Le traitement des données de santé par les assureurs est un sujet complexe en raison de la réglementation du RGPD, qui interdit ce traitement sauf dans certains cas exceptionnels. Actuellement, en Belgique, seul le consentement explicite des assurés permet ce traitement, mais le consentement doit être « libre », ce qui peut être problématique. L’APD estime ainsi que le consentement n’est pas libre lorsqu’un refus entraîne des conséquences négatives pour l’assuré. Elle considère cependant que les assureurs ne portent pas la responsabilité de cette situation et appelle à une solution européenne coordonnée.
Le traitement des données de santé par les assureurs est un sujet délicat. En effet, de telles données appartiennent aux catégories particulières de données, au sens de l’article 9 du RGPD, qu’il est interdit de traiter à moins de pouvoir se prévaloir d’une des exceptions prévues par le deuxième paragraphe de cette disposition. Plusieurs de ces exceptions (voy. par exemple celle prévue pour les traitements “nécessaire[s] pour des motifs d’intérêt public important”, art. 9.2, g) requièrent l’intervention du législateur national pour encadrer le traitement des données. A défaut d’un tel cadre légal en Belgique, à l’heure actuelle, seul le consentement explicite de la personne concernée est susceptible de permettre à l’assureur de traiter des données de santé.
La difficulté est que le RGPD impose qu’un tel consentement soit “libre”. Or, en toute logique, l’assureur refusera de fournir sa garantie s’il ne peut pas accéder aux données de santé du bénéficiaire pour vérifier par exemple l’absence de fraude lors de la souscription du contrat d’assurance ou dans le cadre de la déclaration du sinistre.
Dans ce contexte, l’autorité française de protection des données (CNIL) estime qu’au regard de l’article 7.4 du RGPD, “le consentement pourrait être considéré comme libre à la condition que la collecte de catégories particulières de données soit ‘nécessaire à l’exécution d’un contrat auquel la personne concernée est partie’”. Outre que cela ne règle pas la situation dans laquelle la personne concernée n’est pas partie au contrat d’assurance, il faut également souligner que l’autorité belge de protection des données (APD) estime, pour sa part, que le recours au consentement pose problème: dans le cadre de la souscription d’une assurance solde restant dû, elle considère ainsi que “vu les conséquences négatives liées à la non-souscription de l’assurance […] en question, […] le consentement n’a pas été donné librement”. Si l’on peut imaginer que les caractéristiques propres de l’assurance solde restant dû – et notamment la réduction conditionnelle du taux de crédit et l’intérêt social de l’assurance qui protège les conjoints / héritiers – ont joué un rôle, il faut souligner que l’APD insiste sur le fait que dès que la personne concernée est susceptible de subir des conséquences négatives importantes si elles ne donne pas son consentement, ce dernier n’est pas libre. Or, le fait de ne pas pouvoir souscrire une assurance ou de ne pas pouvoir bénéficier de la garantie de l’assureur est toujours une “conséquence négative importante”.
L’APD souligne toutefois que cette violation du RGPD n’est pas imputable à l’assureur, dans la mesure où un cadre légal fait défaut en la matière. Elle s’abstient dès lors de sanctionner l’assureur et renvoie la balle au législateur, se référant à des initiatives d’autres Etats membres de l’UE comme les Pays-Bas. Elle appelle en particulier de ses vœux une solution coordonnée au niveau européen.
Dans ce contexte, il convient de mentionner le fait que le législateur luxembourgeois a, très récemment, adopté une loi encadrant le traitement des données de santé par les assureurs. Cette loi s’appuie sur l’article 9.2, g), du RGPD qui permet le traitement de données de santé pour des motifs d’intérêt public important (soit en l’espèce le fait que “l’assurance apporte à l’assuré la certitude qu’il sera indemnisé si c’est sur lui ou sur ses biens que le risque qui menace chacun de nous, individuellement aussi bien que collectivement se réalise”), à condition que ce traitement soit permis par le droit national et encadré par des mesures appropriées pour la sauvegarde des droits fondamentaux des personnes concernées.