Article 60 de la loi du 18 mai 2024 sur la recherche privée : réel progrès en matière de lutte contre la fraude à l’assurance en cas de doute sur l’état de santé allégué ?

La loi du 18 mai 2024 modernise les règles sur la recherche privée et encadre plus strictement la collecte de données sensibles, comme celles liées à la santé. L’article 60 autorise les assurances à mener des enquêtes sur l’état de santé des victimes, mais sous des conditions strictes, notamment l’intervention d’un médecin. Cette réforme valide en partie la pratique antérieure mais soulève des questions éthiques et juridiques, notamment sur le respect des conditions imposées. Son efficacité reste à évaluer.

Les chiffres de la fraude en Europe et en Belgique, en assurances non-vie¹

La fraude à l’assurance représente un défi majeur pour le secteur assurantiel.

En effet, la fraude engendre des dépenses importantes dans le chef des compagnies d’assurance et pèse inévitablement sur tous les assurés, qui voient leurs primes augmenter.

Selon Insurance Europe, la fraude à l’assurance représenterait 5 à 10 % des indemnités versées pour les assurances non-vie (auto, incendie, familiale) dans la plupart des marchés européens.

Selon Assuralia, l’union professionnelle des entreprises d’assurances qui opèrent sur le marché belge, la fraude à l’assurance coûte chaque année entre 400 et 800 millions d’euros au secteur, ce qui représenterait jusqu’à 200 euros supplémentaires de primes annuelles pour un ménage moyen.

Modernisation législative : la recherche louable d’un équilibre entre la protection de la vie privée et la lutte contre la fraude à l’assurance²

La loi du 18 mai 2024 réglementant la recherche privée³, entrée en vigueur le 16 décembre 2024, remplace la loi du 19 juillet 1991 organisant la profession de détective privé.

Cette réforme vise à moderniser le cadre juridique applicable aux activités de recherche privée, en tenant compte des évolutions des exigences liées à la protection de la vie privée⁴ et des nouvelles technologies.

Le nouveau texte, nettement plus détaillé (188 articles contre 24 dans la loi de 1991), introduit un encadrement plus strict des activités de recherche privée, notamment celles exercées par les compagnies d’assurance et leurs services internes, en lien avec la fraude (dont l’impact économique a fortement augmenté et est devenu de plus en plus visible durant cette dernière décennie).

La modernisation législative plus spécifiquement concernant les observations menées par les « inspecteurs-fraudes » mandatés au cours d’un dossier d’évaluation du préjudice corporel
Dans les dossiers de réparation du préjudice corporel, la fraude peut prendre la forme d’une exagération ou d’une simulation par laquelle la victime tente d’obtenir une indemnisation pour des dommages qui sont en réalité moins importants, sans rapport avec le sinistre ou qui n’existent tout simplement pas.
L’article 7 de la Loi du 19 juillet 1991 interdisait déjà la collecte d’informations relatives à la santé des individus⁵.

Cependant, les juges interprétaient la notion de « donnée de santé » dans le cadre de la loi du 19 juillet 1991 de manière plus restreinte que celle retenue par la nouvelle législation RGPD.

Il était ainsi régulièrement jugé que le fait de décrire les sorties et déplacements d’une personne, même si d’éventuelles conclusions médicales pouvaient en être déduites, ne constituait pas la collecte d’informations relatives à la santé au sens de la loi du 19 juillet 1991.

Et, en tout état de cause, même s’il apparaissait in fine que des données avaient été collectées en violation des règles du RGPD, les juges avaient tendance à les juger recevables, suivant la jurisprudence Antigone⁶.

A titre d’exemple, dans une affaire où un détective privé avait été mandaté par une compagnie d’assurance pour vérifier la capacité d’une personne à marcher sans béquilles, le tribunal avait estimé que la filature était contraire à l’article 7, alinéa 3, de la loi du 19 juillet 1991, car elle visait à recueillir des informations relatives à la santé mais avait admis malgré tout la preuve collectée, en vertu du principe de proportionnalité. Le tribunal estimait qu’il n’était pas justifié, au détriment de la recherche de la vérité, de permettre une indemnisation partiellement indue de la victime⁷.

Par son article 57, 4°, la loi du 18 mai 2024 est venue réaffirmer l’interdiction de principe de la collecte de données relatives à la santé.

Cependant, par sa prise en compte du RGPD, la nouvelle loi est beaucoup plus stricte dans l’interprétation de la notion de « donnée de santé ».

