Dans le secteur de l'assurance, les données personnelles sont au cœur des mécanismes de décision. Évaluer un risque, fixer une prime ou traiter un sinistre implique souvent l'analyse d'informations détaillées sur les assurés. Certaines de ces informations, qualifiées de données sensibles, bénéficient toutefois d'une protection renforcée au titre du Règlement général sur la protection des données (RGPD). Pour les compagnies d'assurances, le défi est donc clair : exploiter les données nécessaires à leur activité tout en respectant un cadre juridique particulièrement strict.

Photo-Andranik Hakobyan/Shutterstock
Photo-Andranik Hakobyan/Shutterstock

Le RGPD réserve un traitement spécifique à certaines catégories de données considérées comme particulièrement sensibles en raison des risques qu'elles font peser sur la vie privée. Sont notamment concernés les éléments relatifs à la santé, aux caractéristiques génétiques ou biométriques, mais aussi les informations révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou la vie sexuelle d'une personne.

Dans la pratique assurantielle, ce sont avant tout les données de santé qui soulèvent des enjeux majeurs. Elles sont fréquemment sollicitées dans le cadre des assurances-vie, santé, invalidité ou incapacité de travail, où l'état de santé de l'assuré joue un rôle déterminant dans l'évaluation du risque ou dans le cadre du remboursement d'un sinistre. Cependant, leur collecte et leur utilisation ne peuvent intervenir que dans la mesure strictement nécessaire à l'appréciation du risque assuré et dans les limites fixées par le cadre légal applicable.

La loi luxembourgeoise du 6 février 2025 n'a pas instauré un droit général d'accès aux informations médicales des assurés. Elle encadre au contraire de manière étroite les hypothèses dans lesquelles certaines données de santé peuvent être utilisées dans le contexte de mesures précontractuelles ou de l'exécution du contrat d'assurance.

Un principe d'interdiction… assorti d'exceptions strictement encadrées

Le cadre posé par le RGPD est sans ambiguïté : le traitement des données sensibles est, par principe, interdit. Cette interdiction vise à prévenir les usages abusifs ou discriminatoires de données susceptibles de porter gravement atteinte aux droits fondamentaux des personnes.

Toutefois, le règlement prévoit plusieurs exceptions strictement encadrées. En pratique, le traitement de données de santé par les assureurs ne peut reposer que sur des bases juridiques précises combinées aux exceptions prévues par l'article 9 du RGPD.

Si le RGPD mentionne notamment la possibilité d'un consentement explicite de la personne concernée, cette base juridique demeure particulièrement délicate dans le secteur de l'assurance. En effet, le consentement doit être libre, spécifique, éclairé et révocable, ce qui soulève des interrogations quant à sa validité réelle dans une relation où la conclusion ou l'exécution du contrat d'assurance peut dépendre de la communication de certaines informations médicales.

Au Luxembourg, la loi du 6 février 2025 a instauré un cadre spécifique permettant aux entreprises d'assurances et de réassurances de traiter certaines données de santé lorsque ce traitement est nécessaire à l'exécution de mesures précontractuelles ou d'un contrat d'assurance. Ce régime est assorti de garanties strictes en matière de gouvernance, de sécurité, de traçabilité et de protection des données.

Des obligations pour les assureurs

En tant que responsables du traitement, les assureurs sont soumis à des obligations rigoureuses. La première consiste à définir des finalités claires, explicites et légitimes. Les données de santé collectées pour évaluer un risque ne peuvent, par exemple, pas être réutilisées à des fins commerciales ou de profilage sans base légale appropriée.

Le principe de minimisation des données s'impose également : seules les informations strictement nécessaires à l'objectif poursuivi peuvent être traitées. Même lorsqu'un traitement repose sur une base légale valable, les assureurs demeurent tenus de respecter les principes de proportionnalité et de limitation des données collectées.

