Le programme Helsana+ (2/2)
Dans le contexte de l’art. 4 al. 1 LPD, un traitement de données personnelles n’est illicite du fait de sa finalité que si la norme violée vise directement ou indirectement la protection de la personnalité des personnes concernées.
Faits
Helsana Assurances complémentaires SA exploite le programme de bonus « Helsana+ » par le biais d’une app pour téléphones. L’app permet aux assurés (de l’assurance obligatoire et de l’assurance complémentaire) qui exercent certaines activités de collecter des points, lesquels donnent droit à des versements en espèces et à d’autres avantages. L’app n’enregistre pas d’informations concernant la santé des assurés. Les assurés fournissent en effet les informations nécessaires (p. ex. la preuve d’avoir exercé une certaine activité) en chargeant des photos.
Dans le processus d’enregistrement au programme, l’app requiert l’indication de l’adresse email, du code postal, de la date de naissance et du numéro d’assurance des personnes assurées. En outre, le consentement des participants à ce que des données de l’assurance obligatoire soient collectées auprès de ses sociétés sœurs est également demandé. Helsana vérifie ensuite périodiquement que les informations fournies par l’assuré correspondent à celles de l’assurance obligatoire en possession de sa société sœur.
En avril 2018, le Préposé fédéral à la protection des données et à la transparence (“Préposé”) émet des recommandations à l’attention de Helsana concernant le programme. Helsana fait savoir qu’elle ne partage pas l’avis du Préposé, tout en s’engageant à adapter le processus d’enregistrement pour les assurés de l’assurance obligatoire en l’attente d’une décision judiciaire.
En juin 2018, le Préposé ouvre action contre Helsana devant le Tribunal administratif fédéral (TAF). Il conclut essentiellement à ce que Helsana s’abstienne (1) de collecter (auprès de ses sociétés sœurs) des données de l’assurance obligatoire dans le cadre du programme, et donc également de demander le consentement des assurés à cet effet et (2) de traiter des données de personnes assurées exclusivement auprès de l’assurance obligatoire aux fins de leur offrir des bénéfices financiers.
Le TAF doit donc déterminer, d’une part, si Helsana est en droit de traiter les données personnelles relatives à l’assurance obligatoire qui proviennent de ses sociétés sœurs, et, d’autre part, si la finalité du traitement est illicite du fait que, indirectement, les personnes bénéficiant exclusivement d’une assurance obligatoire auprès de Helsana se voient potentiellement restituer une partie de leurs primes dans le cadre du programme.
Droit
S’agissant de la deuxième conclusion, le Préposé fait valoir que les avantages offerts aux personnes assurées exclusivement auprès de l’assurance obligatoire de Helsana reviendraient économiquement à une restitution d’une partie des primes. Cette façon de faire serait contraire au principe d’égalité des primes de l’assurance obligatoire. Compte tenu de cette finalité (illicite), le traitement de données dans le cadre du programme serait lui aussi illicite.
La portée de l’art. 4 al. 1 LPD, qui prévoit que tout traitement de données doit être licite, est controversée.
S’il est incontesté qu’est illicite le traitement de données en violation de normes juridiques (de la LPD ou de toute autre loi) visant directement la protection de la personnalité, la question de savoir si un traitement est également illicite lorsque la norme violée par la finalité du traitement ne vise pas la protection de la personnalité n’a en revanche jamais été tranchée.
Le TAF analyse la doctrine et constate que celle-ci ne se prononce pas sur la question de savoir si une finalité illicite du traitement conduit dans tous les cas à un traitement illicite. La doctrine se limite en effet à analyser si la violation d’une loi lors du traitement rend dans tous les cas le traitement illicite, sans traiter spécifiquement de l’illicéité de la finalité du traitement.
Sous l’angle de la systématique, la LPD ne prescrit pas à quelles finalités des données peuvent être traitées, contrairement en particulier au RGPD, lequel, à son art. 5 al. 1 let. b, prévoit explicitement que les données doivent être « collectées pour des finalités déterminées, explicites et légitimes […] ». Le projet de révision de la LPD ne reprend pas cette disposition.
De même, une analyse téléologique de l’art. 4 al. 1 LPD semble suggérer que la loi suisse protège tout d’abord la personnalité des personnes dont les données sont traitées.
Compte tenu de ces éléments, le TAF retient que l’art. 4 al. 1 LPD doit être compris en ce sens qu’un traitement de données est illicite uniquement si des données sont traitées dans une finalité contraire à une disposition qui, directement ou indirectement, vise la protection de la personnalité des personnes.
En l’espèce, l’égalité des primes de l’assurance maladie obligatoire découle des art. 61 s. LAMal. Ces dispositions visent à assurer une certaine solidarité entre personnes malades et personnes en bonne santé, d’une part, et entre personnes âgées et personnes jeunes, d’autre part. Elles ne consacrent en revanche pas, directement ou indirectement, la protection de la personnalité des personnes assurées. Dès lors, dans le cas particulier, la question d’une éventuelle violation de la LaMal est sans incidence sur la protection des données. Même à considérer que le fait d’offrir des avantages financiers aux personnes assurées exclusivement auprès de l’assurance obligatoire était contraire à la LAMal (ce que le TAF ne tranche pas dans l’arrêt résumé ici), cela n’aurait aucune conséquence sur la licéité du traitement selon la l’art. 4 al. 1 LPD.
De ce fait, la deuxième conclusion du Préposé est rejetée.
Le recours est ainsi partiellement admis.
La première partie de cet arrêt, traitant de la légalité du traitement de données personnelles collectées auprès de l’assurance obligatoire (sociétés sœurs de Helsana), a fait l’objet d’un résumé séparé (LawInside.ch/737).
Proposition de citation : Simone Schürch, Le programme Helsana+ (2/2), in: https://lawinside.ch/748/