Ainsi, sous l’égide de la nouvelle loi, une donnée doit être considérée comme relevant des catégories particulières du RGPD dès lors qu’elle laisse entrevoir, même de manière marginale, des éléments relatifs à l’état de santé d’une personne⁸. Lorsqu’une est menée aux fins de vérifier les capacités réelles d’une victime d’un préjudice corporel, les données collectées constituent donc des données de santé dont la collecte est en principe interdite.

La nouvelle loi est également plus stricte en ce qu’elle prévoit expressément que le respect de l’article 57 est prescrit à peine de nullité (voy. l’art. 101).

Cependant, dans le même temps, soucieux de concilier la protection des données et la lutte contre la fraude, le législateur a introduit une exception majeure à l’interdiction de l’article 57, 4°. En effet, par l’article 60⁹, il autorise expressément les compagnies d’assurance – par l’intermédiaire d’un inspecteur – « à réaliser une enquête sur les activités et les comportements qui peuvent étayer le soupçon que l’état de santé avancé par l’intéressé ne correspond pas à la réalité ».
Il s’agit d’une avancée significative dans la mesure où le législateur permet explicitement certaines mesures de surveillance même lorsque celles-ci portent sur des données sensibles comme l’état de santé.

L’article 60 de la loi du 18 mai 2024 : consolidation bienvenue de la pratique ou frein à la lutte contre la fraude ?

Si l’on peut se réjouir de ce que la nouvelle loi entérine la jurisprudence antérieure, l’on peut se demander si l’ajout de nouvelles conditions de régularité ne sont pas susceptibles de créer une situation plus contraignante qu’auparavant.

En effet, l’article 60 impose notamment l’obligation d’accompagner la mission d’observation d’une demande écrite émanant d’un médecin désigné par l’assureur.

Il est permis de se demander si les médecins accepteront de s’impliquer dans cette participation élargie à la détection de la fraude alors que celle-ci dépasse leur mission d’évaluation du préjudice et soulève par ailleurs des questions éthiques ou déontologiques.

Une question se pose dès lors : en cas de non-respect d’une condition de l’article 60 – qui constitue une exception à l’article 57, 4° – doit-on considérer que la preuve est d’office entachée de nullité ? Doit-on considérer que le juge ne pourrait couvrir cette nullité puisque l’article 101 renvoie à l’article 57 ?

Ou bien le manquement à l’article 60 – qui n’est pas visé explicitement par l’article 101 – relèvera-t-il, à l’instar de la pratique antérieure, d’une appréciation judiciaire au cas par cas, sur la base du raisonnement de la jurisprudence Antigone ?

Faute de recul suffisant depuis l’entrée en vigueur de la loi, l’on ne peut encore déterminer si l’article 60 de la loi du 18 mai 2024 – pourtant présenté comme une validation de la pratique antérieure au service de la lutte contre la fraude – constitue réellement un appui à celle-ci ou, au contraire, un obstacle à sa poursuite.

Voy. notamment : https://www.assuralia.be/fr/article/la-fraude-a-lassurance-est-un-probleme-societal (consulté le 18/06/2025) ;
https://www.alfa-belgium.be/fr/fraude-a-l-assurance (consulté le 18/06/2025);
https://insuranceeurope.eu/news/3250/breaking-boundaries-a-european-approach-to-countering-insurance-fraud/ (consulté le 18/06/2025)
A. CHARLIER et C. LEDUC, « Première analyse de la Loi du 18 mai 2024 réglementant la recherche privée », For, ass., n° 25, pp. 109-121.
https://www.besafe.be/sites/default/files/2024-12/WPO_LRP_0.pdf
Le texte de la loi intègre expressément les dispositions du Règlement général sur la protection des données (RGPD) ainsi que de la loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel.
Article 7 de la loi du 19 juillet 1991.
« Si en raison des règles très strictes encadrant la vie privée telles que les nouvelles dispositions en matière de protection des données à caractère personnel, un détective privé n’a[vait] pas respecté sensu stricto tout le prescrit légal imposé par ces dispositions, l’application des critères de la jurisprudence « Antigone » devait permettre de couvrir, dans certains cas, l’irrégularité constatée » (C. LEDUC, « La preuve d’une fraude à l’assurance : comment mener l’enquête », Bull. Ass., 2018/1, n° 402, p. 41 ; pour plus de détails sur l’évolution de la jurisprudence « Antigone » dans le cadre de la fraude à l’assurance : ibid., pp. 38-41).
Trib. trav. Charleroi (1e ch.), 16 juin 2010, Bull. Ass. 2010, liv. 3, p. 292. Pour d’autres exemples de la jurisprudence voy. L.-A. NYSSEN, « La conformité au RGPD des activités de prévention et sanction de la fraude en assurance », Bull. ass., 2024, n° 28, pp. 210-212.
J.-M. VAN GYSEGHEM, « Titre 5 – Les catégories particulières de données à caractère personnel », in Le règlement général sur la protection des données (RGPD/GDPR), 1e éd., Bruxelles, Larcier, 2018, p. 263.
« Art. 60. L’interdiction visée à l’article 57, 4° relative aux données sur la santé ne vaut pas si les conditions suivantes sont cumulativement remplies :
1° le mandant est une entreprise d’assurance ;
2° l’information est nécessaire soit pour la constatation, l’exercice ou la défense d’un droit en justice de la compagnie d’assurance, soit pour respecter une obligation par ou en vertu d’une loi, d’un décret ou d’une ordonnance ;
3° la mission est accompagnée de la demande écrite d’un médecin contrôle désigné par le mandant et qui a examiné l’intéressé ou qui a convoqué l’intéressé à trois reprises pour un examen sans que l’intéressé y ait donné suite ;
4° la mission a exclusivement pour objet de réaliser une enquête sur les activités et les comportements qui peuvent étayer le soupçon que l’état de santé avancé par l’intéressé ne correspond pas à la réalité ;
5° les résultats de la recherche privée sont communiqués par le mandant exclusivement au médecin-contrôle visé sous le 3° ».

