Nous organisons ce matin, dans le cadre de nos travaux sur l'accès aux données médicales personnelles détenues par l'assurance maladie, une table ronde réunissant des représentants du Centre technique des institutions de prévoyance (CTIP), de la Fédération française de l'assurance (FFA), de la Fédération nationale de la mutualité française (FNMF) et de l'Union nationale des organismes d'assurance maladie complémentaire (UNOCAM).

Mesdames, messieurs, je vous souhaite la bienvenue et vous prie d'excuser Mme Gisèle Biémouret, coprésidente de la mission, qui est retenue par une réunion politique liée à l'actualité.

La maîtrise du partage des données de santé est un sujet stratégique qui présente plusieurs enjeux, qu'il s'agisse de la sécurisation et de la confidentialité de données particulièrement intimes, qui nécessitent que l'on s'assure de la qualité du coffre-fort informatique qui les contient, de leur exploitation dans le cadre de recherches publiques ou privées, de leur échange entre les différents organismes assurantiels, obligatoires et complémentaires, de l'éventuelle financiarisation, voire de la marchandisation de la santé qui pourrait en résulter et qui suscite l'inquiétude, ou du modèle économique sur lequel le dispositif doit reposer pour être pleinement efficient.

La Cour des comptes nous a remis, en mars 2016, un rapport sur le sujet dont les auteurs, auditionnés en mai dernier, nous ont présenté une synthèse de leurs préconisations. Les travaux de la Cour ont permis de souligner le volume colossal de ces données, leur expansion potentielle liée au développement des objets connectés – qui multipliera leur nombre par cinquante dans les cinq prochaines années – et l'insécurité des modèles technologiques, qui les expose à des attaques informatiques dont la presse s'est largement fait l'écho récemment. Se posent ainsi la question de la gouvernance du dispositif et celle des moyens qui doivent y être consacrés pour garantir le secret, la confidentialité, mais aussi la disponibilité et l'échange de ces données.

Je rappelle que le questionnaire qui vous a été adressé s'articule autour de trois axes : le Système national des données de santé (SNDS), la protection des données et la gestion des risques. Je vous propose d'engager la discussion sans plus attendre en demandant à M. Ronat, président de l'UNOCAM, quelle appréciation il porte sur le dispositif et les attentes que suscite celui-ci.

Mon intervention sera assez brève, monsieur le président, dans la mesure où, si l'UNOCAM dispose d'un accès aux données du Système national d'information inter-régimes de l'assurance maladie (SNIIRAM), elle ne les exploite pas. Les informations qu'elle recueille lui sont en effet transmises par le Comité économique des produits de santé (CEPS). L'UNOCAM est membre de l'Institut des données de santé, au sein duquel elle représente les trois composantes des organismes d'assurance maladie complémentaire, elle accompagne les fédérations et, le cas échéant, fait remonter l'information, mais ce sont ses composantes qui exploitent les données du SNIIRAM. De ce fait, notre contribution à la table ronde sera modeste.

C'est entendu. Néanmoins, pourriez-vous nous dire ce que, selon vous, ce dispositif est susceptible d'apporter au plan opérationnel à la prise en charge assurantielle ?

À l'heure actuelle, les organismes qui gèrent le régime complémentaire, dont un certain nombre transmettent déjà des informations au SNIIRAM, ont besoin de données anonymisées – lesquelles leur sont communiquées par leurs fédérations respectives – dans le cadre de la réflexion qu'elles doivent mener sur la politique de santé. C'est pourquoi je préfère laisser les fédérations s'exprimer sur le sujet.

La mutualité a toujours été favorable à l'ouverture d'un débat public sur l'accès aux données de santé. C'est la raison pour laquelle les équipes fédérales ont participé aux travaux préparatoires de la loi de modernisation du système de santé, notamment à la commission « open data ». Nous avons du reste apprécié la période de concertation, durant laquelle nous avons pu avoir de véritables échanges politiques et techniques. L'article 193 de la loi de modernisation de notre système de santé nous apparaît à cet égard comme un compromis acceptable. Il suscite certaines attentes, mais nous avons pris le parti de jouer le jeu, puisque les complémentaires sont appelées à partager une partie de leurs données afin qu'elles soient intégrées à celles du régime obligatoire de l'assurance maladie et des autres parties prenantes. Nous nous engagerons donc dans ce travail le moment venu. Je rappelle que plus de 90 % de l'activité des mutuelles concerne le périmètre de la santé ; c'est vous dire l'enjeu stratégique que représente l'accès aux données pour les mutuelles. Aussi participerons-nous au partage de nos données dans le cadre du Système national des données de santé, qui suscite de véritables attentes.

Pourriez-vous nous préciser quels sont ces attentes, leur périmètre et les délais dans lesquels elles peuvent être satisfaites ? Cette question a été abordée dans le cadre de la mission sur l'hospitalisation à domicile, à propos du dossier médical personnel qui, depuis plus de dix, est l'Arlésienne du ministère de la santé et dont la mise en oeuvre revient désormais à l'assurance maladie – ce qui est une excellente décision. Manifestement, dans ce domaine, la collaboration entre le régime obligatoire et le régime complémentaire doit être approfondie, c'est le moins que l'on puisse dire. Or ce travail collégial est évidemment un élément essentiel du partage des données de santé. C'est pourquoi j'insiste sur ce point. Outre le périmètre de vos attentes et les délais de mise en oeuvre, je souhaiterais que vous abordiez également la question de la diversité de vos systèmes d'information et celle de la sécurisation de ces systèmes, qui constituent autant de chevaux de Troie potentiels pour la piraterie informatique. Je précise d'ailleurs à ce propos que, dans ses préconisations, que nous reprendrons, la Cour des comptes recommande que le dispositif des données de santé respecte les obligations de sécurisation extrêmement strictes qui incombent aux « opérateurs d'importance vitale ». Or il est bien évident que ces obligations ne sauraient être limitées à l'assurance maladie et pourraient être étendues à tous les organismes assurantiels qui participent au dispositif, ce qui suppose qu'ils y consacrent les moyens humains et financiers nécessaires.

