Fraude à la sécurité sociale : pas de violation de données personnelles

·

·

,
Fraude à la sécurité sociale : pas de violation de données personnelles
Ce point juridique est utile ?

Les caisses de la sécurité sociale n’ont pas à démontrer que les demandes d’avis allégées prévues par la délibération de la CNIL ont été déposées auprès de cette dernière ni qu’elles ont procédé à l’enregistrement des critères et raisonnement sur lesquels était fondé le contrôle dont un professionnel de santé a fait l’objet.  

Avis de la CNIL facultatif

Aucune disposition légale n’impose à l’organisme chargé du contrôle, lorsqu’il met en œuvre un traitement automatisé de données à caractère personnel dans le cadre d’un contrôle administratif de facturation auprès d’un professionnel de santé, de saisir la Commission nationale de l’informatique et des libertés (CNIL) d’une demande d’avis allégée prévue par la délibération de cette Commission n° 88-31 du 22 mars 1988, ni de justifier auprès du professionnel de santé contrôlé, de l’enregistrement des critères et raisonnement sur lesquels est fondé ce contrôle.

Dans le cadre de la lutte contre les fautes, abus et fraudes des professionnels de santé, ont accès aux systèmes de traitements de données à caractère personnel, les agents intervenant dans la prise en charge des assurés, individuellement habilités par le directeur de l’organisme d’assurance maladie.

Des dispositions légales et réglementaires distinctes autorisent ou imposent un traitement automatisé des données relatives aux actes effectués, aux prestations servies et aux pathologies diagnostiquées, ainsi que la transmission aux praticiens-conseils et aux personnels des organismes d’assurance maladie de celles de ces données qu’ils sont, respectivement, habilités à connaître dans des conditions et limites définies par l’article L. 161-29. Les assurés sociaux exercent leur droit d’accès aux informations les concernant, dans les conditions prévues par la loi n° 78-17 du 6 janvier 1978, auprès de l’organisme d’assurance maladie auquel ils sont affiliés.

La confidentialité des données transmises

Les organismes chargés de la gestion d’un régime obligatoire d’assurance maladie sont tenus de prendre toutes les dispositions nécessaires aux fins de préserver, notamment dans le cadre du traitement mentionné au deuxième alinéa de l’article L. 161-29, la confidentialité des données transmises et traitées aux termes de cet article, et en particulier pour limiter aux seuls personnels habilités l’accès direct aux données médicales relatives aux assurés ou à leurs ayants droit.

A cette fin, les directeurs des organismes de sécurité sociale veillent au respect des dispositions de l’acte autorisant le traitement automatisé, ainsi que des règles limitant l’accès direct aux données médicales des personnels placés sous leur autorité. Les praticiens-conseils veillent au respect des mêmes règles par les personnels placés sous leur autorité.

Contrôle et lutte contre la fraude : les textes applicables

Selon l’article 1er du décret n° 2015-389 du 3 avril 2015, pour l’application des dispositions du chapitre IV ter du titre I et du livre I et de la première partie du code de la sécurité sociale relatives au contrôle et à la lutte contre la fraude ainsi que des articles L. 224-14 et L. 315-1 du code de la sécurité sociale et des articles L. 723-2 et L. 723-11 du code rural et de la pêche maritime, les organismes gestionnaires des régimes obligatoires de base de l’assurance maladie sont autorisés à mettre en œuvre des traitements de données à caractère personnel dont la finalité est la lutte contre la fraude interne et les fautes, abus et fraudes des assurés (…), professionnels et établissements de santé (…), ou toute autre personne physique ou morale autorisée à réaliser des actes de prévention, de diagnostic et de soins, à réaliser une prestation de service ou des analyses de biologie médicale ou à délivrer des produits ou dispositifs médicaux, et à cet effet :

Effectuer les opérations nécessaires au calcul des indus et des sanctions et à suivre et analyser des situations administratives, des prestations versées, des soins produits et des biens délivrés ;

Elaborer une typologie des risques de fautes, abus et fraudes permettant de mieux cibler les dossiers à contrôler ;(…)

Suivre les signalements de suspicions de fautes, abus et fraudes afin de diligenter les contrôles, mener les investigations et, le cas échéant, d’engager des actions contentieuses ou des mesures d’accompagnement ;

Suivre les actions contentieuses et les actions de prévention et de lutte contre les fautes, abus et fraudes (…).

