Mutuelle et prevoyance au CSE : traitement des donnees de sante et conformite RGPD

Le CSE joue un role consultatif sur les garanties collectives de protection sociale complementaire : mutuelle sante et prevoyance. Dans certaines entreprises, le comite peut egalement gerer directement des complements de garanties financees sur son budget. Ces missions impliquent inevitablement la manipulation de donnees de sante, categorie particuliere au sens du RGPD, soumise a un regime de protection renforce.

Le role du CSE en matiere de mutuelle et prevoyance

Le CSE est consulte lors de la mise en place, la modification ou la resiliation d’un contrat collectif de mutuelle ou de prevoyance. A ce titre, il recoit des informations sur les garanties, les cotisations, les taux de sinistralite et les prestations versees. Il peut egalement etre amene a gerer un regime surcomplementaire finance par le budget des activites sociales et culturelles. Dans les deux cas, le CSE peut acceder a des donnees individuelles ou aggregees portant sur la sante des salaries et de leurs ayants droit.

Qualification des donnees de sante au sens du RGPD

Le RGPD definit les donnees de sante comme toute donnee relative a la sante physique ou mentale d’une personne, y compris la prestation de services de soins, qui revele des informations sur l’etat de sante. Les donnees traitees dans le cadre de la mutuelle et de la prevoyance entrent pleinement dans cette categorie : affiliation, ayants droit, declarations de sinistres, arrets de travail, invalidite, deces. Le traitement de ces donnees est interdit par principe, sauf exception prevue a l’article 9 du RGPD. Les exceptions applicables au CSE sont la gestion de la protection sociale et l’interet legitime lie a l’exercice des droits du comite.

Responsabilite du CSE et de l’organisme assureur

Lorsque le CSE souscrit un contrat surcomplementaire, il devient responsable de traitement pour les donnees collectees aupres des beneficiaires. L’organisme assureur, qui gere les adhesions et les remboursements, agit en qualite de sous-traitant ou de responsable conjoint selon la configuration retenue. Un contrat conforme a l’article 28 du RGPD doit formaliser les obligations de chaque partie : finalites autorisees, mesures de securite, sort des donnees en fin de contrat, notification des violations.

Lorsque le CSE est simplement consulte sur le contrat collectif de l’employeur, il ne traite pas directement de donnees personnelles mais peut recevoir des statistiques de sinistralite. L’employeur doit veiller a ce que ces statistiques soient suffisamment agregees pour eviter toute re-identification, en particulier dans les petites entreprises.

Donnees collectees et principe de minimisation

Pour un regime surcomplementaire, le CSE collecte les donnees strictement necessaires : identite du beneficiaire, situation familiale, numero de securite sociale (pour les transmissions a l’assureur), coordonnees bancaires pour les remboursements. Les donnees medicales detaillees (diagnostics, prescriptions, comptes rendus) ne doivent jamais etre collectees par le CSE. Seul l’organisme assureur est habilite a traiter ces informations dans le cadre de la gestion des prestations. Le CSE doit veiller a ne conserver que les justificatifs de prise en charge, sans entrer dans le detail medical.

Securite renforcee pour les donnees de sante

Les donnees de sante exigent un niveau de securite renforce. Le CSE doit mettre en place le chiffrement des fichiers contenant des donnees de sante, un acces restreint aux seuls elus habilites (tresorier, secretaire), une authentification forte pour les plateformes de gestion, une interdiction du stockage sur des supports non securises (cle USB, tableur partage) et la journalisation des acces et des modifications. Les echanges avec l’organisme assureur doivent transiter par des canaux securises : plateforme dediee, messagerie chiffree, SFTP.

Information et droits des beneficiaires

Le CSE doit informer les beneficiaires du traitement de leurs donnees de sante. Une notice d’information RGPD doit etre remise lors de l’adhesion, precisant l’identite du responsable de traitement, les finalites, les destinataires, les durees de conservation et les droits des personnes. Les beneficiaires disposent d’un droit d’acces, de rectification, d’effacement et de portabilite. Le CSE doit designer un interlocuteur pour traiter ces demandes dans un delai d’un mois.

Durees de conservation specifiques

Les durees de conservation des donnees de mutuelle et prevoyance suivent des regles specifiques. Les dossiers d’adhesion sont conserves pendant la duree du contrat, plus cinq ans a compter de la fin de la garantie (prescription). Les justificatifs de remboursement suivent la meme duree. Les statistiques anonymisees de sinistralite peuvent etre conservees sans limitation. Les donnees des anciens beneficiaires doivent etre supprimees ou anonymisees dans les delais prevus, sauf obligation legale contraire.

Votre CSE gere un regime surcomplementaire ? DPO France vous aide a securiser le traitement des donnees de sante de vos beneficiaires.

Decouvrir DPO France

Points de vigilance pour les elus

Plusieurs situations meritent une attention particuliere. Le partage de bilans de sinistralite en reunion pleniere, meme agrege, peut reveler des situations individuelles dans les petites equipes. Le stockage de documents d’adhesion dans un drive partage sans restriction d’acces constitue un manquement. L’envoi de listes de beneficiaires par email non chiffre expose le CSE a une violation de donnees. Enfin, les elus doivent resister a la tentation de conserver des informations medicales « au cas ou » : le principe de minimisation s’applique avec une rigueur particuliere aux donnees de sante.

Gerez la conformite RGPD de votre CSE avec DPO Suite : registre des traitements, analyses d’impact et suivi des sous-traitants en un seul outil.

Decouvrir DPO Suite

Laurent de Cavel, DPO certifie

A lire aussi sur le meme sujet :