from Julie Botermans

Cookie	Type	Duration	Description
cookielawinfo-checkbox-[category]	persistent	1 year	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Non Necessary".
CookieLawInfoConsent	persistent	1 year	The cookie is set by the GDPR Cookie Consent plugin and is used to remember the user’s choice about cookies on the website to avoid opening the popup after acceptance.
PHPSESSID	session		This cookie sets the unique session of the user on the site.
pll_language	persistent	1 year	This cookie sets the language of the user.
viewed_cookie_policy	persistent	1 year	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Type	Duration	Description
tk_ai	persistent	1 year	This cookie is set by WooCommerce. It stores a randomly-generated anonymous ID. This is only used within the dashboard (`/wp-admin`) area and is used for usage tracking, if enabled. More info: https://docs.woocommerce.com/document/woocommerce-cookies/
woocommerce_cart_[hash]	session		This cookie is set by WooCommerce and is used to help WooCommerce determine when cart contents/data changes. More info: https://docs.woocommerce.com/document/woocommerce-cookies/
woocommerce_items_in_cart	session		This cookie is set by WooCommerce and is used to help WooCommerce determine when cart contents/data changes. More info: https://docs.woocommerce.com/document/woocommerce-cookies/
wp_woocommerce_session_	persistent	2 days	This cookie is set by WooCommerce. It contains a unique code for each customer so that it knows where to find the cart data in the database for each Customer. More info: https://docs.woocommerce.com/document/woocommerce-cookies/

Cookie	Type	Duration	Description
wordpress_[hash]	session		This cookie is set by Wordpress and is used to store the authentication details on login. The authentication details include the username and double hashed copy of the password. However, this usage of the cookie is limited to the admin console area, the backend dashboard of the website. Here [hash] represents the value that is obtained by applying a specific mathematical formula applied to the username and password. It is to ensure that the input values are safe, and no one can access these data using the cookies as it is difficult to ‘unhash’ the hashed data. More info: https://wordpress.org/support/article/cookies/
wordpress_test_cookie	session		This cookie is set by Wordpress and is used to store the authentication details on login. The authentication details include the username and double hashed copy of the password. However, this usage of the cookie is limited to the admin console area, the backend dashboard of the website. Here [hash] represents the value that is obtained by applying a specific mathematical formula applied to the username and password. It is to ensure that the input values are safe, and no one can access these data using the cookies as it is difficult to ‘unhash’ the hashed data. More info: https://wordpress.org/support/article/cookies/
workpress_logged_in_[hash]	session		This cookie is set by Wordpress and is used to to indicate when you are logged in, and who you are. This cookie is maintained on the front-end of the website as well when logged in. More info: https://wordpress.org/support/article/cookies/
wp-settings-{time}-[UID]	persistent	1 year	This cookie is set by Wordpress and is used to customize the view of your admin interface and the front-end of the website. The value represented by [UID] is the individual user ID of the user as given to them in the users' database table. More info: https://wordpress.org/support/article/cookies/