Avant de laisser la parole à Mathieu Cousineau, qui pourra répondre plus précisément à vos questions, je rappelle qu'en matière de partage de données : nous avons acquis une certaine expérience grâce au projet MONACO (Méthodes, outils et normes pour la mise en commun des données des assurances complémentaires et obligatoires) qui, même si ses résultats sont d'une ampleur moindre que celle qui était attendue, a montré qu'un tel dispositif pouvait fonctionner. Nous avons ainsi développé, au sein de la mutualité et avec les mutuelles, un système qui permettrait véritablement d'« industrialiser » le partage des données. Encore une fois, nous ne partons donc pas de rien ; nous avons besoin, pour limiter les futurs coûts de développement et de gestion, de nous appuyer sur l'expérience existante. C'est sans doute nécessaire pour que cela se fasse dans de bonnes conditions et dans des délais acceptables.

Qu'entendez-vous par « délais acceptables » ?

Je veux simplement dire que plus nous pourrons nous appuyer sur cette expérience, plus les délais de mise en oeuvre seront brefs.

En ce qui concerne nos attentes vis-à-vis du SNDS, là encore, nous ne partons pas de rien. La mutualité française et les mutuelles peuvent déjà utiliser une partie des données de santé existantes ; je pense notamment à celles du SNIIRAM. Le dispositif proposé peut-il aboutir à une financiarisation, voire à une marchandisation de ces données ? Pour notre part, nous n'avons pas connu de dérives au sein de la mutualité. Au demeurant, nous n'avons besoin que de données anonymisées, puisque notre objectif, qui est simple, est de mieux connaître le fonctionnement du système de santé, qu'il s'agisse de la tarification ou de la qualité des soins, et de pouvoir réfléchir davantage en termes de parcours de soins au sein de ce système. Or, si nous disposons des données des assurés, nous n'avons pas celles du système de santé. Encore une fois, notre objectif est de mieux connaître l'environnement afin de mieux contribuer à la qualité et à la fluidité des soins.

La combinaison de la massification des données de santé et du séquençage du génome désormais proposé par certaines sociétés risque d'aboutir en fait à la suppression de la notion d'anonymat des données, et donc à la différenciation des contrats en fonction de profils de risques médicaux, ce qui suscite la crainte légitime des assurés. De fait, cela remettrait en cause le principe républicain de mutualisation du risque. La mutualité mène-t-elle une réflexion sur ce sujet ?

Avant de répondre à votre dernière question, je souhaiterais revenir sur la façon dont nous envisageons la suite. Nous utilisons le SNIIRAM depuis que nous en avons la possibilité ; nous formulons en moyenne 320 requêtes par an, soit une par jour. Nous consacrons des moyens spécifiques à l'exploitation de ce système.

Quel est le délai moyen d'une requête ?

Il se situe entre deux et quatre heures, en fonction du type de requête. Comme les temps de traitement sont longs, nous nous efforçons d'élaborer une requête précise pour éviter de n'obtenir aucun résultat. Nous utilisons le SNIIRAM selon quatre axes de travail : l'analyse des restes à charge des assurés, notamment leur répartition géographique ; l'amélioration de notre compréhension des pratiques tarifaires des professionnels de santé dans le cadre de la préparation des négociations conventionnelles, auxquelles la mutualité participe à travers l'UNOCAM ; l'analyse de l'impact des évolutions réglementaires – je pense, par exemple, à la modification du contrat « solidaire et responsable », qui a inclus de nouvelles prises en charge obligatoires – ; enfin, l'étude d'un secteur particulier dans lequel nous intervenons de manière importante, tel que l'optique.

Nous utilisons également le Programme de médicalisation des systèmes d'information (PMSI) pour étudier, au regard des indicateurs de la Haute Autorité de santé, la qualité des soins prodigués dans les établissements hospitaliers, notamment dans le cadre des relations conventionnelles que nous avons avec ces derniers.

Nous souhaitons donc pouvoir continuer à utiliser ces données, comme nous y sommes autorisés, à titre transitoire, pendant trois ans à compter de la promulgation de la loi. Au terme de ce délai, les règles devront être revues, et c'est pour nous un sujet de préoccupation. Il est en effet important que les nouvelles règles soient fixées avant l'expiration du délai de trois ans afin que nous puissions assurer le maintien des services opérationnels que nous avons créés pour prendre en charge le traitement des données. Ce premier point n'est pas lié directement au SNDS, mais à la mise en place de l'INDS.

En ce qui concerne le partage des données, nous avons mené, dans le cadre du projet MONACO, une expérimentation à laquelle ont participé l'ensemble des familles de complémentaire et qui nous a permis de tester la capacité d'« accrocher » les données de l'assurance maladie obligatoire à celles de l'assurance maladie complémentaire. Nous souhaiterions pouvoir capitaliser sur cette expérimentation, d'une part parce qu'elle a produit un certain nombre de résultats positifs et, d'autre part, parce que chaque organisme a réalisé des investissements importants dans ce cadre.