Selon l’article 3, I et II, du même décret, ont accès aux données des traitements mentionnés à l’article 1er pour leur enregistrement et leur gestion et à raison de leurs attributions respectives et dans la limite du besoin d’en connaître les agents intervenant dans la prise en charge des assurés, individuellement habilités par le directeur de l’organisme d’assurance maladie auquel ils appartiennent. Sont destinataires des données des traitements mentionnés à l’article 1er strictement nécessaires à l’exercice de leurs missions et dans la limite du besoin d’en connaître, notamment les agents de l’Etat ou des organismes de protection sociale mentionnés à l’article L. 114-16-3 du code de sécurité sociale.

_________________________________

R É P U B L I Q U E F R A N Ç A I S E

_________________________

AU NOM DU PEUPLE FRANÇAIS

_________________________

Cour de cassation

Chambre civile 2, 7 juillet 2022

N° 20-21.365, Publié au bulletin

Audience publique du 7 juillet 2022

Cassation

M. PIREYRE, président

Arrêt n° 832 F-B

Pourvoi n° M 20-21.365

ARRÊT DE LA COUR DE CASSATION, DEUXIÈME CHAMBRE CIVILE, DU 7 JUILLET 2022

La caisse primaire d’assurance maladie (CPAM) des Ardennes, dont le siège est [Adresse 2], a formé le pourvoi n° M 20-21.365 contre l’arrêt rendu le 8 septembre 2020 par la cour d’appel de Nancy (chambre sociale, section 1), dans le litige l’opposant à Mme [R] [P], domiciliée [Adresse 1], défenderesse à la cassation.

La demanderesse invoque, à l’appui de son pourvoi, les quatre moyens de cassation annexés au présent arrêt.

Le dossier a été communiqué au procureur général.

Sur le rapport de M. Labaune, conseiller référendaire, les observations de la SCP Foussard et Froger, avocat de la caisse primaire d’assurance maladie des Ardennes, et l’avis de M. Halem, avocat général référendaire, après débats en l’audience publique du 7 juin 2022 où étaient présents M. Pireyre, président, M. Labaune, conseiller référendaire rapporteur, Mme Taillandier-Thomas, conseiller doyen, et Mme Catherine, greffier de chambre,

la deuxième chambre civile de la Cour de cassation, composée des président et conseillers précités, après en avoir délibéré conformément à la loi, a rendu le présent arrêt.

Faits et procédure

1. Selon l’arrêt attaqué (Nancy, 8 septembre 2020), à la suite d’un contrôle de l’application des règles de tarification et de facturation des actes professionnels, la caisse primaire d’assurance maladie des Ardennes (la caisse) a notifié, le 25 avril 2016, à Mme [P], infirmière libérale (la professionnelle de santé), un indu d’un certain montant pour la période du 22 avril 2013 au 31 décembre 2015.

2. La professionnelle de santé a saisi d’un recours une juridiction de sécurité sociale.

Examen des moyens

Sur le premier moyen, pris en ses deux premières branches, et le deuxième moyen, pris en ses première, deuxième et quatrième branches

Enoncé des moyens

3. La caisse fait grief à l’arrêt de dire irrégulier le contrôle de l’activité de la professionnelle de santé et de rejeter sa demande en remboursement de l’indu, alors :

« 1°/ que le juge tranche le litige conformé ment aux règles de droit qui lui sont applicables ; qu’en estimant que l’agent de la caisse ayant opéré le contrôle n’était pas régulièrement habilité pour utiliser le système informationnel de l’assurance maladie (SIAM), sans préciser sur quelles règles de droit ils se fondaient, les juges du fond ont violé l’article 12 du code de procédure civile ;

