Arrêt du Tribunal fédéral 9C_650/2021 (f) du 07.11.2022, destiné à la publication

Consultable ici

Validité d’une réserve d’assurance rétroactive par l’assureur-maladie – Délai pour instituer une réserve / 69 LAMal

Signature d’une proposition d’assurance et accord au traitement des données personnelles de l’assuré, notamment tous les autres assureurs d’une holding (même groupe d’assureurs)

Réticence – Dies a quo de la connaissance par l’assureur – Pas d’imputation de la connaissance d’une information objectivement accessible au sein de son organisation

Organisation des caisses-maladie et régime légal de la protection des données

Assurée, employée comme infirmière à 80% auprès d’une clinique, assurée contre la perte de gain en cas de maladie par Mutuel Assurances (assurance selon la LCA).

Dans un rapport du 15.10.2017, le médecin traitant, spécialiste en médecine générale, a indiqué à la caisse-maladie que sa patiente était atteinte d’hydrocéphalie, ce diagnostic remontant à l’année 2014 environ; elle était limitée de manière intermittente par des céphalées et des vertiges devenant très gênants et présentait des phases d’incapacité entière de travail. Par la suite, il a mentionné que l’hydrocéphalie avait été diagnostiquée en mars 2017.

Entre-temps, l’assurée a commencé une activité accessoire d’infirmière indépendante à 20% depuis le début de l’année 2014. Afin de couvrir cette activité indépendante, elle a conclu une assurance individuelle facultative d’indemnités journalières selon la LAMal auprès d’Avenir Assurance le 13.09.2017, portant sur une indemnité journalière en cas de maladie de 50 fr. par jour, assortie d’un délai d’attente de sept jours pour les risques maladie et accident. Dans le document « Questionnaire de santé », l’assurée n’a pas indiqué de trouble de la santé. Entre autres réponses, elle a nié être alors (« actuellement ») ou avoir été en traitement au cours des cinq dernières années auprès d’un médecin ainsi que présenter des séquelles d’une maladie.

Le 29.08.2019, Avenir Assurance a reçu une déclaration d’incapacité de travail de l’assurée, selon laquelle elle avait travaillé la dernière fois le 15.03.2019 et était en incapacité de travail depuis le 16.03.2019 en raison d’une hydrocéphalie. Après avoir obtenu le 02.12.2019 l’autorisation de l’assurée pour traiter les données nécessaires à la détermination du droit aux prestations, notamment en requérant des informations auprès des autres assureurs sociaux ou privés, Avenir Assurance a obtenu le dossier médical de l’assurée de la part de Mutuel Assurances. Par décision du 09.01.2020, confirmée sur opposition, Avenir Assurance a institué une réserve rétroactive dès le 13.09.2017 pour hydrocéphalie et ses complications, en raison d’une réticence, ce pour une durée de cinq ans; elle a par ailleurs refusé toute indemnité pour l’incapacité de travail annoncée dès le 16.03.2019 et mis un terme au contrat d’assurance avec effet au 31.12.2019.

Procédure cantonale

Par jugement du 08.11.2021, admission du recours par le tribunal cantonal, annulant la décision sur opposition, renvoyant le dossier à Avenir Assurance pour « examen des autres conditions du droit aux indemnités journalières requises ».

TF

Consid. 4.1
La juridiction cantonale a constaté qu’au moment de son adhésion à Avenir Assurance, l’assurée avait passé sous silence des faits importants pour l’évaluation de son risque par l’assurance et manifestement commis une réticence. L’assurée avait ainsi omis d’indiquer qu’elle souffrait d’une hydrocéphalie (expliquant en grande partie les multiples maux récurrents dont elle souffrait depuis 2014 déjà), alors qu’elle ne pouvait ignorer cette atteinte et les répercussions de celle-ci depuis une IRM effectuée le 15.03.2017. Le fait qu’elle n’avait apparemment pas subi d’incapacité de travail durable avant mars 2019 en raison de cette maladie ne la dispensait pas de renseigner Avenir Assurance sur l’existence de ses problèmes de santé et les investigations prévues.