Pourriez-vous définir précisément vos attentes, tant en termes de stratégie sanitaire qu'en termes de définition du reste à charge ? Le projet MONACO, qui portait sur une cohorte de 8 000 foyers, soit 22 000 personnes, constitue en effet à cet égard une expérimentation particulièrement intéressante. Dans quels délais une exploitation efficiente de cette expérimentation vous paraît-elle possible ? Quelles sont, selon vous, les données les plus essentielles à une collaboration entre le régime obligatoire et le régime complémentaire d'assurance maladie au service d'une stratégie nationale de santé ? Quels éléments faut-il extraire pour que vous puissiez jouer le rôle qui vous est confié en matière de prévention sanitaire ? J'ajouterai une question sur le fonctionnement et la sécurisation de vos systèmes informatiques actuels. Répondent-ils ou s'approchent-ils des critères exigibles d'un opérateur d'importance vitale ? Je précise que tel n'est pas le cas actuellement de ceux de l'assurance maladie – la MECSS y portera une attention toute particulière.

En ce qui concerne le nouveau dispositif, je dirai que nous devons trouver le bon équilibre entre l'ambition, le réalisme et le délai. De fait, ces trois éléments sont liés. Dans le cadre du projet MONACO, par exemple, nous avons dû parfois en rabattre pour garantir le succès de l'expérimentation. Notre première attente est que le système existe et que soit défini un périmètre de travail commun, en particulier dans le domaine du reste à charge, qui est le plus immédiatement opérationnel et pour lequel on peut capitaliser le plus facilement sur les expériences passées. Le domaine de la prévention est plus hétérogène, si bien que nous devrons réfléchir à la manière dont nous pouvons formaliser les contenus et les échanges. Le délai sera plus long. Il faudrait donc en quelque sorte distinguer deux lots.

En ce qui concerne les attentes de la mutualité française, outre la question du reste à charge, sur laquelle nous travaillons déjà et pour laquelle nous disposons d'un certain nombre d'enseignements, nous souhaiterions pouvoir mieux comprendre la manière dont les soins sont délivrés, leur qualité et leur utilité. À cette fin, nous avons besoin d'un retour d'informations, lesquelles seraient bien entendu partagées avec l'ensemble des acteurs du système. La question de la prévention obéit à la même logique : il s'agit de rechercher l'efficience du système. Encore une fois, pour certaines informations déjà normées, le dispositif est plus facile à mettre en oeuvre ; pour d'autres, il faut d'abord définir les périmètres et la manière dont on peut les structurer. Vous avez évoqué le dossier médical personnel. Dans ce domaine, on était très ambitieux, on a souhaité aller vite, sans avoir convenablement défini la structuration des contenus destinés à alimenter cet outil.

Précisément : les procédés d'anonymisation utilisés par les assureurs complémentaires sont-ils les mêmes que ceux employés par le SNIIRAM, par exemple ?

Le dispositif d'anonymisation mis en place par la FNMF est le même que celui du SNIIRAM – la même clef de tirage est utilisée. Il s'agit, pour ce qui concerne les autres organismes d'assurance complémentaire, de savoir quel est l'ensemble des méthodes et des procédures destinées à garantir le maximum de protection des données.

Quand la réglementation européenne sera appliquée, nous serons à même de passer en revue l'ensemble des codes de conduite, des dispositifs d'analyse d'impact, de sécurisation des données associées, et nous pourrons tracer des axes de progrès. Je sais que des efforts ont déjà été faits par tous les organismes pour réduire l'hétérogénéité des systèmes existants.

Le niveau de sécurité informatique des mutuelles est-il de même qualité que celui de l'assurance maladie ?

La Commission nationale de l'informatique et des libertés (CNIL) a en tout cas des exigences très fortes.

Je vous rappelle que la Cour des comptes a indiqué que des algorithmes obsolescents étaient utilisés pour certains et donc susceptibles d'être l'objet de piratages informatiques.

En effet. Forts d'exemples précis, les organismes ont conscience des risques et ont chargé des responsables de la sécurité des systèmes d'information d'agir en conséquence. L'information n'est néanmoins pas de même nature que celle de l'assurance maladie obligatoire : nous n'avons en effet pas d'éléments sur les affections de longue durée (ALD), de dossiers médicaux à traiter, mais nous possédons des informations très sensibles sur les numéros d'inscription au répertoire des personnes physiques (NIR) que nous utilisons dans nos systèmes de liquidation sous la surveillance étroite de la CNIL. De ce fait, pour leur transport et leur stockage sont prévues des règles associées de chiffrement et de sécurité. Reste que, n'étant pas expert en la matière, je ne saurais vous assurer que ces dernières soient infaillibles. Enfin, j'y insiste, à la faveur de la prochaine réglementation européenne, les standards de sécurité, s'ils n'étaient pas respectés, seraient renforcés.

Nous avons tout à fait conscience que le niveau de sensibilité des données que vous traitez n'est pas le même que pour l'assurance maladie obligatoire. Il n'empêche que, dès lors que ces dispositifs sont interconnectés, ils prêtent le flanc à des attaques informatiques comme les techniques de Ransomware – visant à la captation de dossiers médicaux, pratique devenue courante et en expansion, les dossiers étant retournés moyennant une rançon allant de 20 000 à 40 000 euros selon les personnalités. Or, le monde des assurances étant assez touffu, comme le montre l'aréopage ici présent, les règles doivent être très strictes et assez similaires pour limiter les possibilités de pénétration des systèmes de données.

À cet égard, comment le secteur mutualiste envisage-t-il de concilier l'ouverture des données des professionnels de santé et la protection du secret professionnel, et comment entend-il éviter tout ciblage commercial – dans le cadre des réseaux de soins, notamment ?