2°/ que le juge tranche le litige conformément aux règles de droit qui lui sont applicables ; qu’en tranchant le litige au regard de la délibération de la CNIL n°88-31 du 22 mars 1988 qui, pour valoir simplement avis sur un projet de décision présenté par le directeur de la CNAM, est dépourvue de toute valeur réglementaire, les juges du fond ont violé l’article 12 du code de procédure civile ;

1°/ que nulle disposition du décret n° 2015-389 du 3 avril 2015, lequel fixe les obligations pesant sur les organismes de sécurité lorsqu’ils mettent en oeuvre un traitement automatisé de données en matière de lutte contre les fautes, abus et fraudes, ne prévoit l’envoi d’une demande d’avis allégé à la Commission nationale de l’informatique et des libertés (CNIL) ; qu’en estimant que la caisse était tenue d’une telle obligation, les juges du fond ont violé les articles 1er à 6 du décret n°2015-389 du 3 avril 2015 ;

2°/ que nulle disposition du décret n°2015-389 du 3 avril 2015, lequel fixe les obligations pesant sur les organismes de sécurité lorsqu’ils mettent en oeuvre un traitement automatisé de données en matière de lutte contre les fautes, abus et fraudes, ne prévoit l’enregistrement des critères et raisonnements sur lesquels le contrôle est fondé ; qu’en estimant que la caisse était tenue d’une telle obligation, les juges du fond ont violé les articles 1er à 6 du décret n° 2015-389 du 3 avril 2015 ;

4°/ qu’ont accès aux données à caractère non médical d’un traitement automatisé les agents individuellement habilités par le directeur de l’organisme d’assurance maladie auquel ils appartiennent ; qu’en retenant que l’agent de la caisse ayant procédé au contrôle n’était pas régulièrement habilitée à utiliser le logiciel SIAM, s’agissant des données à caractère non médical recueillies dans le cadre du contrôle concernant la professionnelle de santé, après avoir pourtant constaté que l’habilitation produite était revêtue de la signature du directeur de la Caisse, les juges du fond ont violé l’article 3 du décret n° 2015-389 du 3 avril 2015. »

Réponse de la Cour

Vu les articles 12 du code de procédure civile, L. 161-29, R. 161-31 et R. 161-32 du code de la sécurité sociale, 1er et 3 du décret n°2015-389 du 3 avril 2015 :

4. Aux termes du premier de ces textes, le juge tranche le litige conformément aux règles de droit qui lui sont applicables.

5. Selon le deuxième, dans l’intérêt de la santé publique et en vue de contribuer à la maîtrise des dépenses d’assurance maladie, les professionnels et les organismes ou établissements dispensant des actes ou prestations remboursables par l’assurance maladie à des assurés sociaux ou à leurs ayants droit communiquent aux organismes d’assurance maladie concernés le numéro de code des actes effectués, des prestations servies à ces assurés sociaux ou à leurs ayants droit, y compris lorsque ces prestations sont établies à partir des données mentionnées aux articles L. 6113-7 et L. 6113-8 du code de la santé publique, et des pathologies diagnostiquées. Pour assurer l’exécution de leur mission, les caisses nationales mettent en oeuvre un traitement automatisé des données mentionnées à l’alinéa précédent. Sous réserve des dispositions de l’alinéa suivant, le personnel des organismes d’assurance maladie a connaissance, dans le cadre de ses fonctions et pour la durée nécessaire à leur accomplissement, des numéros de code des pathologies diagnostiquées, des actes effectués et des prestations servies au bénéfice d’une personne déterminée, y compris lorsque ces prestations sont établies à partir des données mentionnées aux articles L. 6113-7 et L. 6113-8 du code de la santé publique, tels qu’ils figurent sur le support utilisé pour la transmission prévue au premier alinéa ou dans les données issues du traitement susmentionné. Seuls les praticiens-conseils et les personnels placés sous leur autorité ont accès aux données nominatives issues du traitement susvisé, lorsqu’elles sont associées au numéro de code d’une pathologie diagnostiquée.