Quant au délai pour instituer une réserve – d’un an à compter du moment où l’assureur a eu ou aurait dû avoir connaissance de l’attitude répréhensible de l’assuré, mais au plus tard cinq ans depuis ledit comportement (ATF 110 V 308 consid. 2c) – la juridiction cantonale a retenu qu’il était échu au moment du prononcé de la décision du 09.01.2020. Selon elle, il convenait en application de l’arrêt 4A_294/2014 du 30 octobre 2014, de considérer que les rapports médicaux communiqués à Mutuel Assurances étaient réputés connus d’Avenir Assurance dès leur réception par la prénommée (soit le 25.10.2017, date à laquelle le rapport du médecin traitant du 15.10.2017 avait été transmis à Mutuel Assurances). En effet, les deux sociétés d’assurance avaient adopté une organisation et une administration communes et elles étaient donc autorisées à partager les données de leurs assurés communs. Les juges cantonaux ont conclu que la réserve devait être supprimée et Avenir Assurance être invitée à verser des prestations à l’assurée pour l’incapacité de travail survenue dès le 16.03.2019, sous réserve de la réalisation des autres conditions légales.

Consid. 4.2
Invoquant une violation de la LPD, Avenir Assurance reproche à la juridiction cantonale d’avoir retenu que deux assurances d’un même groupe pratiquant « toutes deux l’assurance-maladie sociale » sont autorisées à adopter une organisation unique et, partant, à partager les données de leurs assurés communs. Elle soutient qu’elle avait agi en tant qu’assureur perte de gain maladie selon la LAMal, tandis que Mutuel Assurances était intervenue en tant qu’assureur perte de gain maladie selon la LCA. Dès lors que l’assureur LAMal devait être considéré comme un tiers par rapport à un assureur LCA (même dans l’éventualité où les deux domaines étaient exploités par la même personne morale), les données médicales ne pouvaient pas être transmises au premier assureur sans motifs justificatifs. Or Mutuel Assurances n’avait pas été autorisée à lui transmettre des données avant que l’assurée n’eût donné son accord pour ce faire, le 02.12.2019. Imposer à Avenir Assurance de consulter les données de l’assurée recueillies par Mutuel Assurances avant cette date reviendrait à une violation de la LPD.

Consid. 5.1
En tant que la juridiction cantonale a considéré qu’Avenir Assurance et Mutuel Assurances étaient toutes deux des assurances pratiquant l’assurance-maladie sociale selon la LAMal, elle a procédé à une constatation manifestement inexacte des faits, qu’il convient de rectifier. Elle a apparemment confondu Mutuel Assurances SA (aujourd’hui radiée du registre du commerce), dont le but social était « l’exploitation des branches d’assurances non vie », et Mutuel Assurance Maladie SA, dont le but est de « pratiquer en tant que caisse-maladie au sens de l’art. 12 LAMal l’assurance-maladie obligatoire et l’assurance facultative d’indemnités journalières ». Selon les constatations cantonales, l’assurée était assurée auprès de Mutuel Assurances pour la perte de gain. Or cette assurance n’était pas une caisse-maladie au sens de l’art. 12 LAMal, qui aurait pratiqué l’assurance facultative d’indemnités journalières, mais elle était active dans le domaine des assurances (complémentaires) soumises à la LCA, dont l’assurance indemnité journalière, soit dans le domaine des assurances privées.

Consid. 5.2
L’assurée soutient qu’elle avait, par sa signature de la proposition d’assurance du 13.09.2017, donné son accord au traitement de ses données personnelles et délié notamment tous les autres assureurs du Groupe Mutuel Holding SA (dont faisaient partie les deux assureurs en cause) de leur obligation de garder le secret, ce dans le cadre de vérifications nécessaires en cas de soupçons de réticence ou de fraude. Aussi, Mutuel Assurances était-elle autorisée à transmettre des données la concernant à Avenir Assurance, sans atteinte à sa personnalité, conformément à l’art. 12 al. 3 LPD, selon lequel il n’y a en règle générale pas atteinte à la personnalité lorsque la personne concernée a rendu les données accessibles à tout un chacun et ne s’est pas opposée formellement au traitement.

