COMMUNAUTÉS & EXPERTISES — Expertises

DROIT: ICT, GDPR & IMMATÉRIEL

Assurance et traitements de données de santé



Mickaël Tome et Cyril Pierre-Beausse - Avocats à la Cour - Etude /c law ( Crédit : C law )

Mickaël Tome et Cyril Pierre-Beausse - Avocats à la Cour - Etude /c law ( Crédit : C law )

Un projet de loi actuellement en cours d’examen devant la Chambre des députés devrait permettre de légitimer en droit luxembourgeois les traitements de données de santé mis en œuvre par des entreprises d’assurance et de réassurance, dans un contexte rendu complexe par le RGPD.

Près de deux ans après son entrée en application, le Règlement général sur la protection des données (RGPD) continue d’impacter la stratégie réglementaire et les pratiques des entreprises d’assurance et de réassurance au Luxembourg. Il faut dire que le RGPD a balayé les fragiles bases légales qui permettaient aux assureurs luxembourgeois de traiter des données, créant un contexte juridique bien flou pour ceux-ci. Le gouvernement luxembourgeois vient de publier un projet de loi (n°7511) visant à remédier à cette insécurité juridique, en particulier pour les assureurs traitant des données de santé.

Ce texte est attendu notamment par les assureurs couvrant les risques maladie, vie ou accident.

Au passage, on peut s’étonner qu’un secteur entier de l’économie aussi significatif que l’assurance ait été ainsi ignoré des législateurs européen, puis luxembourgeois, et plongés dans l’incertitude, alors que la première mouture du RGPD date de plus de 8 ans.

Le projet de loi vient donc combler une lacune profonde. Le principe de «licéité» oblige tout traitement de données personnelles à être fondé sur une des bases légales prévues par la loi. En présence de données révélant l’état de santé, les exigences posées par le RGPD sont encore plus strictes. Pour les assureurs, c’est justement là que le bât blesse.

En effet, l’ancienne législation luxembourgeoise avait fort à propos introduit une exception autorisant les assureurs à traiter des données de santé. Pour le législateur de l’époque, le fait que les compagnies d’assurances étaient soumises au secret professionnel était une garantie suffisante. L’entrée en vigueur du RGPD a fait table rase et cette précieuse exception est en quelque sorte partie avec l’eau du bain, laissant les assureurs dans une situation juridique délicate.

Faute de mieux, les assureurs n’ont alors eu d’autre choix que de faire reposer certains de leurs traitements de données de santé sur le consentement explicite de leurs clients. C’est en effet une autre possibilité offerte par le RGPD, mais au prix de lourdeurs, de coûts et du risque permanent que le consentement soit retiré, menaçant ainsi la pérennité des traitements. Le RGPD a en outre resserré les conditions en vertu desquelles un consentement peut être considéré comme valide. Il est notamment difficile de prouver qu’un consentement a été librement donné lorsque les conditions contractuelles sont acceptées par les clients sans réelle possibilité de les négocier.

Si d’autres exceptions sont prévues par le RGPD (notamment pour se défendre en justice), elles ne sont pas adaptées pour le suivi de relations contractuelles usuelles.

C’est la raison pour laquelle le législateur luxembourgeois envisage d’exploiter l’une des marges de manœuvre qui lui ont été accordées par le RGPD. Le projet de loi prévoit ainsi de légitimer de manière explicite les traitements de données de santé des assureurs au motif que ces traitements sont nécessaires pour des «motifs d’intérêt public important». Ce libellé s’explique par la contribution des assureurs à l’intérêt général, et notamment au rôle de l’assurance privée dans la couverture des risques santé ou vieillesse.

Cette réforme législative, si elle aboutit, se traduira par l’introduction d’un nouvel article (181bis) dans la loi du 7 décembre 2015 sur les assurances. Elle permettra aux assureurs de sortir de leur inconfort, sous réserve toutefois de respecter les règles du secret professionnel et de prévoir des mesures appropriées (désignation d’un délégué à la protection des données ou «DPO», réalisation d’analyses d’impact, mesures d’anonymisation ou de pseudonymisation, cryptage, gestion stricte des habilitations d’accès). Autant de garde-fous naturels pour ce type de traitement à risque. Un effet indirect appréciable du projet de loi sera de ramener l’utilisation du consentement aux hypothèses où il est réellement nécessaire, renforçant par là même le contrôle des assurés sur leurs données.

En pratique, les assureurs devront revoir leur analyse interne sur les bases légales RGPD applicables (impliquant notamment une mise à jour du registre des traitements et des notices d’information destinées aux clients). Ils devront en outre tenir une documentation rigoureuse, conformément au principe de responsabilité du RGPD, en justifiant de leurs choix stratégiques (recours au consentement ou non, mesures appropriées), en particulier dans les situations où la réglementation en matière de protection des données comporte encore certaines zones grises.

Mickaël Tome et Cyril Pierre-Beausse