Holding Company – Group of Entities - Parent Company – Subsidiary Company – Daughter Company (Swiss Law)
Is a Fact Known by One Entity Supposed to Be Known by All the Other Entities of the Group?
Data Protection Within the Group (Swiss Law)
Swiss Federal Court Decision
Republication
9C_650/2021
Arrêt du 7 novembre 2022
IIe Cour de droit social
5.3.
5.3.1. Cela étant, la question qui se pose au regard des considérations de la juridiction cantonale est de savoir si la recourante doit se voir imputer la connaissance qu'avait Mutuel Assurances des faits concernant l'intimée. A cet égard, la juridiction cantonale a fondé l'imputation de la connaissance sur le critère de l'accessibilité, selon lequel la personne morale est censée connaître des faits ou disposer de renseignements dès que l'information correspondante est accessible au sein de son organisation (cf. arrêt 4A_294/2014 cité consid. 4 et les arrêts cités).
Selon la jurisprudence en effet, une personne morale dispose de la connaissance, déterminante sous l'angle juridique, d'un état de fait lorsque l'information correspondante est objectivement accessible au sein de son organisation (ATF 109 II 338 consid. 2b; arrêts 4A_614/2016 du 3 juillet 2017 consid. 6.3.1 et les arrêts cités; 9C_199/2008 du 19 novembre 2008 consid. 4.1 [SVR 2009 BVG n° 12 p. 37]; B 50/02 du 1er décembre 2003 consid. 3 [SVR 2004 BVG n° 15 p. 49]). A cet égard, ce sont les circonstances du cas concret qui permettent de décider si l'on peut imputer à l'ayant droit la connaissance de certains actes, dont certains de ses collaborateurs ont eu vent dans l'exercice de leurs fonctions (arrêt 4C.371/2005 du 2 mars 2006 consid. 3.1, in SJ 2007 I p. 7, avec la référence à l'ATF 109 II 338 consid. 2b-e). Ainsi, les faits dont la société mère a connaissance sont opposables à la société fille lorsque les deux entités juridiques disposent d'une banque de données électronique commune et emploient les mêmes collaborateurs (cf. arrêt 5C.104/2001 du 21 août 2001 consid. 4c/bb et les références).
5.3.2. En l'occurrence, le critère de l'accessibilité des données ne saurait être appliqué en faisant abstraction de la position particulière de la recourante en tant qu'assureur-maladie social. La caisse-maladie, en pratiquant l'assurance-maladie sociale (y compris l'assurance d'indemnités journalières au sens de l'art. 67 LAMal) remplit une tâche publique de la Confédération et est soumise à des règles plus strictes en matière de protection des données que les entreprises n'ayant pas une telle fonction (cf. Rapport du Conseil fédéral, du 18 décembre 2013, en réponse au postulat Heim [08.3493], Protection des données des patients et protection des assurés, p. 4; cf. aussi les critiques sur le critère de l'accessibilité en lien avec les obligations de secret de ANNICK FOURNIER, L'imputation de la connaissance, Genève/Zurich/Bâle 2021, n° 767 ss p. 250 ss et n° 800 p. 263). Nonobstant l'organisation commune de la recourante et de Mutuel Assurances, qui sont des personnes morales distinctes l'une de l'autre, la seconde est, à l'égard de la première, un tiers au sens de l'art. 84a al. 5 LAMal (arrêt A-3548/2018 du Tribunal administratif fédéral du 19 mars 2019 consid. 4.8.2; UELI KIESER, Kommentar ATSG, 4e éd. 2020, ad art. 33 n° 23 s.; ANNE-SYLVIE DUPONT, La protection des données confiées aux assureurs, in La protection des données dans les relations de travail, 2017, p. 212). Or dans les rapports avec des tiers, les aspects liés au transfert et au traitement des informations, voire d'éventuelles limites légales de la transmission des informations ont aussi leur importance (cf. arrêt 4C.44/1998 du 28 septembre 1999 consid. 2d/aa et les références, in sic! 5/2000 p. 407; cf. aussi arrêt 4C.335/1999 du 25 août 1999 consid. 5b, in SJ 2001 I p. 186). Lorsque, comme en l'espèce - et à la différence de la situation jugée par l'arrêt 4A_294/2014 cité, dans laquelle le Tribunal fédéral a retenu que l'assureur privé a concrètement eu connaissance des données en cause de l'assureur-maladie social (voir consid. 5.3.3 infra) -, est en cause le comportement d'un assureur-maladie social, il y a lieu de prendre en considération les caractéristiques de l'organisation des caisses-maladie qui se doit d'être conciliable avec le régime légal de la protection des données, auxquelles celles-ci sont soumises en tant qu'organe fédéral au sens de l'art. 3 let. h LPD (sur ce dernier point ATF 133 V 359 consid. 6.4 et les références; arrêt A-3548/2018 cité consid. 4.5.5 et les références). Dans le cadre de son organisation, la caisse-maladie est tenue de respecter les règles légales et ne peut contraindre ses organes ou collaborateurs à violer la loi.
