Le programme Helsana+ (1/2)

TAF, 19.03.2019, A-3548/2018

Dans le cadre de son programme Helsana+, Helsana agit en tant que personne privée et peut se prévaloir du consentement valable des personnes concernées pour le traitement de données personnelles obtenues directement auprès de ces personnes. En revanche, le consentement à la collecte de données relatives à l’assurance obligatoire obtenues auprès de sociétés sœurs n’est pas valable, les conditions plus restrictives applicables aux organes fédéraux étant alors applicables.

Faits

Helsana Assurances complémentaires SA exploite le programme de bonus « Helsana+ » par le biais d’une app pour téléphones. L’app permet aux assurés (de l’assurance obligatoire et de l’assurance complémentaire) qui exercent certaines activités de collecter des points, lesquels donnent droit à des versements en espèces et à d’autres avantages. L’app n’enregistre pas d’informations concernant la santé des assurés. Les assurés fournissent en effet les informations nécessaires (p. ex. la preuve d’avoir exercé une certaine activité) en chargeant des photos.

Dans le processus d’enregistrement au programme, l’app requiert l’indication de l’adresse email, du code postal, de la date de naissance et du numéro d’assurance des personnes assurées. En outre, le consentement des participants à ce que des données de l’assurance obligatoire soient collectées auprès de ses sociétés soeurs est également demandé. Helsana vérifie ensuite périodiquement que les informations fournies par l’assuré correspondent à celles de l’assurance obligatoire en possession de sa société sœur.

En avril 2018, le Préposé fédéral à la protection des données et à la transparence (« Préposé ») émet des recommandations à l’attention de Helsana concernant le programme. Helsana fait savoir qu’elle ne partage pas l’avis du Préposé, tout en s’engageant à adapter le processus d’enregistrement pour les assurés de l’assurance obligatoire en l’attente d’une décision judiciaire.

En juin 2018, le Préposé ouvre action contre Helsana devant le Tribunal administratif fédéral (TAF). Il conclut essentiellement à ce que Helsana s’abstienne (1) de collecter (auprès de ses sociétés sœurs) des données de l’assurance obligatoire dans le cadre du programme, et donc également de demander le consentement des assurés à cet effet et (2) de traiter des données de personnes assurées exclusivement auprès de l’assurance obligatoire aux fins de leur offrir des bénéfices financiers.

Le TAF doit donc déterminer, d’une part, si Helsana est en droit de traiter les données personnelles relatives à l’assurance obligatoire qui proviennent de ses sociétés sœurs, et, d’autre part, si la finalité du traitement est illicite du fait que, indirectement, les personnes bénéficiant exclusivement d’une assurance obligatoire auprès de Helsana se voient potentiellement restituer une partie de leurs primes dans le cadre du programme.

Droit

S’agissant de la première conclusion, le Préposé allègue que le traitement de données de l’assurance obligatoire dans le cadre du processus d’enregistrement au programme est illicite. Il fait valoir essentiellement que Helsana doit respecter les conditions applicables au traitement de données par les organes fédéraux. En l’absence de base légale explicite, le traitement serait illicite. En outre, le consentement des assurés ne saurait remédier à cette absence puisqu’il est donné de façon globale et n’est donc pas valable.

Le TAF rappelle tout d’abord les principes généraux. Des données personnelles ne peuvent être traitées que de façon licite, à savoir lorsque le traitement a lieu de bonne foi, est proportionné et que le principe de finalité est respecté. Le but du traitement doit en particulier être reconnaissable pour les personnes concernées. Lorsque le consentement des personnes concernées est requis, celui-ci n’est valable que si les personnes ont été dûment informées (art. 4 LPD).

Lors du traitement de données personnelles, une personne privée doit respecter les principes prévus aux art. 4, 5 al. 1 et 7 al. 1 LPD (cf. art. 12 ss LPD). Pour être licite, le traitement doit reposer sur le consentement de la personne touchée, sur un motif prépondérant d’intérêt public ou privé ou sur la loi (art. 13 al. 1 LPD).

Les organes fédéraux (définis à l’art. 3 let. h LPD) ne peuvent traiter des données qu’en présence d’une base légale (cf. art. 16 ss LPD). En outre, ils ne peuvent communiquer des données que si une telle base légale existe ou si la personne intéressée a donné son consentement dans le cas particulier (art. 19 al. 1 let. b LPD).

Le critère déterminant pour déterminer si Helsana agit en tant qu’organe fédéral ou non est la nature juridique du lien entre la personne concernée et la personne qui traite les données. Si ce lien est de droit public, la personne traitant les données est un organe fédéral au sens de la LPD. En l’espèce, le TAF observe que la défenderesse n’offre pas d’assurance obligatoire et que le traitement qui a lieu dans le cadre du programme Helsana+ n’est aucunement fondé sur la LAMal. Par conséquent, la relation juridique entre la défenderesse et les personnes concernées est de droit privé si bien que les conditions applicables aux personnes privées s’appliquent à Helsana.

Le TAF considère ensuite que les personnes concernées ont valablement consenti à ce que la défenderesse traite des données provenant de l’assurance obligatoire. En effet, le désavantage résultat de la non-acceptation des conditions d’utilisation de l’app est directement lié aux données dont le traitement est requis. Il n’y a donc pas de « chantage » dans l’obtention du consentement.

Autre est la question de la collecte des données de l’assurance obligatoire, détenues par d’autres sociétés du groupe Helsana. Pour être licite, elle présuppose que la communication des données par ces sociétés soit elle aussi licite. Le TAF examine donc si ces sociétés sont en droit de communiquer les données en question à la défenderesse.

