Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Dimanche 12 juillet 2026
RGPD

RGPD mutuelle : données de santé, tiers payant (2026)

RGPD et mutuelle : données de santé de masse, tiers payant, DDA, résiliation infra-annuelle, courtiers délégataires. Bases légales, AIPD, durées. Guide 2026.

L’essentiel. Une mutuelle ou une complémentaire santé traite des données de santé à très grande échelle : c’est le paramètre qui commande tout le reste. Ces données relèvent de l’article 9 du RGPD, interdites par principe sauf exception (le plus souvent le consentement explicite ou la gestion du contrat d’assurance). Cette échelle rend l’analyse d’impact (AIPD) et le DPO obligatoires. À cela s’ajoutent les flux de tiers payant avec l’Assurance maladie et les professionnels de santé, le devoir de conseil de la DDA, la résiliation infra-annuelle qui fait circuler les données entre organismes, et le cas épineux des courtiers délégataires. Voici le cadre complet.

Une complémentaire santé est probablement l’organisme non médical qui en sait le plus long sur votre corps. Elle voit passer vos remboursements de consultations, vos actes de kinésithérapie, vos prothèses dentaires, vos lunettes, parfois vos hospitalisations et le nom des spécialistes que vous consultez. Dans les missions que je conduis auprès de mutuelles, d’institutions de prévoyance et de leurs délégataires, le premier constat est presque toujours le même : les équipes ont conscience de manipuler de la donnée de santé, mais elles sous-estiment ce que le traitement « à grande échelle » implique en obligations — AIPD systématique, encadrement strict du tiers payant, cloisonnement des accès, et une chaîne de sous-traitance souvent illisible. Ce guide part de ce qui rend la mutuelle singulière et remonte finalité par finalité.

Ce qui rend la mutuelle particulière au regard du RGPD

Trois traits structurent l’analyse.

Des données de santé par nature et en masse. Le remboursement d’un acte de soin révèle une information de santé : la nature de l’acte, sa fréquence, le professionnel consulté. Ce sont des données sensibles au sens du RGPD, relevant de l’article 9(1). Leur traitement est interdit par principe, et l’échelle (des centaines de milliers d’assurés) fait basculer l’organisme dans les régimes les plus exigeants.

Une chaîne d’acteurs dense. Assureur porteur du risque, mutuelle gestionnaire, courtier grossiste, plateforme de gestion déléguée, réseau de soins, tiers payant, plateforme d’action sociale : les données circulent entre de nombreux intervenants dont il faut, pour chacun, qualifier le rôle RGPD.

Une réglementation sectorielle dense. Code de la mutualité ou Code des assurances selon le statut, directive sur la distribution d’assurances (DDA), résiliation infra-annuelle, cadre d’usage du NIR : le RGPD s’applique en surplomb de ce corpus, sans jamais s’y substituer.

Le statut : responsable de traitement, et la question des délégataires

La mutuelle qui détermine les finalités et les moyens de la gestion des contrats est responsable de traitement au sens de l’article 4(7). Elle l’est pour la souscription, la gestion des cotisations, le remboursement des prestations, l’action sociale et la prospection.

La difficulté propre au secteur est la qualification des intermédiaires et délégataires. Trois configurations coexistent :

  • Le prestataire purement technique (éditeur du logiciel de gestion, hébergeur de données de santé, plateforme d’emailing) est un sous-traitant : il agit pour le compte de la mutuelle, sur ses instructions. Un contrat conforme à l’article 28 du RGPD est obligatoire.
  • Le délégataire de gestion (une plateforme qui liquide les prestations et gère le tiers payant pour le compte de l’assureur) est le plus souvent un sous-traitant lui aussi, mais l’analyse doit vérifier qu’il n’agit pas pour ses propres finalités.
  • Le courtier qui détermine ses propres finalités (constitution de son fichier clients, prospection pour son compte, devoir de conseil) est responsable de traitement pour ces finalités. La qualification est rarement binaire ; nous la détaillons dans notre guide dédié au RGPD du courtier en assurance.