En ce qui concerne l'équilibre entre protection et accès aux données, notre première exigence est la transparence sur nos pratiques. Si nous voulons avoir un aperçu fidèle des soins réalisés, de leur coût, de leur qualité et de leur utilité, nous devons mettre en place un dispositif associant tous les professionnels de santé. Cela ne pose pas de problème pour le respect du secret professionnel dès lors qu'il s'agit de mettre en commun des informations relatives à la qualité des soins, à la meilleure manière de se référer aux protocoles, de les appliquer, de les améliorer.

Il n'est pas question de vous faire un procès d'intention, mais dès lors qu'existe un réseau de soins encadré, que les données des professionnels de santé sont utilisées, il y a un risque de marchandisation. Menez-vous une réflexion particulière, envisagez-vous une modélisation spécifique pour que les informations en question soient partagées de manière à assurer la sécurité de l'indépendance de la prescription – qui s'appuie sur des pratiques définies par la Haute Autorité de santé (HAS) – et pour qu'elles prennent en compte des critères d'efficacité ?

Si nous partageons le même objectif et les données qui lui sont liées, nous éliminons une crainte, y compris du côté des professionnels de santé : si les données que nous pouvons demander ne sont pas excessives et sont bien en rapport avec l'objectif, c'est déjà un premier élément de réponse. Ensuite, il faut sanctionner toute dérive. C'est d'ailleurs ce que proposent le règlement européen et pour partie la loi de modernisation de notre système de santé. Toute personne sollicitant une information doit en effet être responsable de son usage. C'est donc un important garde-fou du dispositif.

Sous réserve qu'il y ait une réglementation, car, pour l'heure, aucune sanction n'est prévue. Sans doute la puissance publique doit-elle en tirer les conséquences, en concertation avec les assureurs. La définition d'un cadre répressif pour toute entité qui tendrait à abuser de l'information est indispensable.

A contrario, l'interdiction absolue d'accéder à l'information ne serait pas constructive : le principe de précaution, soit, mais pas quand il empêche l'évolution des métiers et des services. Or un bon équilibre a été trouvé avec la loi de modernisation de notre système de santé qui, d'une part, respecte le principe de précaution et, de l'autre, permet des expérimentations. L'existence d'un risque potentiel ne devrait pas nous interdire définitivement l'accès à des données éventuellement utiles pour l'exercice particulier d'un organisme complémentaire, mais aussi pour un exercice plus collectif tourné vers l'efficience du système de santé.

J'en viens à l'exploitation des données. Quelles sont celles qui sont utilisées pour fixer les tarifs des contrats d'assurance de groupe proposés aux entreprises ? Comment garantir que la modulation, non seulement par assuré mais par catégories sociales, ne sera pas mise en oeuvre, ce qui pourrait introduire un biais dans la mutualisation du risque ? Quels sont les traitements actuariels et les catégorisations sociales qui vous paraissent pertinents dans la négociation des contrats de groupe de complémentaire santé ? Le questionnaire qui vous a été remis insiste sur ces traitements actuariels dans la mesure où ils vont être adossés à la stratégie que vont définir les assureurs et aux contrats qui s'inscrivent dans la durée – en particulier l'assurance décès-invalidité.

Jusqu'à quel âge les assurés financent plus qu'ils ne coûtent à l'assurance maladie ? Quel est l'effectif minimal d'assurés qui garantit l'équilibre économique des complémentaires santé actuellement obligatoires ?

Pour ce qui est des contrats collectifs santé, c'est l'entreprise qui définit les règles du jeu, le périmètre de la couverture et les mécanismes de solidarité qu'elle souhaite mettre en oeuvre pour des catégories objectives, comme la loi le lui impose. Donc, pour établir la tarification, l'entreprise doit tenir compte de ces contraintes.

Un organisme complémentaire déjà implanté fixera la tarification des contrats collectifs en fonction de sa connaissance de la population qu'il doit couvrir, de sa consommation de soins et de son évolution. Si l'organisme complémentaire est un nouvel entrant et qu'il n'a donc pas d'informations aussi précises, il se référera aux portefeuilles dont il dispose déjà et cherchera à identifier soit une entreprise, soit une population qui pourrait ressembler à celle qu'il doit couvrir et il appliquera de fait une tarification plus fruste, sous forme de barèmes.

Les modes de tarification que vous évoquiez varieront relativement peu, à mon sens, puisque l'organisme complémentaire possède déjà l'information dont il a besoin, ce qui n'est pas le cas en ce qui concerne les catégories socioprofessionnelles, cette information n'entrant bien souvent pas en ligne de compte dans les besoins de l'entreprise, puisqu'elle souhaite que la tarification soit calée sur le revenu, avec, éventuellement, un déplafonnement ou une cotisation forfaitaire. Je ne vois donc pas en quoi une information supplémentaire, en particulier relative aux catégories socioprofessionnelles, viendrait modifier ces pratiques.

Les données du SNDS peuvent-elles modifier les évaluations actuarielles des contrats longs comme les assurances décès-invalidité ?

Je serais bien incapable de vous répondre sur ce sujet assez pointu que ne traite pas la FNMF.

Et en ce qui concerne l'âge moyen des assurés ?

Le principe de la complémentaire santé est d'assurer une solidarité entre les bien-portants et les malades, quel que soit leur âge. Il n'en reste pas moins vrai que le niveau de risque croît avec l'âge.

Nous sommes bien d'accord, mais certaines primes d'assurance varient en fonction des tranches d'âge.

Tout à fait.

Dès lors, la question de savoir s'il n'y a pas un âge moyen à partir duquel un assuré coûte davantage qu'il ne cotise n'est pas infondée. Ce moment charnière a-t-il été défini par la mutualité ?

