C’est connu: les Suisses sont de grands sportifs et des passionnés de randonnée en montagne. Ces derniers temps, les caisses jouent sur cette corde pour attirer de nouveaux clients dans l’assurance complémentaire.

En un an, CSS, Helsana, Sanitas et Swica ont toutes proposé des applications avec une récompense financière à la clé. Ce faisant, elles accumulent de nombreuses et précieuses données sur le profil de leurs assurés. Une pratique contestée: pour la première fois, le préposé fédéral à la protection des données, Adrian Lobsiger, a décidé d’ouvrir une enquête contre Helsana.

Activités récompensées par des points

«Pour égayer votre vie! A vos points, prêts, partez!»: depuis septembre dernier, Helsana propose sur son site internet une plateforme participative dont le but est de promouvoir un mode de vie sain sur une base volontaire.

Natation, randonnée, tour à vélo, promenade avec le chien: de nombreuses activités sont récompensées par des points. Les assurés complémentaires peuvent viser un plafond de 30 000 points, capital qui donne droit à un bonus de 300 francs versé sur le compte bancaire. Quant à ceux qui ne disposent que d’une assurance de base, ils doivent se limiter à 7500 points: ils peuvent les convertir en prestations diverses, en espèces ou en rabais chez des entreprises partenaires, dans des centres thermaux, des hôtels, voire des musées.

Applications proposées par d'autres caisses

Cette nouvelle application, que l’assuré télécharge sur son téléphone portable, n’a pas tardé à attirer l’attention de l’Office fédéral de la santé publique (OFSP). Celui-ci a alors alerté le préposé à la protection des données, qui lui a annoncé le 12 octobre dernier qu’il ouvrait une enquête à ce sujet.

Lire aussi: Les assureurs veulent imposer leurs applications sportives

Reste à savoir pourquoi il n’est pas intervenu plus tôt, car Helsana n’est pas la première caisse à offrir ce genre d’application. En juillet 2016 déjà, CSS avait lancé MyStep, offrant 20 centimes par jour pour ses assurés dépassant les 7500 pas, et même 40 centimes pour ceux qui atteignent les 10 000 pas quotidiens.

Marché de dupes

«Nous nous sommes aperçus qu’Helsana, contrairement à CSS et à d’autres caisses, s’adressait aussi à ses assurés de base, alors qu’elle devrait observer une séparation stricte entre l’assurance de base et la complémentaire. Nous examinons si cette séparation a été respectée», relève Francis Meier, porte-parole du préposé fédéral.

En effet, la Loi sur l’assurance maladie (LAMal) interdit aux caisses d’accorder des rabais dans l’assurance obligatoire. De plus, Berne a aussi voulu s’assurer qu’Helsana avait informé ses clients de manière transparente sur le traitement de leurs données.

Récemment, dans Le Temps, le préposé valaisan à la protection des données, Sébastien Fanti, avait confié ses pires craintes quant à ces nouvelles applications: «C’est un marché de dupes. L’assuré n’est pas conscient de la valeur de ses propres données et se met à nu sans contrepartie équitable.»

Données cryptées

Interrogé à ce sujet, le CEO d’Helsana, Daniel Schmutz, se veut rassurant. «Ce que nous faisons est conforme à la LAMal, à la loi sur les assurances complémentaires et à celle sur la protection des données. Nous avons fait une étude sur la légalité de ce programme», affirme-t-il en justifiant ce nouveau produit.

Il tient à préciser que ce dernier est davantage qu’une simple application sportive. Helsana incite ses clients à des actes de prévention et récompense par exemple aussi un acte de dépistage du cancer.

Volumineux courrier

La semaine dernière, l’assureur zurichois a donc répondu «sereinement» au courrier du préposé fédéral à la protection des données. Celles qui lui sont transmises – sur le nombre de pas, le pouls ou la consommation de calories – ne sont ni évaluées ni enregistrées par la caisse. «Les données personnelles sont cryptées, conservées en Suisse et ne sont pas transmises à des tiers», souligne encore Daniel Schmutz.

De son côté, le préposé fédéral confirme qu’il a reçu un volumineux courrier d’Helsana dans le cadre de son enquête. «Nous avons besoin de quelques semaines pour analyser cette réponse», note Francis Meier. Ce qui est sûr, c’est que le gardien de la protection des données ne pourra qu’émettre des recommandations, même en cas d’irrégularités, car la loi actuelle ne lui permet pas de prononcer des sanctions. Mais le législateur vient d’entamer la révision de cette loi qui, elle, introduira de nouvelles dispositions pénales.