Les données de santé sont considérées comme des données sensibles au sens du RGPD. Il en est ainsi du traitement du NIR (Numéro d’Inscription au Répertoire ou numéro de sécurité sociale) qui, par principe, est interdit sauf autorisation par décret en Conseil d’Etat.

Ce rappel des dispositions du RGPD peut expliquer la lourde amende infligée à la société DEDALUS BIOLOGIE le 15 avril par la CNIL.

Dans cette affaire, une fuite de données massive concernant près de 500 000 personnes a été révélée, le 23 février 2021, dans la presse ayant mis en cause ladite société. Les données apparues sur internet étaient : nom, prénom, NIR, nom du médecin prescripteur, date d’examen et autres informations médicales sur les patients. 

Depuis cette date, la CNIL a réalisé plusieurs contrôles auprès de la société et a saisi le tribunal judiciaire de Paris pour bloquer l’accès au site internet sur lequel les données étaient publiées, ce qui a été fait dès le 4 mars 2021.

Suite à ces contrôles, la CNIL a constaté les manquements :

• à l’obligation pour le sous-traitant de respecter les instructions du responsable de traitement (article 29 du RGPD)
• à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD)
• à l’obligation d’encadrer par un acte juridique formalisé, les traitements effectués pour le compte du responsable de traitement (article 28 du RGPD)

La décision de la CNIL s’est particulièrement penchée sur le manquement à l’obligation d’assurer la sécurité des données personnelles. En effet, elle a constaté de nombreuses absences de mesures de protection comme l’absence de chiffrement des données personnelles stockées, d’effacement automatique des données, d’authentification requise depuis internet, de procédure de supervision et de remontée d’alertes de sécurité sur le serveur, etc.

Pour ces motifs, la CNIL a sanctionné la société DEDALUS BIOLOGIE à une amende de 1.5 million d’euros.

A l’occasion de cette décision, nous ne pouvons que réitérer nos recommandations : assurez-vous de la mise en place et de l’effectivité des mesures de sécurité des données personnelles.

Consultez ici l’intégralité de la décision et de l’article de la CNIL :  Décision SAN-2022-009 du 15 avril 2022 ; Fuite de données de santé : sanction de 1.5 million d’euros à l’encontre de la société DEDALUS BIOLOGIE

La collecte 2022 du questionnaire sur les pratiques commerciales et la protection de la clientèle a débuté ce mois-ci, la date limite de la remise de celui-ci étant fixée au 30 juin 2022 au plus tard.

Pour mémoire, ce questionnaire comprend à la fois un formulaire socle dont la remise est imposée à tous les organismes assujettis, et des formulaires thématiques dont la complétude s’impose uniquement aux « organismes représentatifs ».

Les données à renseigner sont celles de l’année 2021 et la remise de ce questionnaire doit exclusivement être effectuée via le portail « OneGate ».

Depuis le 30 mars 2022, la rubrique relative à la protection sociale complémentaire (PSC) est enfin accessible dans le BOSS !

Près d’un an après la création et la mise en ligne du Bulletin Officiel de la sécurité sociale (BOSS) au 1^er avril 2021, il s’agissait en effet de la seule rubrique dont l’ouverture avait été retardée et qui manquait donc encore à l’appel pour permettre aux employeurs d’opposer à l’administration sa propre doctrine, sur des sujets susceptibles d’affecter le traitement social de leurs contributions au financement des régimes de protection sociale complémentaire mis en place au profit de leurs salariés.

La consultation de cette rubrique constituera par ailleurs une source d’informations très utile pour les organismes assureurs gestionnaires de portefeuilles collectifs, en particulier pour l’exercice de leur devoir de conseil.

Comme annoncé, le contenu de cette rubrique a ainsi pour but de centraliser l’ensemble de la doctrine administrative antérieure que nous avions jusqu’alors l’habitude de consulter au travers des circulaires de la Direction de la sécurité sociale et sera enrichi ultérieurement à chaque évolution de cette doctrine.

A ce stade, il est organisé autour des 6 chapitres suivants :

• Définition des contributions des employeurs exclues de l’assiette des cotisations de sécurité sociale ;
• Champ des prestations de retraite supplémentaire et de prestations complémentaire de prévoyance bénéficiant des dispositions d’exclusion d’assiette ;
• Conditions relatives à la mise en place des garanties de protection sociale complémentaire ;
• Caractère obligatoire des garanties mises en place ;
• Condition liée au caractère collectif des garanties de protection sociale complémentaire ;
• Appréciation du caractère collectif et obligatoire en cas de suspension du contrat de travail.

A noter toutefois que pour le moment, les commentaires de l’administration qui y sont mentionnés ne sont pas encore rendus définitifs, une période de consultation publique étant ouverte
jusqu’au 15 mai 2022 pour que les cotisants et les professionnels du secteur apportent leurs contributions.

En tout état de cause, il est prévu qu’une fois cette période éteinte, les dispositifs présentés dans la rubrique seront applicables et opposables à l’administration à compter du 1er juillet 2022, date à laquelle les circulaires dont les dispositions ont été reprises ou adaptées seront abrogées.

Consultez ici l’intégralité du document : Consultation publique sur la rubrique « Protection sociale complémentaire » du BOSS

La Loi n° 2022-270 du 28 février 2022 pour un accès plus juste, plus simple et plus transparent au marché de l’assurance emprunteur (« Loi Lemoine ») a été promulguée au Journal Officiel du 1^er mars 2022 !

Sans revenir dans le détail sur le contenu de ce texte déjà commenté à plusieurs reprises dans les précédents bulletins, retenons-en simplement :

• qu’il étend le droit de résiliation infra-annuelle des assurés aux contrats d’assurance emprunteur ;
• qu’il oblige les assureurs à informer chaque année les assurés de l’existence de ce droit et de ses modalités de mise en œuvre ;
• qu’il renforce le droit à l’oubli en ce qu’il interdit désormais aux assureurs de solliciter un questionnaire et/ou un examen médical avant la souscription du prêt et du contrat d’assurance.

Ces nouvelles exigences devront s’appliquer à tous les nouveaux contrats souscrits à compter du 1^er juin 2022 et, à compter du 1^er septembre 2022 pour les contrats d’assurance emprunteur déjà en cours à cette date.

Consultez ici l’intégralité du document : Loi n° 2022-270 du 28 février 2022 pour un accès plus juste, plus simple et plus transparent au marché de l’assurance emprunteur (JO, 1^er mars 2022, texte n° 4)