Données personnelles relatives à la santé : quel traitement depuis la loi belge du 30 juillet 2018 ?

Les professionnels de l’assurance sont régulièrement amenés à traiter des données relatives à la santé de leurs clients, que ce soit pour évaluer le risque préalablement à la conclusion du contrat ou pour la gestion d’un sinistre. Or, l’article 9 du Règlement général relatif à la protection des données personnelles (RGPD) prévoit qu’en raison de leur sensibilité, de telles données ne peuvent en principe pas être traitées, à moins de pouvoir invoquer l’une des exceptions qu’il énumère, au titre desquelles on trouve notamment le consentement qui permettra de traiter des données lorsqu’aucune autre exception ne trouvera à s’appliquer.

Malheureusement, l’exécution d’un contrat ne fait pas partie de ces exceptions : les professionnels du secteur ne pourront donc pas invoquer un tel fondement pour traiter les données de santé des assurés. Face à cette situation, certains acteurs du secteurs, encouragés par l’Autorité belge de protection des données (APD), ont pu être tentés de considérer que ce traitement pouvait s’appuyer sur l’article 9 (2), g) du RGPD en vertu duquel l’interdiction de traiter des données de santé ne s’applique pas si « le traitement est nécessaire pour des motifs d’intérêt public important, sur la base du droit de l’union ou du droit d’un État membre […] ».

Selon les tenants de cette thèse, cet article reprenait la même exception que celle qui était inscrite dans l’article 7, §2, e) de l’ancienne loi vie privée belge (loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel), qui stipulait que « lorsque le traitement est rendu obligatoire par ou en vertu d’une loi, d’un décret ou d’une ordonnance pour des motifs d’intérêt public importants ». Ils considèrent que l’article 61 de la loi belge du 4 avril 2014 sur les assurances constituait la base légale à laquelle référait la loi vie privée et, par analogie, l’article 9 (2), g) du RGPD. L’article 61 réglemente en effet ce qui concerne l’information médicale tant au moment de la souscription que de l’exécution du contrat en cas de sinistre.

Ce raisonnement présentait déjà quelques fragilités. En effet, d’une part, l’article 61 de la loi belge sur les assurances n’institue aucune obligation de traiter des données de santé mais encadre un tel traitement lorsqu’il est réalisé. D’autre part, la formulation de l’article 9 (2), g) du RGPD n’est pas identique à celle de l’ancienne loi vie privée : l’exigence d’une obligation légale formelle a disparu mais celle du motif d’intérêt public prend plus d’importance, de sorte qu’il doit être possible de démontrer que le traitement est effectivement nécessaire « pour des motifs d’intérêt public important ».

Une réponse à cette problématique a, à notre sens, été apportée par l’adoption de la loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel. L’article 8 de cette loi énumère les traitements qui sont « considérés comme traitements nécessaires pour des motifs d’intérêt public important » au sens de l’article 9 (2), g) du RGPD ; les traitements réalisés par les assureurs ne font malheureusement pas partie de la liste.

La possibilité subsistant est donc de collecter le consentement des personnes concernées, avec l’inconvénient que celui-ci pourra être retiré à tout moment.

Certains professionnels du secteur avancent une autre piste, qui est cependant exclusivement envisageable pour ce qui concerne les assurances de personnes : fonder le traitement de ce type de données personnelles sur le point b), de l’article 9 (2) du RGPD instaurant une exception à l’interdiction pour autant que l’on se situe dans le cadre de l’exécution des obligations en matière notamment de sécurité sociale et de protection sociale. Pour utiliser cette disposition, la « protection sociale » devrait être comprise comme englobant, de manière plus large, les assurances visant à mettre les assurés à l’abri des conséquences financières d’une maladie ou d’un accident.

Nous verrons quelles seront les évolutions à ce sujet.

Pour le surplus, il est utile de noter que l’article 9 de la loi belge du 30 juillet 2018 énumère des mesures supplémentaires à mettre en place par le responsable du traitement souhaitant traiter des données relatives à la santé : le responsable de traitement ou son sous-traitant devra ainsi établir une liste des (catégories de) personnes ayant accès à ces données avec une description précise de leur fonction, tenir cette liste à disposition de l’Autorité de protection des données et veiller à ce que ces personnes soient tenues à une obligation de confidentialité.