Pas de façon absolue. Peut-être avez-vous connaissance des travaux de la direction de la recherche, des études, de l'évaluation et des statistiques (DREES) sur les mécanismes de tarification propres à chaque organisme d'assurance complémentaire. Certains font le choix d'une solidarité intergénérationnelle et appliquent des tarifications qui, à partir d'un certain âge, cessent de progresser. Je ne saurais en revanche vous affirmer qu'on ait établi l'existence d'un âge moyen à partir duquel un assuré coûte plus qu'il ne cotise, puisque les contrats sont relativement hétérogènes. Chaque organisme fixe sa tarification en fonction de son histoire, de sa situation sur le marché – la règle est ainsi fixée à l'avance pour les contrats de certaines catégories de fonctionnaires, la solidarité intergénérationnelle s'imposant du fait du plafonnement des cotisations.

Et pour ce qui est de l'effectif d'assurés censé garantir l'équilibre économique des complémentaires santé ?

Je n'ai pas non plus de réponse quantitative à vous donner puisque plus l'effectif est faible, plus grande est la volatilité du risque…

J'ai tout de même du mal à imaginer qu'il n'existe pas un modèle mathématique en la matière…

De fait il existe.

…mais vos collègues pourront peut-être répondre sur ce point. La mutualité n'a-t-elle pas mené de réflexion sur le sujet ?

Si, mais pas de façon quantitative dans la mesure où, je l'ai dit, plus l'effectif est faible, plus grande est la volatilité du risque et plus le portefeuille est susceptible d'être déséquilibré. C'est pourquoi nous cherchons à mutualiser les risques soit au sein d'un portefeuille donné et pour une population donnée, soit au sein d'un ensemble de portefeuilles.

Il y a forcément un effectif minimal permettant la soutenabilité du système par rapport aux primes demandées. On constate ainsi que des collectivités proposent des mutuelles adossées à une partie de la population. On peut donc imaginer, je le répète, qu'un modèle mathématique existe.

Ma réponse n'est pas fondée sur un modèle mathématique mais sur l'expérience du terrain : il existe encore des mutuelles de taille relativement modeste qui assurent une population homogène, affinitaire, soit parce que située sur un même territoire, soit parce qu'exerçant la même profession, et qui parviennent à équilibrer leurs comptes chaque année. Aussi, au-delà de la question de l'effectif minimal, doit-on tenir compte de la connaissance précise du risque dans le temps et de la possibilité de le piloter à travers l'évolution des cotisations.

Je rappelle que, à l'occasion d'une précédente mission, notamment sur les mutuelles étudiantes, la MECSS a adressé une lettre à la FNMF, signée par les deux coprésidents, Gisèle Biémouret et moi-même, demandant une analyse des coûts permettant de définir la pertinence des contrats ainsi qu'un comparatif au titre des prestations ; or vous ne nous avez toujours pas répondu. Il est sage, quand la MECSS interpelle un opérateur, qu'il envoie une réponse construite, faute de quoi nous serions contrariés. Sommes-nous bien d'accord ?

Tout à fait.

Je vous remercie. Nous allons passer à la Fédération française de l'assurance (FFA).

Peut-être pouvons-nous revenir sur les apports du nouveau mécanisme instauré par la loi de modernisation de notre système de santé et de son impact sur les assureurs. Il prévoit plusieurs étapes et apporte des garanties pour l'accès aux données du SNIIRAM et du PMSI, données qui seront regroupées au sein du SNDS. La loi dispose que l'utilisation des données est tributaire de finalités que les assureurs et les laboratoires pharmaceutiques doivent au préalable fixer.

Pardonnez-moi de vous interrompre, madame la directrice. Avant même de définir le modèle économique de ce type d'échanges entre des opérateurs privés et la puissance publique qui a collecté et détenu ces informations – la Cour des comptes a d'ailleurs constaté l'absence d'un tel modèle dans la loi –, on pourrait envisager la perception d'une taxe pour l'exploitation desdites données. Une discussion à ce propos est en cours dans plusieurs pays européens. Avez-vous vous-mêmes engagé une réflexion sur le sujet – étant entendu que je n'évoque pas ici de données anonymisées ?

La loi rappelle que nous ne pouvons recueillir que les données pourvues d'un intérêt public et que leur accès est payant.

Voilà qui est nouveau, vous m'apprenez quelque chose ! Je ne connaissais pas l'existence d'une taxe – qui est donc un point positif. Pour garantir la sécurisation, la confidentialité des données, mais aussi leur juste exploitation, le système doit être opérationnel et donc disposer des moyens humains, techniques et financiers nécessaires. Or les moyens qui lui sont attribués, au titre de la CNIL, du Gouvernement ou de la Caisse nationale de l'assurance maladie (CNAM), ne sont pas à la hauteur du coût des demandes des opérateurs privés – assurances, laboratoires pharmaceutiques –, si bien qu'on constate une embolisation du système. C'est d'ailleurs pourquoi la Cour des comptes propose un contrôle a posteriori et non plus a priori.

La MECSS a organisé une réunion sur la sécurisation des données de santé au cours de laquelle j'ai interpellé la directrice de la branche santé de la CNIL : combien de divisions pour assurer le contrôle de la justification de l'accès aux données ? Elle m'a répondu : « Six personnes » ! Les moyens sont donc insuffisants. On est donc bien fondé à s'interroger sur le modèle économique le plus efficace pour répondre de façon efficiente à chaque partenaire, public comme privé, au service du peuple français.

La question a été abordée dans le cadre de la commission « open data »…

C'est exact, mais la loi est muette à ce sujet.