La règle pratique : ne jamais présumer le statut. On l’établit finalité par finalité, on le formalise par écrit, et on aligne le contrat sur la qualification retenue. Un contrat article 28 signé avec un acteur qui, en réalité, est responsable de traitement autonome est une fausse sécurité.

Les bases légales et l’articulation article 6 / article 9

Pour les données de santé, il faut deux étages : une base légale de l’article 6 et une exception de l’article 9(2). Oublier le second étage est l’erreur la plus fréquente.

Finalité Base Art. 6 Exception Art. 9 (santé)
Souscription et gestion du contrat Art. 6(1)(b) — contrat Art. 9(2)(a) — consentement explicite
Remboursement des prestations / tiers payant Art. 6(1)(b) — contrat Art. 9(2)(a) ou cadre de gestion assurantielle
Obligations comptables et de lutte anti-fraude Art. 6(1)© / (f) Selon la finalité
Action sociale, aides individuelles Art. 6(1)(a) ou (f) Art. 9(2)(a) — consentement explicite
Prospection de nouveaux produits Art. 6(1)(f) ou (a) Sans données de santé
Défense en justice, contentieux Art. 6(1)(f) Art. 9(2)(f) — exercice de droits en justice

Le consentement explicite est la voie la plus fréquente pour la santé, ce qui suppose une information claire, une case dédiée et non pré-cochée, et la possibilité de retirer le consentement. Attention toutefois : le consentement n’est pas toujours la meilleure base pour la gestion pure du contrat, car son retrait ne doit pas empêcher l’exécution de garanties déjà dues. La CNIL a publié un référentiel relatif aux traitements mis en œuvre aux fins de gestion des contrats d’assurance, qui constitue le repère de conformité à consulter en priorité pour caler bases légales et durées.

Le tiers payant : le flux le plus sensible

Le tiers payant fait circuler des données de santé entre la mutuelle, l’Assurance maladie (flux NOEMIE), les professionnels de santé et parfois des opérateurs de tiers payant. C’est le flux où la minimisation doit être la plus stricte.

Points de vigilance :

  • Ne transmettre que le nécessaire. Le professionnel de santé et l’opérateur de tiers payant n’ont pas besoin de connaître l’ensemble de l’historique de l’assuré, mais seulement les données utiles à la prise en charge de l’acte concerné.
  • Encadrer l’usage du NIR. Le numéro de sécurité sociale est une donnée dont l’usage est strictement encadré ; son emploi pour les échanges avec l’Assurance maladie s’inscrit dans le cadre réglementaire dédié, et non pour d’autres finalités (identifiant client interne, rapprochement marketing).
  • Cloisonner les accès. Seuls les gestionnaires habilités accèdent au détail des prestations. Un conseiller commercial n’a pas à voir la nature des actes remboursés.
  • Tracer les accès aux données de santé (journalisation), la traçabilité étant une mesure de sécurité attendue pour ce type de données.

L’hébergement des données de santé

Un point technique lourd de conséquences : dès lors que des données de santé sont hébergées par un prestataire pour le compte de la mutuelle, cet hébergement relève d’un régime spécifique en France, l’hébergement de données de santé (HDS), qui suppose une certification de l’hébergeur. Ce n’est pas une exigence directe du RGPD, mais elle s’y articule au titre de la sécurité du traitement (article 32).

En pratique :

  • Vérifier la certification HDS de tout prestataire qui héberge ou traite techniquement les données de santé (éditeur en mode SaaS, infogéreur, hébergeur cloud). L’absence de certification est un manquement de sécurité et un risque contractuel.
  • Documenter cette vérification dans le contrat de sous-traitance et dans le registre : la certification est un élément des garanties suffisantes exigées par l’article 28(1).
  • Contrôler la localisation des données et la chaîne de sous-traitance ultérieure : un hébergeur certifié qui recourt à des serveurs hors Union européenne peut rouvrir la question des transferts internationaux.