Quoi qu’en dise l’assurée, on ne saurait considérer que l’autorisation à laquelle elle se réfère justifiait que Mutuel Assurances transmît les rapports médicaux la concernant à Avenir Assurance à la date du 25.10.2017, considérée comme déterminante par la juridiction cantonale. Si l’assurée a bien accepté peu auparavant de lever l’obligation des « autres assureurs membres du Groupe Mutuel, Association d’assureurs » de garder le secret envers Avenir Assurance (cf. « Déclaration du proposant » signée par l’assurée le 13.09.2017), son accord porte sur des cas dans lesquels il existe des soupçons de réticence ou de fraude. Or elle n’allègue pas qu’Avenir Assurance aurait dû soupçonner une réticence ou une fraude au moment où Mutuel Assurances a reçu le rapport médical du 15.10.2017, dix-jours plus tard, ce qui aurait pu justifier qu’Avenir Assurance sollicitât des renseignements auprès de Mutuel Assurances. A cette date, en l’absence de tout soupçon, Avenir Assurance n’avait pas à vérifier l’éventualité d’une réticence ou d’une fraude, pas plus qu’elle n’avait non plus à faire spontanément des recherches auprès de l’assureur privé, « pour toutes les questions posées en rapport avec le questionnaire médical en vue de la conclusion du contrat » (cf. déclaration précitée). La juridiction cantonale le reconnaît du reste lorsqu’elle retient qu’on ne peut exiger d’une caisse-maladie qu’elle procède sans autre indice spontanément, et dans chaque cas, à une enquête sur d’éventuelles maladies antérieures de l’intéressée ou sur les prestations d’assurance qui pourraient lui avoir été allouées précédemment. L’accord de l’assurée ne constituait dès lors pas une autorisation générale donnée à Avenir Assurance d’avoir accès à toutes les données recueillies à son sujet par Mutuel Assurances.

Consid. 5.3.1
Cela étant, la question qui se pose au regard des considérations de la juridiction cantonale est de savoir si Avenir Assurance doit se voir imputer la connaissance qu’avait Mutuel Assurances des faits concernant l’assurée. A cet égard, la juridiction cantonale a fondé l’imputation de la connaissance sur le critère de l’accessibilité, selon lequel la personne morale est censée connaître des faits ou disposer de renseignements dès que l’information correspondante est accessible au sein de son organisation (cf. arrêt 4A_294/2014 cité consid. 4 et les arrêts cités).

Selon la jurisprudence en effet, une personne morale dispose de la connaissance, déterminante sous l’angle juridique, d’un état de fait lorsque l’information correspondante est objectivement accessible au sein de son organisation (ATF 109 II 338 consid. 2b; arrêts 4A_614/2016 du 3 juillet 2017 consid. 6.3.1 et les arrêts cités; 9C_199/2008 du 19 novembre 2008 consid. 4.1 [SVR 2009 BVG n° 12 p. 37]; B 50/02 du 1er décembre 2003 consid. 3 [SVR 2004 BVG n° 15 p. 49]). A cet égard, ce sont les circonstances du cas concret qui permettent de décider si l’on peut imputer à l’ayant droit la connaissance de certains actes, dont certains de ses collaborateurs ont eu vent dans l’exercice de leurs fonctions (arrêt 4C.371/2005 du 2 mars 2006 consid. 3.1, in SJ 2007 I p. 7, avec la référence à l’ATF 109 II 338 consid. 2b-e). Ainsi, les faits dont la société mère a connaissance sont opposables à la société fille lorsque les deux entités juridiques disposent d’une banque de données électronique commune et emploient les mêmes collaborateurs (cf. arrêt 5C.104/2001 du 21 août 2001 consid. 4c/bb et les références).

Consid. 5.3.2
En l’occurrence, le critère de l’accessibilité des données ne saurait être appliqué en faisant abstraction de la position particulière d’Avenir Assurance en tant qu’assureur-maladie social. La caisse-maladie, en pratiquant l’assurance-maladie sociale (y compris l’assurance d’indemnités journalières au sens de l’art. 67 LAMal) remplit une tâche publique de la Confédération et est soumise à des règles plus strictes en matière de protection des données que les entreprises n’ayant pas une telle fonction (cf. Rapport du Conseil fédéral, du 18 décembre 2013, en réponse au postulat Heim [08.3493], Protection des données des patients et protection des assurés, p. 4; cf. aussi les critiques sur le critère de l’accessibilité en lien avec les obligations de secret de ANNICK FOURNIER, L’imputation de la connaissance, Genève/Zurich/Bâle 2021, n° 767 ss p. 250 ss et n° 800 p. 263). Nonobstant l’organisation commune d’Avenir Assurance et de Mutuel Assurances, qui sont des personnes morales distinctes l’une de l’autre, la seconde est, à l’égard de la première, un tiers au sens de l’art. 84a al. 5 LAMal (arrêt A-3548/2018 du Tribunal administratif fédéral du 19 mars 2019 consid. 4.8.2; UELI KIESER, Kommentar ATSG, 4e éd. 2020, ad art. 33 n° 23 s.; ANNE-SYLVIE DUPONT, La protection des données confiées aux assureurs, in La protection des données dans les relations de travail, 2017, p. 212). Or dans les rapports avec des tiers, les aspects liés au transfert et au traitement des informations, voire d’éventuelles limites légales de la transmission des informations ont aussi leur importance (cf. arrêt 4C.44/1998 du 28 septembre 1999 consid. 2d/aa et les références, in sic! 5/2000 p. 407; cf. aussi arrêt 4C.335/1999 du 25 août 2000 consid. 5b, in SJ 2001 I p. 186). Lorsque, comme en l’espèce – et à la différence de la situation jugée par l’arrêt 4A_294/2014 cité, dans laquelle le Tribunal fédéral a retenu que l’assureur privé a concrètement eu connaissance des données en cause de l’assureur-maladie social -, est en cause le comportement d’un assureur-maladie social, il y a lieu de prendre en considération les caractéristiques de l’organisation des caisses-maladie qui se doit d’être conciliable avec le régime légal de la protection des données, auxquelles celles-ci sont soumises en tant qu’organe fédéral au sens de l’art. 3 let. h LPD (sur ce dernier point ATF 133 V 359 consid. 6.4 et les références; arrêt A-3548/2018 cité consid. 4.5.5 et les références). Dans le cadre de son organisation, la caisse-maladie est tenue de respecter les règles légales et ne peut contraindre ses organes ou collaborateurs à violer la loi.