À cela s'ajoute l'exigence d'une sécurité renforcée. Les données sensibles doivent être protégées par des mesures techniques et organisationnelles adaptées : accès limités, chiffrement, traçabilité des consultations, procédures internes claires et formation du personnel. Les assureurs doivent être capables de démontrer, à tout moment, le niveau de protection mis en place.

Transparence et droits des assurés

Au-delà des aspects techniques, la protection des données repose aussi sur la transparence. Les assurés doivent être informés de manière claire et compréhensible sur les données collectées, les raisons de cette collecte, la base juridique du traitement, la durée de conservation et les éventuels destinataires des données.

Ils disposent par ailleurs de droits étendus : droit d'accès, de rectification, de limitation du traitement et, dans certains cas, d'effacement. Les assureurs sont tenus de répondre à ces demandes dans les délais prévus par le RGPD.

Les données sensibles doivent être protégées par des mesures techniques et organisationnelles adaptées : accès limités, chiffrement, traçabilité des consultations, procédures internes claires et formation du personnel. Les assureurs doivent être capables de démontrer, à tout moment, le niveau de protection mis en place.

Ce que les assureurs peuvent (et surtout ne peuvent pas) faire

Le recours aux données de santé dans le secteur de l'assurance n'autorise pas une collecte généralisée d'informations médicales. Même lorsqu'un traitement est légalement admis, les assureurs doivent démontrer qu'il demeure strictement nécessaire à l'appréciation du risque, à la gestion du contrat ou au traitement du sinistre concerné.

La loi luxembourgeoise du 6 février 2025 n'a donc pas instauré un droit général d'accès aux informations médicales des assurés. Elle encadre au contraire de manière étroite les hypothèses dans lesquelles certaines données de santé peuvent être utilisées dans le contexte de mesures précontractuelles ou de l'exécution du contrat d'assurance.

Certaines pratiques demeurent clairement prohibées. Les données de santé ne peuvent être exploitées à des fins de prospection commerciale, de marketing et leur accès doit être strictement limité aux personnes habilitées.

Une vigilance particulière s'impose également face au développement des outils de profilage, de scoring et d'intelligence artificielle. Les assureurs doivent veiller à ce que les traitements automatisés ne conduisent pas à des discriminations injustifiées ou à des décisions produisant des effets juridiques significatifs sans intervention humaine appropriée.

Les manquements à ces obligations peuvent entraîner non seulement des sanctions administratives importantes, mais également une perte de confiance de la part des assurés.

Un droit de recours auprès de la CNPD

Lorsque les assurés estiment que leurs données personnelles, y compris sensibles, ne sont pas traitées conformément au RGPD, ils disposent d'un droit de recours. Au Luxembourg, toute personne concernée peut introduire une plainte auprès de la Commission nationale pour la protection des données (CNPD) si elle considère que ses droits n'ont pas été respectés par un assureur.

La CNPD est habilitée à examiner ces plaintes, à demander des explications au responsable du traitement et, le cas échéant, à intervenir par des mesures correctrices ou des sanctions. Ce mécanisme constitue une garantie essentielle pour les assurés et rappelle aux acteurs du secteur que la protection des données ne relève pas uniquement de bonnes pratiques, mais bien d'une obligation juridique opposable.

Trouver l'équilibre

Indispensable au fonctionnement du secteur, le traitement des données sensibles n'en demeure pas moins un exercice délicat. Pour les assureurs, la conformité ne se limite pas à une obligation réglementaire : elle constitue un levier de confiance durable avec les assurés. En intégrant les exigences du RGPD dès la conception de leurs processus et en s'appuyant sur les orientations de la CNPD, ils peuvent concilier efficacité économique et protection des données, au bénéfice de tous.

Dans un secteur fondé sur l'évaluation du risque, la frontière entre nécessité et atteinte disproportionnée à la vie privée devient de plus en plus fine. L'enjeu pour les assureurs n'est donc plus seulement d'accéder aux données, mais de démontrer en permanence que leur utilisation demeure strictement justifiée, proportionnée et conforme aux garanties fondamentales du RGPD et au cadre légal luxembourgeois.

www.cnpd.lu