Le point à retenir : la conformité RGPD d’une mutuelle ne se joue pas seulement dans ses procédures internes, mais aussi dans le choix et l’encadrement de ses hébergeurs. C’est un critère de sélection, pas une formalité a posteriori.

DDA, devoir de conseil et données collectées

La directive sur la distribution d’assurances (DDA) impose un devoir de conseil : l’intermédiaire doit recueillir les exigences et besoins du client pour lui proposer un contrat adapté. Cette obligation professionnelle justifie la collecte de certaines données (situation familiale, garanties souhaitées), mais elle ne crée pas un droit de tout collecter.

L’articulation avec le RGPD est simple : la DDA fonde la nécessité de la collecte au regard du devoir de conseil, tandis que le RGPD en fixe les limites (minimisation, information, durée). Collecter des données de santé détaillées au stade de la prospection, avant toute souscription, est presque toujours excessif : le devoir de conseil ne l’exige pas à ce stade.

La résiliation infra-annuelle : la donnée qui circule entre organismes

Depuis l’entrée en vigueur de la loi n° 2019-733 du 14 juillet 2019, un assuré peut résilier son contrat de complémentaire santé à tout moment après la première année, sans frais. La bascule d’un organisme à un autre s’accompagne d’un mandat par lequel le nouvel organisme accomplit les formalités de résiliation auprès de l’ancien.

Au regard du RGPD, cela implique :

  • un échange de données maîtrisé entre ancien et nouvel organisme, limité à ce qui est nécessaire à la résiliation (identité, référence de contrat, date d’effet) — pas de transfert de l’historique de santé ;
  • une base claire : l’exécution du mandat confié par l’assuré ;
  • une information de l’assuré sur les données échangées dans ce cadre.

L’erreur à éviter est de profiter de la résiliation entrante pour aspirer des données de l’ancien contrat au-delà du strict nécessaire à la formalité.

Durées de conservation

Les durées se calent sur le référentiel assurance de la CNIL et les obligations légales. Le principe : distinguer base active, archivage intermédiaire (pour la prescription et les obligations légales) et suppression.

Donnée Durée indicative Fondement
Données de gestion du contrat en cours Durée du contrat Exécution du contrat
Après résiliation (prescription) Selon les délais de prescription applicables Archivage intermédiaire
Données comptables Durée légale comptable Obligation légale
Prospection d’un prospect inactif En général 3 ans après le dernier contact Recommandation CNIL
Données de santé non nécessaires À supprimer dès que la finalité est atteinte Minimisation

Ces durées sont indicatives et doivent être arrêtées au regard du référentiel CNIL et de la situation propre de l’organisme. Un tableau des durées de conservation formalisé, distinguant santé et non-santé, est un livrable prioritaire.

Erreurs fréquentes et sanctions

Les écarts récurrents dans le secteur :

  • oublier le second étage (article 9) et ne raisonner qu’en article 6 pour la santé ;
  • laisser un accès trop large aux données de santé, sans cloisonnement entre gestion et commercial ;
  • utiliser le NIR hors de son cadre réglementaire, comme identifiant interne ou clé de rapprochement marketing ;
  • collecter des données de santé au stade de la prospection, avant toute nécessité contractuelle ;
  • négliger la chaîne de sous-traitance avec les délégataires et courtiers, faute de qualification écrite ;
  • omettre l’AIPD alors que le traitement de santé à grande échelle la rend obligatoire.

La CNIL a sanctionné des organismes d’assurance et de complémentaire santé pour des défauts de sécurité, des durées excessives et des manquements à l’information. Notre synthèse sur les sanctions RGPD donne les ordres de grandeur, adossés au chiffre d’affaires. En cas de fuite de données de santé, la notification de la violation à la CNIL et l’information des personnes sont des réflexes à préparer en amont.