D’emblée, le TAF considère que les sociétés offrant l’assurance obligatoire doivent être qualifiées d’organes fédéraux au sens de la LPD, auxquels les conditions des art. 16 ss LPD sont dès lors applicables. Dans ce contexte, le consentement écrit des personnes touchées doit être donné dans le cas d’espèce (art. 19 al. 1 LPD cum 84a al. 5 let. b LAMal).

En l’espèce, le consentement prévu par les conditions d’utilisation de l’app ne porte que sur le traitement de données par la défenderesse, et non pas sur la communication des données par les autres sociétés Helsana exploitant l’assurance obligatoire. Néanmoins, le TAF considère qu’un consentement (à tout le moins implicite) des personnes concernées peut être retenu dès lors que l’obtention des données par la défenderesse requiert leur communication par les autres sociétés. Cela étant dit, le TAF constate que le consentement n’est pas donné par écrit, pas plus qu’il est donné spécifiquement dans chaque cas particulier. Helsana vérifie en effet à d’intervalles réguliers que les informations fournies par les assurés lors de l’enregistrement au programme correspondent aux informations de l’assurance obligatoire.

De surcroît, le consentement ne repose pas sur une information adéquate au sens de l’art. 4 al. 5 LPD. En effet, le consentement à la collecte de données de l’assurance obligatoire est dispersé dans plusieurs clauses, ce qui rend difficile une correcte compréhension des enjeux. Aussi, le consentement ne porte pas uniquement sur les informations fournies par les assurés lors de l’enregistrement au programme et n’est pas limité par l’indication du but du traitement. Pour ces raisons, le consentement des assurés en ce qui concerne la collecte des données de l’assurance obligatoire n’est pas valable. En collectant de ses sociétés sœurs des données de l’assurance obligatoire, Helsana a donc violé de façon illicite la personnalité des personnes concernées au sens de l’art. 12 LPD.

Sur ce point, la demande du Préposé est admise.

La deuxième partie de cet arrêt, traitant de la deuxième conclusion relative à la légalité du but du traitement des données de personnes bénéficiant exclusivement d’une assurance obligatoire auprès de Helsana, fera l’objet d’un résumé séparé.

Note

En entrée de cause, le TAF a été amené à préciser la légitimation active du Préposé, laquelle était remise en cause par Helsana concernant la deuxième conclusion. Celle-ci faisait en effet valoir que cette conclusion ne portait pas sur une méthode de traitement, mais sur la finalité du traitement. Dans ce contexte, le TAF note que l’art. 29 LPD permet au Préposé d’exercer ses fonctions de contrôle et, cas échéant, d’ouvrir action, lorsqu’un grand nombre de personnes est touché par une méthode de traitement des données susceptible de mettre en danger leur personnalité (erreur de système). D’autres conditions plus restrictives ne sont pas prévues, de sorte que la légitimation active du Préposé était donnée.

Dans le domaine de la santé, le présent arrêt est à notre connaissance une première en ce qui concerne le traitement de données personnelles en lien avec un programme de bénéfices offerts aux assurés.

Contrairement à ce qu’on pourrait croire de premier abord, les données traitées par Helsana ne sont pas des données sensibles, aucune information concernant l’état de santé des personnes concernées ne faisant l’objet du traitement. En tant que personne privée, Helsana était en droit d’obtenir le consentement des personnes concernées par le traitement des données (y compris des personnes bénéficiant d’une assurance obligatoire), au moyen de l’acceptation des conditions d’utilisation de l’app, lesquelles indiquent la finalité du traitement.

Le TAF a en revanche nié la validité du consentement en ce qui concerne la collecte des données relatives à l’assurance obligatoire, dans le cadre de laquelle les sociétés concernées agissent en tant qu’organes fédéraux. Même s’il reconnaît, dans un premier temps, qu’un consentement implicite des personnes concernées pouvait être retenu, le TAF retient ensuite que les conditions applicables à la validité du consentement ne sont pas respectées. Dans ce contexte, le TAF adopte une approche restrictive sur plusieurs points : premièrement, s’agissant la condition du consentement « en l’espèce » ; deuxièmement, en ce qui concerne l’application du principe de proportionnalité ; troisièmement, pour ce qui est de l’exigence de consentement « écrit » de l’art. 84a al. 5 LAMal. Cette approche, décisive pour l’issue de la première partie de l’arrêt, n’est pas motivée par une analyse doctrinale approfondie et ne fait pas l’objet de développements détaillés, ce qui paraît un peu surprenant(du même avis David Vasella, in datenrecht.ch/a-3548-2018-entscheid-des-bvger-i-s-helsana).

A noter, finalement, que la partie de la première conclusion tendant à vouloir faire interdiction à Helsana d’obtenir le consentement des personnes concernées en ce qui concerne la collecte des données de l’assurance obligatoire n’est pas valable en tant que telle. A cet égard, le TAF retient à raison qu’un consentement peut être valable ou pas valable, mais la loi ne permet pas d’interdire à une personne privée de l’obtenir auprès des personnes concernées par un traitement de leurs données.

Helsana a pris position au sujet du présent arrêt en soulignant, d’une part, que celui-ci confirme la possibilité d’offrir le programme Helsana+ aux assurés de l’assurance obligatoire et, d’autre part, qu’elle avait d’ores et déjà adapté le processus d’enregistrement au programme, de sorte que l’arrêt ne change rien à sa pratique actuelle.

Proposition de citation : Simone Schürch, Le programme Helsana+ (1/2), in: https://lawinside.ch/737/