…en référence à des pays étrangers où l'accès aux données est soumis à une taxation. La FFA a alors fait valoir que, si nous devions un jour payer un droit d'accès aux données, il faudrait que celui-ci soit bien réel. Or, si la loi permet une ouverture, il faut bien voir que, du point de vue des opérateurs, l'accès aux données reste excessivement complexe et le fonctionnement de l'institut des données de santé (INDS) ne garantit pas…

C'est ce que je vous disais : il s'agit d'un vrai cercle vicieux.

Tout à fait.

L'insuffisance de moyens provoque l'embolie du système et l'opérateur extérieur juge excessif le prix qui lui est demandé pour un accès si réduit aux données qu'il réclame. On voit bien que le système n'est pas fluide, pas cohérent, pas efficient et pas suffisamment sécurisé.

Exactement. J'ajoute que la loi précise que les organismes complémentaires vont contribuer à ce système pour un coût dont il faudra tenir compte dans le modèle économique.

Je vous prie d'accepter mes excuses pour vous avoir interrompue, madame la directrice, mais le sujet me paraissait d'importance – l'argent, c'est tout de même le nerf de la guerre.

Les nouvelles conditions qui nous sont imposées ont été mentionnées.

Quand les entreprises que nous représentons cherchent à avoir accès à ces données – considérées comme publiques, par opposition aux données privées des personnes –, c'est pour mieux faire leur métier d'assureur, pour améliorer la qualité de leurs prestations en matière de prévention et d'adaptation des garanties à des attentes qu'elles peuvent du coup mieux cerner. Or l'accès aux données est réglementé et sécurisé – vous avez évoqué la CNIL.

Aussi les attentes des assureurs ne sauraient-elles être assimilées à la volonté d'identifier de nouveau les personnes à travers l'utilisation de données publiques ; elles consistent en fait à mieux prendre en considération certaines informations utiles à leur métier. Je citerai un exemple récent qui s'inscrit dans le cadre du droit à l'oubli, dont on a discuté lorsqu'on a revu les conditions de souscription d'une assurance-emprunteur par les personnes victimes d'une maladie grave. Grâce à la connaissance de données précises collectées auprès de médecins ou d'instituts comme l'Institut national du cancer (INCA), incontestables du point de vue déontologique et scientifique, nous avons pu affiner notre connaissance des affections et faire bénéficier des malades, notamment lorsqu'ils étaient jeunes, des conditions normales d'accès au crédit. On peut se servir de cet exemple lorsqu'on entend expliquer pourquoi les assureurs ont intérêt à connaître des données non ré-identifiées : c'est pour mieux exercer leur métier, pour adapter les garanties et répondre de manière plus fine aux attentes des assurés.

Vos systèmes d'information et vos procédés d'anonymisation des données sont-ils identiques à ceux du SNIIRAM ?

Nos membres sont divers et chacun a mis en place son système de sécurité.

Le nombre de systèmes induit autant d'effractions potentielles.

Je n'irai pas jusque-là. Notre profession a engagé une réflexion avec la CNIL dès 2014, et elle est la première à avoir signé un Pack de conformité assurance. Outil de régulation de l'utilisation des données personnelles, ce Pack comporte plusieurs chapitres et engagements. La CNIL s'en prévaut et aimerait pouvoir dupliquer ce système avec d'autres professions sensibles en matière d'utilisation de données. Ce mode de régulation, qui fonctionne à partir de référentiels sectoriels, comporte des règles de bonnes pratiques et des modes opératoires qui permettent d'apporter des garanties.

Si chaque assureur dispose de son propre système, il n'y a pas de norme concernant la sensibilité des données.

Grâce au Pack de conformité, la CNIL exerce un contrôle.

Tout est homogène ?

Je ne suis pas sûre que le processus d'anonymisation soit strictement identique à celui de la CNAM, mais cela ne signifie pas qu'il n'y a ni sécurité ni anonymisation. Les critères de sécurité à respecter, rappelés dans ce Pack de conformité, sont le fruit d'un échange entre la CNIL et les assureurs. Nous sommes soumis à des contraintes de sécurité et à des obligations concernant l'utilisation des données. Il est ainsi écrit noir sur blanc qu'il est strictement interdit d'utiliser les données à des fins de démarchage. Dans ce document, que vous connaissez sans doute, la CNIL précise le type de données auquel ont accès les assureurs, l'usage qu'ils ont le droit d'en faire et dans quelles circonstances. C'est cela qui est normé.

Comment est contrôlée l'application de ce Pack ? C'est du ressort de la CNIL, me direz-vous, mais nous avons vu qu'elle pouvait manquer de moyens. Il ne s'agit pas de faire un procès d'intention. Nous sommes confrontés à une diversité phénoménale de systèmes d'information qui n'ont pas été normés, qui posent des problèmes d'interopérabilité, qui constituent autant de portes d'entrée pour les pirates informatiques. Un chercheur a fait récemment la démonstration que l'on pouvait tuer à distance par voie dématérialisée en arrêtant des pompes à insuline et en désorganisant des pacemakers. La pénétration des systèmes d'information relève de la même duplicité. Sans vouloir faire paniquer les foules, il s'agit d'avoir une norme partagée et effectivement appliquée.

La FFA a toujours milité pour que des moyens soient consacrés au contrôle et que des sanctions exemplaires soient infligées en cas de non-respect du cadre. Il n'est pas du ressort de la fédération d'effectuer ces contrôles et elle ne dispose d'ailleurs pas de moyens pour ce faire. À ma connaissance, la CNIL contrôle ponctuellement certains systèmes. C'est sans doute insuffisant. Peut-être faut-il aller plus loin ? Dans la commission sur l'open data en santé, nous avons milité pour avoir un accès plus facile, quitte à ce qu'il y ait des contrôles et des sanctions exemplaires en cas d'abus, comme l'a précisé Véronique Cazals. En tant que financeurs du risque – nous remboursons après l'assurance maladie obligatoire –, nous souhaitons un accès plus facile aux données.