Plan d’action pour une mutuelle

Étape Action Priorité
1 Réaliser l’AIPD du traitement des données de santé (obligatoire) Immédiate
2 Vérifier l’articulation article 6 / article 9 pour chaque finalité Immédiate
3 Cloisonner les accès santé et journaliser les consultations Élevée
4 Qualifier par écrit le rôle de chaque délégataire et courtier Élevée
5 Encadrer l’usage du NIR et les flux de tiers payant Élevée
6 Formaliser le tableau des durées santé / non-santé Moyenne
7 Aligner les contrats article 28 sur les qualifications retenues Moyenne

Piloter la conformité d’une mutuelle — registre, AIPD, durées, chaîne de sous-traitance sur des dizaines de délégataires — est précisément le type de charge documentaire qu’un logiciel RGPD permet d’industrialiser, plutôt que de la maintenir sur des tableurs éparpillés entre services.

FAQ

Une mutuelle doit-elle réaliser une AIPD ?

Oui. Le traitement de données de santé à grande échelle figure parmi les cas où l’analyse d’impact est obligatoire (article 35 du RGPD). Une complémentaire santé qui gère des dizaines ou centaines de milliers d’assurés est pleinement concernée. L’AIPD doit être menée avant la mise en œuvre et tenue à jour.

Quelle base légale pour rembourser les soins ?

Deux étages sont nécessaires : l’article 6(1)(b) (exécution du contrat) pour la base générale, et une exception de l’article 9(2) pour la donnée de santé — le plus souvent le consentement explicite ou le cadre de gestion assurantielle. Raisonner sur le seul article 6 est une erreur récurrente.

Une mutuelle doit-elle désigner un DPO ?

Oui, en pratique. Le traitement de données de santé à grande échelle rend le DPO obligatoire au titre de l’article 37(1)© du RGPD. La désignation d’un délégué, interne ou externe, s’impose à tout organisme de complémentaire santé d’une taille significative.

Le courtier qui distribue ma mutuelle est-il sous-traitant ?

Pas nécessairement. S’il détermine ses propres finalités (fichier clients, prospection pour son compte, devoir de conseil), il est responsable de traitement autonome, pas sous-traitant. La qualification s’établit finalité par finalité. Notre guide sur le RGPD du courtier en assurance détaille les configurations.

Peut-on utiliser le NIR comme identifiant client ?

Non. L’usage du numéro de sécurité sociale (NIR) est strictement encadré. Il peut être employé pour les échanges avec l’Assurance maladie dans le cadre réglementaire dédié, mais pas comme identifiant interne ou clé de rapprochement marketing. Détourner le NIR de son cadre est un manquement caractérisé.

La résiliation infra-annuelle autorise-t-elle à récupérer l’historique de l’ancien contrat ?

Non. Le mandat de résiliation ne justifie que l’échange des données nécessaires à la formalité (identité, référence de contrat, date d’effet). Aspirer l’historique de santé ou de prestations de l’ancien organisme excède la finalité et viole le principe de minimisation.


Cet article a une vocation informative et ne constitue pas un conseil juridique individualisé. La réglementation applicable aux organismes d’assurance et complémentaires santé évolue ; vérifiez l’état des textes et le référentiel CNIL applicable avant toute décision. Pour une situation particulière, consultez un professionnel. Voir aussi notre guide sur le RGPD dans la banque.

Version : juillet 2026.

Thiébaut Devergranne
Docteur en droit des nouvelles technologies (Paris II)

Docteur en droit, Thiébaut Devergranne travaille en droit des nouvelles technologies et en protection des données personnelles depuis plus de 20 ans. Il a accompagné des centaines d'organisations dans leur mise en conformité RGPD et est le fondateur de Legiscope, logiciel de conformité RGPD.

En savoir plus sur l'auteur →