6. Le troisième précise que des dispositions légales et réglementaires autorisent ou imposent un traitement automatisé des données relatives aux actes effectués, aux prestations servies et aux pathologies diagnostiquées, ainsi que la transmission aux praticiens-conseils et aux personnels des organismes d’assurance maladie de celles de ces données qu’ils sont, respectivement, habilités à connaître dans des conditions et limites définies par l’article L. 161-29. Les assurés sociaux exercent leur droit d’accès aux informations les concernant, dans les conditions prévues par la loi n° 78-17 du 6 janvier 1978, auprès de l’organisme d’assurance maladie auquel ils sont affiliés.

7. Aux termes du quatrième, les organismes chargés de la gestion d’un régime obligatoire d’assurance maladie sont tenus de prendre toutes les dispositions nécessaires aux fins de préserver, notamment dans le cadre du traitement mentionné au deuxième alinéa de l’article L. 161-29, la confidentialité des données transmises et traitées aux termes de cet article, et en particulier pour limiter aux seuls personnels habilités l’accès direct aux données médicales relatives aux assurés ou à leurs ayants droit. A cette fin, les directeurs des organismes mentionnés à l’alinéa précédent veillent au respect des dispositions de l’acte autorisant le traitement automatisé, ainsi que des règles limitant l’accès direct aux données médicales des personnels placés sous leur autorité. Les praticiens-conseils veillent au respect des mêmes règles par les personnels placés sous leur autorité.

8. Selon l’article 1er du décret n° 2015-389 du 3 avril 2015, pour l’application des dispositions du chapitre IV ter du titre I et du livre I et de la première partie du code de la sécurité sociale relatives au contrôle et à la lutte contre la fraude ainsi que des articles L. 224-14 et L. 315-1 du code de la sécurité sociale et des articles L. 723-2 et L. 723-11 du code rural et de la pêche maritime, les organismes gestionnaires des régimes obligatoires de base de l’assurance maladie sont autorisés à mettre en œuvre des traitements de données à caractère personnel dont la finalité est la lutte contre la fraude interne et les fautes, abus et fraudes des assurés (…), professionnels et établissements de santé (…), ou toute autre personne physique ou morale autorisée à réaliser des actes de prévention, de diagnostic et de soins, à réaliser une prestation de service ou des analyses de biologie médicale ou à délivrer des produits ou dispositifs médicaux, et à cet effet :

1° Effectuer les opérations nécessaires au calcul des indus et des sanctions et à suivre et analyser des situations administratives, des prestations versées, des soins produits et des biens délivrés ;

2° Elaborer une typologie des risques de fautes, abus et fraudes permettant de mieux cibler les dossiers à contrôler ;(…)

7° Suivre les signalements de suspicions de fautes, abus et fraudes afin de diligenter les contrôles, mener les investigations et, le cas échéant, d’engager des actions contentieuses ou des mesures d’accompagnement ;

8° Suivre les actions contentieuses et les actions de prévention et de lutte contre les fautes, abus et fraudes (…).

9. Selon l’article 3, I et II, du même décret, ont accès aux données des traitements mentionnés à l’article 1er pour leur enregistrement et leur gestion et à raison de leurs attributions respectives et dans la limite du besoin d’en connaître les agents intervenant dans la prise en charge des assurés, individuellement habilités par le directeur de l’organisme d’assurance maladie auquel ils appartiennent. Sont destinataires des données des traitements mentionnés à l’article 1er strictement nécessaires à l’exercice de leurs missions et dans la limite du besoin d’en connaître, notamment les agents de l’Etat ou des organismes de protection sociale mentionnés à l’article L. 114-16-3 du code de sécurité sociale.