En matière de gestion des risques, je vous pose les mêmes questions qu'aux précédents intervenants, d'autant que les sociétés d'assurance maîtrisent mieux les données actuarielles, notamment pour les contrats invalidité et décès. Vous avez dû aussi mener quelques réflexions sur les seuils démographiques.

Dans le domaine de la santé, les contrats sont essentiellement fonction de l'âge de l'assuré, et nous n'avons d'ailleurs pas accès à beaucoup d'autres critères pour élaborer nos tarifs. Y a-t-il un âge pivot à partir duquel le coût devient supérieur à la moyenne ? En fait, les actuaires ne se réfèrent pas à un âge pivot. Chacun sait que, en matière de santé, le risque – et donc le prix du contrat – augmente avec l'âge. Cependant, le métier de l'assureur consiste à mutualiser les risques, quelle que soit la taille de son portefeuille d'assurés. Le principe s'applique dans tous les domaines : santé, dommages, automobile, etc. La personne âgée coûte plus cher à l'assureur, mais elle ne pourrait pas acquitter une prime totalement corrélée au risque qu'elle court en matière de santé.

Un professionnel de l'assurance a publié il y a quelques mois une contribution dans les pages saumon du Figaro, alertant sur l'utilisation que les assureurs pouvaient faire du séquençage génomique. Le croisement de données pourrait aboutir à une remise en cause de la mutualisation des risques au détriment de l'assuré, expliquait-il. Cette position est-elle largement partagée parmi les assureurs ?

Il me semble que vous faites référence à l'expérimentation conduite par un assureur dans le cadre d'un contrat collectif. Les assurés peuvent fournir des informations personnelles sur leur mode de vie – sommeil, alimentation, etc. – sur la base du volontariat. L'assureur leur fait alors des recommandations. S'il les suit, l'assuré peut bénéficier de prestations additionnelles sur l'alimentation, l'exercice sportif et autres. Est-ce bien ce à quoi vous faites allusion ?

En effet, mais l'article abordait de manière plus globale le problème du croisement de données.

En fait,suite à cette expérimentation, l'auteur de l'article réagissait à des attaques liées au fait que certaines de ces données pourraient bientôt servir à élaborer les tarifs des contrats d'assurance. Il s'opposait vigoureusement à un tel usage, d'ailleurs proscrit par la réglementation.

Cette position est-elle partagée dans le monde de l'assurance complémentaire ?

Elle l'est : la médecine prédictive signifie la fin de l'aléa, et donc de la mutualisation et de l'assurance.

Pour en revenir à l'expérimentation, la collecte de données est effectuée par un tiers de confiance auquel l'assureur n'a pas accès.

L'exploitation des données de l'assurance maladie permettrait-elle une mesure plus objective de la pénibilité et de l'invalidité professionnelle, et une négociation plus informée par catégorie sociale de l'âge de départ à la retraite et du montant cumulé des pensions servies ? Ce sujet, d'une extrême complexité, a donné lieu à une loi assez indigeste. Pour rester courtois, je dirai que les mesures sont peu maniables et inopérantes. Sur le plan conceptuel et philosophique, ce texte a vocation à traiter le stock, alors que la pénibilité devrait être traitée par la mobilité professionnelle, dans le cadre d'une gestion prévisionnelle des emplois et des carrières. Le salarié devrait obtenir une sorte de droit à la formation, lui permettant de s'extraire de l'emploi pénible qui l'expose à un risque à moyen et long terme, et d'envisager un autre parcours professionnel. On pourrait imaginer que l'exploitation de ces données de santé soit une invitation à gérer les parcours professionnels de manière plus dynamique et intelligente, pour le plus grand bénéfice des salariés et de la société. En l'état actuel des choses, le salarié est condamné à conserver son poste pénible et il obtient seulement le droit de partir en retraite quelques semestres avant l'échéance normale. Avez-vous engagé une réflexion sur ce sujet ?

À ma connaissance, aucune réflexion de ce type n'a été engagée dans le monde de l'assurance.

Pour avoir énormément travaillé sur le compte personnel d'activité, je pense que l'exploitation des données par contingents professionnels aurait une pertinence dans les branches et serait efficiente pour le salarié, l'employeur et la société tout entière.

Si elle devait être engagée, cette réflexion devrait en effet être conduite avec les secteurs professionnels concernés.

Je me permets de vous suggérer cette réflexion prospective : définir des profils de risques, de manière à permettre aux salariés les plus exposés d'évoluer dans leur parcours, au lieu de recevoir une sorte de solde de tout compte pour compenser leur souffrance au travail, ce qui est assez obscène.

Comme nous le disions plus tôt, l'accès à des données peut être un vecteur de progrès en matière de prévention et de connaissance des risques professionnels.

Nous sommes d'accord, sur l'essentiel, avec les intervenants précédents. Nous avons été étroitement associés aux travaux de la commission « open data en santé », et nous étions d'ailleurs extrêmement attachés à la concertation dans ce domaine.

Qu'attendons-nous du SNDS ? Alors que les différents systèmes d'information étaient éparpillés, la création du SNDS nous semble être une excellente initiative : le fait de regrouper les données est capital et structurant pour tous les acteurs de la santé, qu'il s'agisse des soignants, des soignés ou des assureurs. En donnant accès à des données fiables et contrôlées, le SNDS favorise la concurrence et le dialogue social. Nous allons confronter les informations émanant du SNDS à nos propres données, afin d'améliorer notre gestion du risque et d'affiner notre tarification.

Qu'en est-il de la diversité et de la sécurité des systèmes informatiques ?