Cookie	Type	Duration	Description
__utma	persistent	2 years	Used to distinguish users and sessions. The cookie is created when the javascript library executes and no existing __utma cookies exists. The cookie is updated every time data is sent to Google Analytics. More info: https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
__utmb	session	30 minutes	Used to determine new sessions/visits. The cookie is created when the javascript library executes and no existing __utmb cookies exists. The cookie is updated every time data is sent to Google Analytics. More info: https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
__utmc	session		This cookie operates in conjunction with the __utmb cookie to determine if there is a new visit from the current visitor.. More info: https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
__utmt	session	10 minutes	Used to throttle request rate. More info: https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
__utmv	persistent	2 years	Used to store visitor-level custom variable data. This cookie is created when a developer uses the _setCustomVar method with a visitor level custom variable. This cookie was also used for the deprecated _setVar method. The cookie is updated every time data is sent to Google Analytics. More info: https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
__utmz	persistent	6 months	Stores the traffic source or campaign that explains how the user reached your site. The cookie is created when the javascript library executes and is updated every time data is sent to Google Analytics. More info: https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
_fbp	persistent	3 months	Used by Facebook to provide a variety of advertising products such as real-time bidding from third-party advertisers.
1P_JAR	persistent	1 month	This cookie provides information about how the end user uses the website and any advertising that the end user may have seen before visiting that website. It is added by Google with the tracking of Linkedin.
AnalyticsSyncHistory	persistent	30 days	Used to store data about when a synchronisation was performed with the lms_analytics cookie.
ANID	persistent	9 months	This is a Google advertising cookie (which may be injected when using a service such as Facebook Pixel, MailChimp or Linkedin).
bcookie	persistent	1 year	This cookie is set by Linkedin for the tracking of on-board services.
bscookie	persistent	2 years	This cookie is set by Linkedin for the tracking of on-board services.
c_user	persistent	3 months	This cookie is used by Facebook for social sharing of information and integration of Facebook services.
cli_user_preference	persistent	1 year	Stores the consent status of the user's cookies.
CONSENT	persistent	± 18 years	This cookie stores information related to user consent and stores the user's language.
datr	persistent	2 years	Cookie for statistical analysis of Facebook advertising. For more information, please see Facebook's Cookie Usage Policy.
DSID	persistent	2 weeks	Is used to identify a user who is signed in to his or her Google Account on non-Google sites and to store his or her ad personalization preferences.
fr	persistent	3 months	The “fr” cookie is used to deliver, measure and improve the relevance of advertisements, and its lifespan is 90 days.
IDE	persistent	13 months	Used by Google to present Google Ads ads to users on non-Google sites.
JSESSIONID	session		This cookie is set by Linkedin to define a new session.
lang	session		This cookie stores the language of the browser. This cookie is added by Linkedin.
li_at	persistent	1 year	This cookie is set by Linkedin for the tracking of on-board services. This cookie is used to protect against XSS attacks.
li_oatml	persistent	1 month	Indirect ID of the member for conversation tracking, retargeting and user. This cookie is added by Linkedin.
lidc	session	1 day	Linkedin cookie used for routing.
lissc	persistent	1 year	This cookie is set by Linkedin for the tracking of on-board services.
lms_ads	persistent	30 days	Used to identify LinkedIn members outside LinkedIn in designated countries for advertising purposes.
lms_analytics	persistent	30 days	Used to identify LinkedIn members in designated countries for analysis purposes
NID	persistent	6 months	This Google cookie is used to personalize advertisements. It stores a unique identifier that allows Google to save preferences and other information such as language.
sb	persistent	2 years	This cookie is used by Facebook for social sharing of information and integration of Facebook services.
UserMatchHistory	persistent	30 days	This Linkedin cookie is used to track visitors so that the most relevant advertisements can be shown based on the visitor's preferences.
xs	persistent	90 days	This cookie from Facebook stores a certain amount of session data when a person is connected to Facebook via their browser or device.

Article 60 de la loi du 18 mai 2024 sur la recherche privée : réel progrès en matière de lutte contre la fraude à l’assurance en cas de doute sur l’état de santé allégué ?

Les chiffres de la fraude en Europe et en Belgique, en assurances non-vie1

Modernisation législative : la recherche louable d’un équilibre entre la protection de la vie privée et la lutte contre la fraude à l’assurance2

L’article 60 de la loi du 18 mai 2024 : consolidation bienvenue de la pratique ou frein à la lutte contre la fraude ?

Les chiffres de la fraude en Europe et en Belgique, en assurances non-vie¹

Modernisation législative : la recherche louable d’un équilibre entre la protection de la vie privée et la lutte contre la fraude à l’assurance²