En matière de protection des données, l'assureur-maladie social n'est en droit de traiter de données sensibles - dont les données sur la santé (art. 3 let. c LPD) - que si une loi au sens formel le prévoit expressément (cf., de manière générale, l'art. 84 LAMal) ou si, exceptionnellement (et entre autres éventualités), la personne concernée y a consenti ou a rendu ses données accessibles à tout un chacun et ne s'est pas opposée formellement au traitement (art. 17 al. 2 let. c LPD). Il est tenu de prendre les mesures techniques et organisationnelles nécessaires pour garantir la protection des données (art. 84b LAMal; cf. aussi l'art. 7 al. 1 LPD). Dans ce cadre, il doit assurer que le traitement des données, y compris la collecte des données et leur exploitation (cf. art. 3 let. e LPD), soit effectué en conformité à la loi. Or, celle-ci interdit un échange d'informations général entre la caisse-maladie et une assurance complémentaire privée, même si elles appartiennent à un même groupe d'assureurs, que le transfert de données se fasse de l'assureur-maladie social à l'assureur privé ou dans l'autre sens (Message du Conseil fédéral, du 20 septembre 2013, concernant la modification de la loi fédérale sur l'assurance-maladie [Compensation des risques. Séparation de l'assurance de base et des assurances complémentaires], FF 2013 7135 ss, ch. 2 p. 7148 ad art. 13 al. 2 let. g P-LAMal). Une communication de ces données personnelles ne peut être envisagée qu'avec le consentement de la personne concernée (cf. art. 13 al. 1 LPD sur le consentement de l'intéressé et art. 84a al. 5 LAMal sur le transfert des données par la caisse-maladie au tiers), qui n'a pas été donné en l'espèce (consid. 5.2 supra). La référence que fait la juridiction cantonale à l'art. 84a let. a et b LAMal (communication de données par l'assureur-maladie à d'autres organes d'application de la LAMal ou de la LSAMal [RS 832.12] et aux organes d'une autre assurance sociale) n'est pas pertinente, dès lors que le transfert de données ne concerne pas deux assureurs pratiquant tous deux l'assurance-maladie obligatoire (consid. 5.1 supra).
5.3.3. Par ailleurs, l'autorité de surveillance des assureurs-maladie sociaux exige de leur part de choisir et de mettre en place des voies de traitement des données séparées lorsque le recours aux mêmes flux de données personnelles pour l'assurance obligatoire des soins et pour les assurances régies par la LCA recèle un potentiel d'usage abusif (Circulaire n° 7.1 du 17 décembre 2015 de l'OFSP, Assureurs-maladie: organisation et processus conformes à la protection des données [aujourd'hui: Circulaire n° 7.1 du 20 décembre 2021, Surveillance par l'OFSP des domaines soumis aux dispositions de la LSAMal, de l'OSAMal, de la LAMal et de l'OAMal relatives à la protection des données], Annexe 2, p. 11 <https://www.bag.admin.ch/dam/bag/fr/dokumente/kuv-aufsicht/rakv5/ks-7-1-datenschutz-org-prozesse.pdf.do wnload.pdf/ks-7-1-datenschutz-org-prozesse.pdf>, [consulté le 31 octobre 2022]; cf. aussi sur la nécessité d'un "mur de protection" des données à l'intérieur d'un groupe d'assureurs, GEBHARD EUGSTER, Krankenversicherung [E], in: Schweizerisches Bundesverwaltungsrecht [SBVR], Soziale Sicherheit, 3e éd. 2016, p. 871 n° 1551; YVONNE PRIEUR, Unzureichender Schutz der Gesundheitsdaten bei den Krankenversicherern, Jusletter du 18 février 2008, n° 4 ss).
A cet égard, la recourante fait valoir que les dossiers respectifs de l'intimée auprès d'elle et de Mutuel Assurances ont été enregistrés séparément sous des numéros différents et qu'ils sont traités par deux collaboratrices différentes qui n'ont pas un accès réciproque et systématique aux données de l'autre assureur, toute autre organisation violant les exigences de la LPD. Dans ces circonstances, rien n'indique que la collaboratrice chargée du traitement du dossier de l'intimée auprès de la recourante aurait, en violation des règles en la matière, accédé spontanément aux données recueillies par Mutuel Assurances pour en prendre connaissance ou que celle-ci les aurait transmises et rendues ainsi accessibles à la caisse-maladie. On ne saurait donc admettre que la recourante a eu accès à l'information déterminante faisant partie des données de l'assurance privée, malgré leur organisation commune (cf. aussi l'art. 9 al. 1 let. g [en relation avec l'art. 20 al. 1 OLPD; RS 235.11], selon lequel les personnes autorisées ont accès uniquement aux données personnelles dont elles ont besoin pour accomplir leurs tâches). Il convient, en l'occurrence, de prendre en considération le fait que la collaboratrice de la recourante chargée de la gestion du dossier de l'intimée n'avait en tout état de cause pas le droit d'accéder spontanément aux données concernant celle-ci aux mains de Mutuel Assurances; une imputation de la connaissance de données en cas de transfert illégal de celles-ci dans le domaine de l'assurance-maladie obligatoire apparaît problématique sous l'angle des obligations en matière de protection des données incombant à l'assureur-maladie social (cf. dans ce sens, de manière générale, FOURNIER, op. cit., n° 768 p. 251 et n° 1283 p. 414; HANS CASPAR VON DER CRONE/PATRICIA REICHMUTH, Aktuelle Rechtsprechung zum Aktienrecht, RSDA 4/2018, p. 413).
No comments:
Post a Comment