées de conservation des données;
- Les modalités d'information des personnes concernées dans les contrats et les conventions, de même que les modalités d'exercice des droits prévus par le RGPD.

En pratique, si les OCAM peuvent d'ores et déjà anticiper la mise en œuvre de ce nouveau cadre (cartographie des traitements concernés, analyse des écarts, revue des habilitations et mise à jour de la documentation de conformité), ils devront toutefois attendre la publication du décret d'application avant de déployer pleinement les évolutions fondées sur cette nouvelle autorisation.



Quel régime pour les traitements qui n'entrent pas dans le champ de l'article 21 ?

L'article 21 ne couvre pas tous les traitements de données de santé susceptibles d'être mis en œuvre par les OCAM. L'autorisation qu'il prévoit ne vaut que pour les finalités citées précédemment.

Le texte prévoit également une interdiction expresse : les données mentionnées par l'article 21, V) ne peuvent faire l'objet d'aucun traitement pour les finalités suivantes :

- Les finalités commerciales ;
- La tarification ;
- L'évaluation du risque ;
- La segmentation des assurés.

S'agissant des traitements qui ne relèvent ni des finalités autorisées par l'article 21, ni des finalités expressément interdites, ils ne sont pas, du seul fait du silence de la loi, interdits par principe. Ils ne bénéficient simplement pas de l'autorisation spécifique créée par ce texte.
Ces traitements devront donc faire l'objet d'une analyse distincte au regard du RGPD et de la loi Informatique et Libertés. En particulier, les OCAM devront vérifier, pour chaque traitement hors champ, qu'ils disposent d'une base légale au titre de l'article 6 du RGPD et, surtout, qu'ils peuvent valablement s'appuyer sur l'un des motifs de dérogation prévus par l'article 9 du RGPD. Il conviendra, à cet égard, de s'assurer que toutes les conditions propres au motif invoqué sont effectivement réunies, afin de ne pas reproduire l'incertitude relevée par la CNIL dans son analyse de 2022.

Une nouvelle dérogation au secret professionnel strictement encadrée

L'article 21 institue également une dérogation au secret professionnel pour les seuls besoins du tiers payant.

Par dérogation à l'article L. 1110-4 du code de la santé publique, les professionnels de santé, organismes ou établissements dispensant des actes ou prestations remboursés ou indemnisés dans le cadre des contrats concernés sont autorisés à communiquer aux OCAM les données mentionnées à l'article L. 161-29 du code de la sécurité sociale (numéro de code des actes effectués, des prestations servies et des pathologies diagnostiquées) ainsi que toute autre donnée strictement nécessaire à la mise en œuvre du tiers payant (liste à fixer par décret).

Cette disposition appelle toutefois une clarification, au regard des prises de position parfois alarmistes relayées depuis l'examen du texte au Parlement.

Il faut d'abord rappeler que cette dérogation n'a pas pour objet de généraliser le tiers payant pour la part complémentaire. Elle intervient uniquement dans l'hypothèse où un acte ou une prestation est effectivement prise en charge dans le cadre du tiers payant complémentaire.

La dérogation doit ensuite être interprétée strictement, ce qui implique a contrario :

- Les professionnels, organismes ou établissements de santé qui ne pratiquent pas le tiers payant pour la part complémentaire ne peuvent pas se prévaloir de cette disposition pour transmettre les données de leurs patients aux OCAM.

- Cette dérogation ne permet pas non plus de transmettre des données aux OCAM pour d'autres finalités que la mise en œuvre du tiers payant. Elle ne saurait donc fonder, à elle seule, une transmission de données à des fins de contrôle du respect des contrats souscrits par les patients ou encore de lutte contre la fraude.

En pratique, les professionnels, organismes et établissements de santé concernés devront attendre la publication du décret d'application avant de mettre en œuvre les transmissions de données rendues possibles par cette nouvelle dérogation. Ce décret devra notamment préciser les catégories de données pouvant être communiquées aux OCAM pour les besoins du tiers payant.

Par ailleurs, dans la mesure où la pratique du tiers payant complémentaire demeure aujourd'hui organisée dans un cadre contractuel, les acteurs concernés veilleront à ce que la documentation contractuelle soit mise à jour afin d'y intégrer les nouvelles conditions de transmission des données, les garanties applicables et les responsabilités respectives des parties.

Les échanges entre assurance maladie obligatoire et OCAM à des fins de lutte contre la fraude

L'article 21 organise également les échanges d'informations entre les organismes d'assurance maladie obligatoire et les OCAM à des fins de lutte contre la fraude.

Ces échanges ne peuvent intervenir que dans des hypothèses strictement encadrées : les organismes d'assurance maladie obligatoire peuvent communiquer des informations aux OCAM (et réciproquement) lorsqu'ils ont connaissance de faits pouvant être de nature à constituer une fraude en matière sociale et que l'importance ou la nature de la fraude présumée le justifie.

Ces informations ne peuvent être conservées que pour les durées strictement nécessaires aux finalités suivantes :

Pour les OCAM:

- Le contrôle et la vérification du respect des contrats conclus avec les assurés ou adhérents, des garanties qui leur sont applicables et des conventions conclues avec les professionnels, organismes ou établissements de santé ;

- La constatation, l'exercice ou la défense de droits en justice.


Pour les organismes d'assurance maladie obligatoire :

- Le déclenchement ou la poursuite d'une procédure de contrôle ou d'enquête;
- La constatation, l'exercice ou la défense de droits en justice;
- La mise en œuvre d'une procédure de sanction administrative ou d'une procédure de placement hors convention.


Le dispositif est aussi assorti de garanties spécifiques :

- Les personnels des OCAM dont l'intervention est nécessaire à ces échanges sont soumis au secret professionnel ;

- Les informations transmises ne peuvent être utilisées pour d'autres finalités que celles précitées ;

- Les organismes concernés doivent assurer la mise à jour des informations transmises et supprimer les données enregistrées dès que la suspicion de fraude est écartée et que la personne physique ou morale concernée est mise hors de cause.

Un décret en Conseil d'État, pris après avis de la CNIL et de l'Union nationale des caisses d'assurance maladie, devra préciser les conditions et modalités de mise en œuvre de ces échanges, notamment les conditions d'habilitation des personnels des OCAM concernés ainsi que les modalités d'information des assurés et des professionnels concernés.