En matière de protection des données, l’assureur-maladie social n’est en droit de traiter de données sensibles – dont les données sur la santé (art. 3 let. c LPD) – que si une loi au sens formel le prévoit expressément (cf., de manière générale, l’art. 84 LAMal) ou si, exceptionnellement (et entre autres éventualités), la personne concernée y a consenti ou a rendu ses données accessibles à tout un chacun et ne s’est pas opposée formellement au traitement (art. 17 al. 2 let. c LPD). Il est tenu de prendre les mesures techniques et organisationnelles nécessaires pour garantir la protection des données (art. 84b LAMal; cf. aussi l’art. 7 al. 1 LPD). Dans ce cadre, il doit assurer que le traitement des données, y compris la collecte des données et leur exploitation (cf. art. 3 let. e LPD), soit effectué en conformité à la loi. Or, celle-ci interdit un échange d’informations général entre la caisse-maladie et une assurance complémentaire privée, même si elles appartiennent à un même groupe d’assureurs, que le transfert de données se fasse de l’assureur-maladie social à l’assureur privé ou dans l’autre sens (Message du Conseil fédéral, du 20 septembre 2013, concernant la modification de la loi fédérale sur l’assurance-maladie [Compensation des risques. Séparation de l’assurance de base et des assurances complémentaires], FF 2013 7135 ss, ch. 2 p. 7148 ad art. 13 al. 2 let. g P-LAMal). Une communication de ces données personnelles ne peut être envisagée qu’avec le consentement de la personne concernée (cf. art. 13 al. 1 LPD sur le consentement de l’intéressé et art. 84a al. 5 LAMal sur le transfert des données par la caisse-maladie au tiers), qui n’a pas été donné en l’espèce (consid. 5.2 supra). La référence que fait la juridiction cantonale à l’art. 84a al. 1 let. a et b LAMal (communication de données par l’assureur-maladie à d’autres organes d’application de la LAMal ou de la LSAMal [RS 832.12] et aux organes d’une autre assurance sociale) n’est pas pertinente, dès lors que le transfert de données ne concerne pas deux assureurs pratiquant tous deux l’assurance-maladie obligatoire.

Consid. 5.3.3
Par ailleurs, l’autorité de surveillance des assureurs-maladie sociaux exige de leur part de choisir et de mettre en place des voies de traitement des données séparées lorsque le recours aux mêmes flux de données personnelles pour l’assurance obligatoire des soins et pour les assurances régies par la LCA recèle un potentiel d’usage abusif (Circulaire n° 7.1 du 17 décembre 2015 de l’OFSP, Assureurs-maladie: organisation et processus conformes à la protection des données [aujourd’hui: Circulaire n° 7.1 du 20 décembre 2021, Surveillance par l’OFSP des domaines soumis aux dispositions de la LSAMal, de l’OSAMal, de la LAMal et de l’OAMal relatives à la protection des données], Annexe 2, p. 11; cf. aussi sur la nécessité d’un « mur de protection » des données à l’intérieur d’un groupe d’assureurs, GEBHARD EUGSTER, Krankenversicherung [E], in: Schweizerisches Bundesverwaltungsrecht [SBVR], Soziale Sicherheit, 3e éd. 2016, p. 871 n° 1551; YVONNE PRIEUR, Unzureichender Schutz der Gesundheitsdaten bei den Krankenversicherern, Jusletter du 18 février 2008, n° 4 ss).