10. Il résulte de la combinaison ces textes, dont la finalité est la lutte contre les fautes, abus et fraudes des professionnels de santé notamment, d’une part, qu’ont accès aux systèmes de traitements de données à caractère personnel, les agents intervenant dans la prise en charge des assurés, individuellement habilités par le directeur de l’organisme d’assurance maladie auquel ils appartiennent, et, d’autre part, qu’aucune de ces dispositions n’impose à l’organisme chargé du contrôle, lorsqu’il met en œuvre un traitement automatisé de données à caractère personnel dans le cadre d’un contrôle administratif de facturation auprès d’un professionnel de santé, de saisir la Commission nationale de l’informatique et des libertés (CNIL) d’une demande d’avis allégée prévue par la délibération de cette Commission n° 88-31 du 22 mars 1988, ni de justifier auprès du professionnel de santé contrôlé, de l’enregistrement des critères et raisonnement sur lesquels est fondé ce contrôle.

11. Pour dire que le contrôle mené par la caisse est irrégulier et rejeter la demande en répétition de l’indu formée par celle-ci, l’arrêt relève que n’est pas produite aux débats la délégation du médecin conseil régional autorisant le médecin conseil chef de service à signer l’habilitation de l’agent ayant procédé au contrôle à accéder au système informationnel de l’assurance maladie (SIAM) et à l’utiliser. Il retient, par ailleurs, que la caisse ne démontre pas que les demandes d’avis allégées prévues par la délibération de la CNIL ont été déposées auprès de cette dernière ni qu’elle a procédé à l’enregistrement des critères et raisonnement sur lesquels était fondé le contrôle dont la professionnelle de santé a fait l’objet, de façon à en permettre le contrôle a posteriori.

12. En statuant ainsi, par des motifs inopérants, la cour d’appel a violé les textes susvisés.

PAR CES MOTIFS, et sans qu’il y ait lieu de statuer sur les autres griefs du pourvoi, la Cour :

CASSE ET ANNULE, en toutes ses dispositions, l’arrêt rendu le 8 septembre 2020, entre les parties, par la cour d’appel de Nancy ;

Remet l’affaire et les parties dans l’état où elles se trouvaient avant cet arrêt et les renvoie devant la cour d’appel de Nancy, autrement composée ;

Condamne Mme [P] aux dépens ;

En application de l’article 700 du code de procédure civile, condamne Mme [P] à payer à la caisse primaire d’assurance maladie des Ardennes la somme de 3 000 euros ;

Dit que sur les diligences du procureur général près la Cour de cassation, le présent arrêt sera transmis pour être transcrit en marge ou à la suite de l’arrêt cassé ;

Ainsi fait et jugé par la Cour de cassation, deuxième chambre civile, et prononcé par le président en son audience publique du sept juillet deux mille vingt-deux.

MOYENS ANNEXES au présent arrêt

Moyens produits par la SCP Foussard et Froger, avocat aux Conseils, pour la caisse primaire d’assurance maladie des Ardennes

PREMIER MOYEN DE CASSATION

L’arrêt attaqué, critiqué par la Caisse, encourt la censure ;

EN CE QU’ il a, infirmant le jugement, dit le contrôle par la Caisse de l’activité professionnelle de Mme [P] irrégulier et débouté la Caisse de sa demande de répétition de l’indu ;

ALORS QUE, premièrement, le juge tranche le litige conformé-ment aux règles de droit qui lui sont applicables ; qu’en estimant que Mme [S] n’était pas régulièrement habilitée pour utiliser le système SIAM, sans préciser sur quelles règles de droit ils se fondaient, les juges du fond ont violé l’article 12 du code de procédure civile ;

ALORS QUE, deuxièmement, le juge tranche le litige conformé-ment aux règles de droit qui lui sont applicables ; qu’en tranchant le litige au regard de la délibération de la CNIL n°88-31 du 22 mars 1988 qui, pour valoir simplement avis sur un projet de décision présenté par le directeur de la CNAM, est dépourvue de toute valeur réglementaire, les juges du fond ont violé l’article 12 du code de procédure civile ;

