- Mathias Matallah
Episode 5 : Les inconnues du RGPD !
Pour les opérateurs d’assurance santé qui manipulent des données de santé sensibles, le RGPD pourrait devenir assez rapidement un enjeu stratégique…

Nous avons vu que les assureurs santé subissent depuis 2005 un harcèlement réglementaire continu des pouvoirs publics et de la Sécu, dont l’objectif ultime est de les nationaliser totalement ou à tout le moins en très grande partie. L’assurance maladie est parfaitement à même de gérer au pied levé le ticket modérateur et les 100% optique, dentaire et audioprothèses et si vous enlevez ça du périmètre complémentaire, il ne reste plus grand-chose.
Une autre grande menace, celle des conséquences de l’entrée en vigueur depuis de 25 mai 2018 de la nouvelle réglementation européenne de protection des données (RGPD). Les données de santé étant parmi les plus sensibles, leur gestion et leur utilisation seront scrutées avec une attention particulière par les régulateurs, et les assureurs santé vont à brève échéance rentrer dans l’œil du cyclone.
L’argument qu’ils mettent en avant depuis une quinzaine d’années, à savoir qu’ils seraient des payeurs aveugles n’ayant pas accès à de réelles données mais seulement à des flux inexploitables pour des analyses plus poussées, ne tient pas la route et j’ai toujours dit et écrit depuis l’origine de ce slogan creux qu’il recouvrait soit un raisonnement de fainéant soit une incompétence crasse en matière de datamining.
Il suffit pour s’en convaincre de prendre l’exemple des médicaments. Les assureurs complémentaires n’ont pas l’information sur la molécule remboursée mais ils peuvent la reconstituer à partir du prix. Deux prix sur trois correspondent à un médicament unique et le dernier tiers peut être reconstitué par itérations successives. Cette approche permet dans un deuxième temps de remonter aux spécialités des médecins concernés etc.
Les opérateurs d’assurance santé manipulent donc bel et bien des données de santé sensibles. La question qui est désormais posée est celle de leur capacité à un environnement réglementaire beaucoup plus contraignant. Pour y répondre, il faut prendre en compte l’organisation de cette industrie, qui est particulièrement complexe.
Les prestations d’assurance santé sont gérées par plusieurs types d’intervenants : les assureurs, mutuelles et institutions de prévoyance eux-mêmes et une multitude de courtiers gestionnaires et de gestionnaires pour compte de tiers spécialisés. Les courtiers et gestionnaires spécialisés gèrent dans le cadre d’une délégation de l’assureur du contrat et sont donc ses sous-traitants, ce qui est logique.
Une complexité supplémentaire est liée au fait que les courtiers gestionnaires, qui gèrent la plupart des grandes entreprises, sont tout à la fois délégataires des assureurs pour la gestion des prestations et mandataires de leur clients pour le choix du porteur du risque et de la relation avec celui-ci. Ce mode de fonctionnement un peu schizophrène est le fruit de l’histoire et fait que le courtier est tout à la fois fournisseur de son client et de l’assureur du contrat.
Tous ces acteurs sont-ils en conformité avec le RGPD ? Certainement pas et la très grande majorité en est sans doute même très éloignée. Beaucoup n’ont sans doute même pas encore réalisé qu’ils étaient concernés et le fait même que les données de santé doivent depuis des années être hébergées chez un hébergeur de données agréé par l’Agence française de la santé numérique (ASIP) n’a été intégrée que par une minorité d’entre eux.
Peuvent-ils se mettre en conformité ? Oui pour les plus importants, clairement non pour la foultitude d’acteurs qui n’ont pas la taille critique nécessaire pour entreprendre les investissements informatiques nécessaires et mettre à niveau leurs procédures. Une sélection naturelle impitoyable va donc éliminer les acteurs les plus faibles du troupeau et conduire à une concentration accélérée.
Pour les délégataires de gestion, la mise en conformité est existentielle. Les assureurs, qui sont responsables de leurs fournisseurs, ne leur feront pas de cadeau. La situation est particulièrement délicate pour les courtiers gestionnaires, qui sont tout à la fois fournisseurs de l’assureur et du client. Ce dernier ne peut en effet ignorer que la gestion est assurée par son mandataire, et ce d’autant moins qu’il échange le plus souvent directement avec lui des fichiers nominatifs indispensables à cette gestion. Et il fera encore moins de cadeaux que l’assureur compte tenu du caractère explosif du sujet en interne.
Là encore, les plus gros s’en sortiront et se mettront en conformité même si ça leur prendra un certain temps. L’impératif pour eux est d’aller plus vite que leurs assureurs, pour que ces derniers n’aient pas la tentation d’assouvir un très vieux fantasme, celui de la reprise en direct de la gestion. Heureusement pour les courtiers, ils ont en face d’eux des acteurs très lents et très peu agiles. Ils n’ont pour autant pas intérêt à tenter le diable en différant trop longtemps cette démarche indispensable. Cette hypothèse est cependant peu probable dans la mesure où les principaux sont des filiales de grands groupes anglo-saxons ou comptent dans leur actionnariat des fonds d’investissement internationaux, et où ces différents acteurs sont particulièrement vigilants sur la conformité RGPD.
Au-delà de ce qui précède, les acteurs de ce marché auront une aiguillon supplémentaire, la Sécu. L’assurance maladie s’est fait durement botter les fesses par la CNIL pour non-respect du RGPD. Comme pour elle, la meilleure défense c’est l’attaque, elle va avoir à cœur d’une part de démontrer que les assureurs santé sont encore moins conformes qu’elle et d’autre part, de leur rendre la vie plus difficile. Son refus, en première intention, avant avis de la CNIL, de communiquer aux assureurs les données nécessaires à la gestion du 100% optique est très éclairant sur la stratégie qu’elle compte adopter dans le futur.
Au final, le RGPD pourrait devenir assez rapidement un enjeu stratégique. Au-delà de son aspect purement technique, il va en effet restructurer à la hache le marché encore très archaïque et artisanal de la gestion des prestations santé complémentaires et accélérer sa modernisation et sa professionnalisation. Les acteurs vertueux ont tout à y gagner dans la mesure où ils seront débarrassés d’une concurrence déloyale, qui n’a survécu jusqu’ici que grâce au laxisme du régulateur. Les assurés aussi, tant en qualité de service que sur le plan de la confidentialité de leurs données. Vive le RGPD !
Mathias Matallah, CEO
A suivre : L'assurance santé en crise, Episode 6 : Comment sortir de la nasse ?
Retrouvez-nous sur Linkedin, Tweeter et Facebook !
#RGPD #AssuranceSanté #eSanté #eHealth #MediEval4i #Medicine4i #MédecineDuFutur #ASIP #HDS