A cet égard, Avenir Assurance fait valoir que les dossiers respectifs de l’assurée auprès d’elle et de Mutuel Assurances ont été enregistrés séparément sous des numéros différents et qu’ils sont traités par deux collaboratrices différentes qui n’ont pas un accès réciproque et systématique aux données de l’autre assureur, toute autre organisation violant les exigences de la LPD. Dans ces circonstances, rien n’indique que la collaboratrice chargée du traitement du dossier de l’assurée auprès d’Avenir Assurance aurait, en violation des règles en la matière, accédé spontanément aux données recueillies par Mutuel Assurances pour en prendre connaissance ou que celle-ci les aurait transmises et rendues ainsi accessibles à la caisse-maladie. On ne saurait donc admettre qu’Avenir Assurance a eu accès à l’information déterminante faisant partie des données de l’assurance privée, malgré leur organisation commune (cf. aussi l’art. 9 al. 1 let. g [en relation avec l’art. 20 al. 1 OLPD; RS 235.11], selon lequel les personnes autorisées ont accès uniquement aux données personnelles dont elles ont besoin pour accomplir leurs tâches). Il convient, en l’occurrence, de prendre en considération le fait que la collaboratrice d’Avenir Assurance chargée de la gestion du dossier de l’assurée n’avait en tout état de cause pas le droit d’accéder spontanément aux données concernant celle-ci aux mains de Mutuel Assurances; une imputation de la connaissance de données en cas de transfert illégal de celles-ci dans le domaine de l’assurance-maladie obligatoire apparaît problématique sous l’angle des obligations en matière de protection des données incombant à l’assureur-maladie social (cf. dans ce sens, de manière générale, FOURNIER, op. cit., n° 768 p. 251 et n° 1283 p. 414; HANS CASPAR VON DER CRONE/PATRICIA REICHMUTH, Aktuelle Rechtsprechung zum Aktienrecht, RSDA 4/2018, p. 413).

Consid. 5.3.4
Il suit de ce qui précède qu’Avenir Assurance n’a pas eu ou n’aurait pas dû avoir connaissance du rapport du médecin traitant du 15.10.2017 au moment où il a été transmis à Mutuel Assurances le 25.10.2017. Ce n’est qu’après avoir reçu l’autorisation de l’assurée, en décembre 2019, de requérir des renseignements auprès de tiers (procuration signée le 02.12.2019), dans le cadre de l’annonce du 29.08.2019 d’un arrêt de travail survenu en mars 2019, qu’Avenir Assurance a eu accès aux données recueillies par l’assurance privée (cf. « Dossier médical de Mutuel Assurances SA » produit par Avenir Assurance en instance cantonale), et donc pu avoir connaissance des faits dont elle pouvait déduire une situation de réticence. En conséquence, en décidant le 09.01.2020 d’émettre une réserve rétroactive en relation avec l’hydrocéphalie et ses complications dès le 13.09.2017 pour une durée de cinq ans, Avenir Assurance a agi dans le délai d’un an prévu par la jurisprudence (ATF 110 V 308 consid. 1; arrêt 9C_28/2007 du 22 juin 2007 consid. 2.2).

Pour le reste, l’assurée, dont la réponse porte exclusivement sur la violation de la LPD invoquée par Avenir Assurance, ne remet pas en cause les constatations de la juridiction cantonale sur l’existence d’une réticence en lien avec l’hydrocéphalie ainsi que sur le fait que c’est bien cette atteinte qui a provoqué l’incapacité de travail survenue dès le 16.03.2019. Compte tenu de ces constatations et de la validité de la réserve émise par Avenir Assurance, celle-ci n’a pas à allouer d’indemnités journalières en raison de cette incapacité de travail. Les conclusions d’Avenir Assurance tendant à l’annulation de l’arrêt entrepris sur ce point sont bien fondées.

Le TF admet le recours d’Avenir Assurance, annule le jugement cantonal portant sur l’obligation de la caisse-maladie de verser des prestations à l’assurée pour l’incapacité de travail survenue dès le 16.03.2019.

Arrêt 9C_650/2021 consultable ici