ALORS QUE, troisièmement, le juge tranche le litige conformé-ment aux règles de droit qui lui sont applicables ; qu’à supposer que la délibération de la CNIL n°88-31 du 22 mars 1988 ait valeur réglementaire, de toute façon, les obligations pesant sur la Caisse, en ce qui concerne la mise en oeuvre d’un traitement automatisé de données en matière de lutte contre les fautes, abus et fraudes, étaient fixées par le décret n°2015-389 du 3 avril 2015, s’agissant d’un contrôle opéré en 2016 ; que faute d’avoir donné application aux dispositions de ce texte, seules applicables, les juges du fond ont violé l’article 12 du code de procédure civile, ensemble l’article 1er du code civil.

DEUXIEME MOYEN DE CASSATION

L’arrêt attaqué, critiqué par la Caisse, encourt la censure ;

EN CE QU’ il a, infirmant le jugement, dit le contrôle par la Caisse de l’activité professionnelle de Mme [P] irrégulier et débouté la Caisse de sa demande de répétition de l’indu ;

ALORS QUE, premièrement, nulle disposition du décret n°2015-389 du 3 avril 2015, lequel fixe les obligations pesant sur les organismes de sécurité lorsqu’ils mettent en oeuvre un traitement automatisé de données en matière de lutte contre les fautes, abus et fraudes, ne prévoit l’envoi d’une demande d’avis allégé à la CNIL ; qu’en estimant que la Caisse était tenue d’une telle obligation, les juges du fond ont violé les articles 1er à 6 du décret n°2015-389 du 3 avril 2015 ;

ALORS QUE, deuxièmement, nulle disposition du décret n°2015-389 du 3 avril 2015, lequel fixe les obligations pesant sur les organismes de sécurité lorsqu’ils mettent en oeuvre un traitement automatisé de données en matière de lutte contre les fautes, abus et fraudes, ne prévoit l’enregistrement des critères et raisonnements sur lesquels le contrôle est fondé ; qu’en estimant que la Caisse était tenue d’une telle obligation, les juges du fond ont violé les articles 1er à 6 du décret n°2015-389 du 3 avril 2015 ;

ALORS QUE, troisièmement, la règle selon laquelle l’agent de l’organisme usant du système de traitement automatisé des données doit être habilité à cette fin ayant pour seul objet de limiter, pour des raisons de sécurité et de confidentialité, le nombre de personnes au sein de l’organisme susceptibles d’utiliser le système de traitement automatisé de données, sa méconnaissance n’est pas susceptible de causer un grief personnel au professionnel de santé visé par la requête, de sorte qu’il est sans intérêt, ni qualité pour contester la régularité du contrôle en objectant du défaut d’habilitation de l’agent qui l’a opérée ; qu’en admettant que Mme [P] puisse élever une contestation quant à l’habilitation de Mme [S] ayant opéré le contrôle la concernant, les juges du fond ont violé l’article 3 du décret n°2015-389 du 3 avril 2015 ;

ALORS QUE, quatrièmement, ont accès aux données à caractère non médical d’un traitement automatisé les agents individuellement habilités par le directeur de l’organisme d’assurance maladie auquel ils appartiennent ; qu’en retenant que Mme [S] n’était pas régulièrement habilitée à utiliser le logiciel SIAM, s’agissant des données à caractère non médical recueillies dans le cadre du contrôle concernant Mme [P], après avoir pourtant constaté que l’habilitation produite était revêtue de la signature du directeur de la Caisse, les juges du fond ont violé l’article 3 du décret n°2015-389 du 3 avril 2015 ;

ALORS QUE, cinquièmement, et en plus subsidiairement, n’ont accès aux données à caractère médical que les praticiens conseils et personnels placés sous leur autorité, dans le respect des règles du secret médical et dans la stricte mesure où ces données sont nécessaires à l’exercice des missions qui leur sont confiées ; qu’à supposer que les données recueillies dans le cadre du contrôle concernant Mme [P] aient un caractère médical, de toute façon, en opposant le défaut de production de la délégation du médecin conseil régional au médecin conseil chef de service, sans s’interroger quant au point de savoir si l’habilitation produite ne justifiait pas de ce que Mme [S] était placée sous l’autorité d’un médecin conseil, les juges du fond ont privé leur décision de base légale de l’article 3 du décret n°2015-389 du 3 avril 2015.