La loi prévoit que nous soyons contributeurs dans le cadre d'un échantillon, et nous participons au projet MONACO.

Le CTIP, qui regroupe des institutions de prévoyance paritaires, est spécialisé dans les contrats collectifs. Nous n'avons pas attendu la loi pour participer à la remontée d'information. Nos trois principaux groupes de protection sociale – AG2R La Mondiale, Malakoff Médéric et Pro BTP – ont participé à l'expérimentation. Les organismes en question ont fait remonter directement l'information auprès de l'Institut de recherche et de documentation en économie de la santé (IRDES), qui était chargé de la mise en oeuvre de l'expérimentation. La sécurisation de cette remontée d'information – dont l'anonymisation est assurée par un tiers de confiance – a été éprouvée. Je n'ai pas d'inquiétude sur ce que nous pourrons faire à l'avenir. Reste à savoir si la méthode retenue sera la même que celle qui a été utilisée lors de l'expérimentation.

En termes de délais, nous avons plusieurs prérequis. Tout d'abord, les organismes complémentaires auront plus ou moins de facilité à faire remonter l'information selon la méthode qui sera retenue. À ce stade, nous ne savons pas si l'échantillon nous sera imposé comme dans le cadre du projet MONACO. Ensuite, notre tâche sera plus aisée si nous avons des données normalisées. Enfin, nos échanges avec nos interlocuteurs de l'offre de soins doivent être dématérialisés pour que nous puissions travailler efficacement. La mise en place de SESAM-Vitale et la généralisation du tiers payant ont permis de réaliser un travail important avec les professionnels de santé libéraux.

Les complémentaires seront-ils tous opérationnels en 2017 pour le tiers payant ?

Oui.

Nous élaborons un projet national pour les établissements publics de soins avec la direction générale de l'offre de soins (DGOS) et la direction générale des finances publiques (DGFIP), intitulé projet de remboursement des organismes complémentaires (ROC). Plus il sera industrialisé, et plus nous aurons de données normalisées que nous pourrons partager. Je ne peux pas vous donner de délai, mais nous avons rempli les prérequis pour travailler efficacement ; les organismes complémentaires seront mobilisés dans cette tâche qui renvoie au développement d'un modèle économique.

Dans le cadre de l'expérimentation MONACO, nos organismes volontaires se sont déjà investis dans le dispositif, même si le processus a été suspendu pour les raisons que chacun connaît. Il faudra remobiliser et reprendre le fil de cet investissement, dont on doit tenir compte.

Nous sommes spécialisés dans les contrats collectifs et nous utilisons plusieurs éléments utiles à la tarification, à savoir l'âge moyen d'un groupe, la nature des garanties et la situation géographique. Il y a deux types de prestations : celles à tarif opposable, dont le prix est unique dans tout le pays, et celles dites à « liberté tarifaire » ; les tarifs diffèrent entre les régions, d'où l'existence du critère géographique. Nous disposons déjà de nombreuses informations, car les séries historiques existent pour les renouvellements de contrat comme pour les premières souscriptions.

Les données objectives, contrôlées et rapportées à un référentiel national représentent une valeur ajoutée pour les assureurs et leurs interlocuteurs. Nous bénéficions tous de l'ouverture des données.

Le principe de l'assurance est la mutualisation du risque, d'où la prise en compte de l'âge moyen d'un groupe dans la tarification. Il n'y a pas de seuil minimal d'effectif, mais ne prendre en charge qu'une personne n'est pas de l'assurance. Les contrats sont soit standards, soit sur mesure. Les standards s'adressent à des PME et à des TPE, l'assureur pouvant mutualiser le risque présenté par ces populations.

Au titre de ce principe de mutualisation, on pourrait imaginer qu'il y ait un seuil économique d'efficience permettant une certaine rentabilité. Ce raisonnement ne serait ni surprenant ni obscène.

La notion de rentabilité s'avère moins importante que celle de juste prix. Ce dernier se trouve au coeur de l'activité assurantielle.

Dans le domaine de la complémentaire santé, le collectif doit comprendre au moins 500 têtes.

C'est un calcul légitime !

À ma connaissance, nous disposons déjà d'éléments sociodémographiques pour les assurances d'invalidité et de décès, et il nous semble que l'apport du SNDS résiderait surtout dans l'obtention de données permettant d'améliorer la prévention des risques et, donc, de réduire les tarifs.

Le dispositif législatif est récent, puisqu'il date de cette année, et s'inscrit dans un cadre européen auquel nous avons fait référence. Ses décrets d'application ont vocation à encadrer, optimiser, sécuriser et apporter davantage d'efficience. Le ministère vous a-t-il fait connaître un calendrier de rédaction de ces décrets ?

Des textes d'application doivent en effet rendre le système opérationnel, mais nous n'avons reçu aucune indication sur le calendrier ou le contenu des textes. Comme nous avons des contacts réguliers avec le ministère, nous serions informés si certains décrets étaient prêts.

La mission d'évaluation et de contrôle finira ses travaux en même temps que la législature. Notre sujet est tellement vaste que l'on ne pourra pas faire preuve d'exhaustivité, si bien que nous remettrons un prérapport à la fin du mois de janvier prochain à la commission des affaires sociales, qui devra en autoriser la publication.

La structure paritaire de la MECSS l'exonère des conséquences de l'alternance politique, et la mission poursuivra ses travaux à la rentrée parlementaire de septembre 2017. Il est fort probable que nous vous convions à nouveau pour étudier les questions que ne manqueront pas de susciter les décrets d'application de la loi.

Je vous remercie, mesdames et messieurs, pour votre présence et la précision de vos réponses, malgré le contexte encore incertain entourant l'application du dispositif.