TROISIEME MOYEN DE CASSATION (subsidiaire)

L’arrêt attaqué, critiqué par la Caisse, encourt la censure ;

EN CE QU’ il a, infirmant le jugement, dit le contrôle par la Caisse de l’activité professionnelle de Mme [P] irrégulier et débouté la Caisse de sa demande de répétition de l’indu ;

ALORS QUE, premièrement, la décision du directeur de la CNAM en date du 27 février 1996, prise suite à la délibération de la CNIL n°96-002 en date du 16 janvier 1996, ayant supprimé l’obligation de saisir la CNIL d’une demande d’avis allégée, prévue antérieurement, lorsque le système SIAM est utilisé pour la mise en oeuvre d’un thème figurant dans le répertoire national, tel que « activité d’un praticien » ; qu’en estimant que la Caisse était tenue d’une telle obligation, les juges du fond ont violé la décision du directeur de la CNAM en date du 27 février 1996, interprétée à la lumière de la délibération de la CNIL n°96-002 du 16 janvier 1996 ;

ALORS QUE, deuxièmement, constitue un enregistrement des critères et raisonnements permettant un contrôle a posteriori le tableau récapitulatif de l’indu que la Caisse établit à partir des données collectées lors du contrôle ; qu’en estimant que la Caisse avait méconnu l’obligation qui lui était faite de procéder à l’enregistrement des critères et raisonnements, sans s’expliquer quant au tableau récapitulatif de l’indu produit par la Caisse, les juges du fond ont privé leur décision de base légale au regard des articles 5 et 7 de la décision du directeur de la CNAM en date du 22 avril 1988, interprétés à la lumière de la délibération de la CNIL n°88-31 du 22 mars 1988 ;

ALORS QUE, troisièmement, la règle selon laquelle l’agent de l’organisme usant du système de traitement automatisé des données doit être habilité à cette fin ayant pour seul objet de limiter, pour des raisons de confidentialité, le nombre de personnes au sein de l’organisme susceptibles d’utiliser le système de traitement automatisé de données, sa méconnaissance n’est pas susceptible de causer un grief personnel au professionnel de santé visé par la requête, de sorte qu’il est sans intérêt, ni qualité pour contester la régularité du contrôle en objectant du défaut d’habilitation de l’agent qui l’a opérée ; qu’en admettant que Mme [P] puisse élever une contestation quant à l’habilitation de Mme [S] ayant opéré le contrôle la concernant, les juges du fond ont violé l’article 6 de la décision du directeur de la CNAM en date du 22 avril 1988, interprété à la lumière de la délibération de la CNIL n°88-31 du 22 mars 1988 ;

ALORS QUE, quatrièmement, sont autorisés à user du système SIAM les agents habilités conjointement par le directeur de l’organisme d’assurance maladie auquel ils appartiennent et le médecin conseil chef du service du contrôle médical ; qu’en retenant que Mme [S] n’était pas régulièrement habilitée à utiliser le logiciel SIAM, quand ils constataient que l’habilitation produite était revêtue des signatures du directeur de la Caisse et du médecin conseil chef de service, les juges du fond ont violé l’article 6 de la décision du directeur de la CNAM en date du 22 avril 1988, interprété à la lumière de la délibération de la CNIL n°88-31 du 22 mars 1988 ;

ALORS QUE, cinquièmement, sont autorisés à user du système SIAM les agents habilités conjointement par le directeur de l’organisme d’assurance maladie auquel ils appartiennent et le médecin conseil chef du service du contrôle médical ; qu’en opposant que la Caisse ne justifiait pas de la délégation du médecin conseil régional au médecin conseil chef de service, quand un tel motif est inopérant dès lors que le médecin conseil chef de service, habilitant un agent à user du système SIAM, exerce un pouvoir propre, les juges du fond ont violé l’article 6 de la décision du directeur de la CNAM en date du 22 avril 1988, interprété à la lumière de la délibération de la CNIL n°88-31 du 22 mars 1988.

QUATRIÈME MOYEN DE CASSATION (très subsidiaire)

L’arrêt attaqué, critiqué par la Caisse, encourt la censure ;

EN CE QU’ il a, infirmant le jugement, dit le contrôle par la Caisse de l’activité professionnelle de Mme [P] irrégulier et débouté la Caisse de sa demande de répétition de l’indu ;

ALORS QUE, premièrement, la délibération de la CNIL n°96-002 en date du 16 janvier 1996 ayant supprimé l’obligation de saisir la CNIL d’une demande d’avis allégée, prévue antérieurement, lorsque le système SIAM est utilisé pour la mise en oeuvre d’un thème figurant dans le répertoire national, tel que « activité d’un praticien » ; qu’en estimant que la Caisse était tenue d’une telle obligation, les juges du fond ont violé la délibération de la CNIL n°96-002 du 16 janvier 1996 ;

ALORS QUE, deuxièmement, constitue un enregistrement des critères et raisonnements permettant un contrôle a posteriori le tableau récapitulatif de l’indu que la Caisse établit à partir des données collectées lors du contrôle ; qu’en estimant que la Caisse avait méconnu l’obligation qui lui était faite de procéder à l’enregistrement des critères et raisonnements, sans s’expliquer quant au tableau récapitulatif de l’indu produit par la Caisse, les juges du fond ont privé leur décision de base légale au regard de la délibération de la CNIL n°88-31 du 22 mars 1988 ;

ALORS QUE, troisièmement, la règle selon laquelle l’agent de l’organisme usant du système de traitement automatisé des données doit être habilité à cette fin ayant pour seul objet de limiter, pour des raisons de confidentialité, le nombre de personnes au sein de l’organisme susceptibles d’utiliser le système de traitement automatisé de données, sa méconnaissance n’est pas susceptible de causer un grief personnel au professionnel de santé visé par la requête, de sorte qu’il est sans intérêt, ni qualité pour contester la régularité du contrôle en objectant du défaut d’habilitation de l’agent qui l’a opérée ; qu’en admettant que Mme [P] puisse élever une contestation quant à l’habilitation de Mme [S] ayant opéré le contrôle la concernant, les juges du fond ont violé la délibération de la CNIL n°88-31 du 22 mars 1988 ;

ALORS QUE, quatrièmement, sont autorisés à user du système SIAM les agents habilités conjointement par le directeur de l’organisme d’assurance maladie auquel ils appartiennent et le médecin conseil chef du service du contrôle médical ; qu’en retenant que Mme [S] n’était pas régulièrement habilitée à utiliser le logiciel SIAM, quand ils constataient que l’habilitation produite était revêtue des signatures du directeur de la Caisse et du médecin conseil chef de service, les juges du fond ont violé la délibération de la CNIL n°88-31 du 22 mars 1988 ;

ALORS QUE, cinquièmement, sont autorisés à user du système SIAM les agents habilités conjointement par le directeur de l’organisme d’assurance maladie auquel ils appartiennent et le médecin conseil chef du service du contrôle médical ; qu’en opposant que la Caisse ne justifiait pas de la délégation du médecin conseil régional au médecin conseil chef de service, quand un tel motif est inopérant dès lors que le médecin conseil chef de service, habilitant un agent à user du système SIAM, exerce un pouvoir propre, les juges du fond ont violé la délibération de la CNIL n°88-31 du 22 mars 1988.


Chat Icon