The new law of 6 February 2025 amending the law of 7 December 2015 on the insurance sector creates a legal basis for the processing of health data in insurance matters.

This legislative change puts an end to the legal uncertainty which insurance companies have faced since the General Data Protection Regulation (GDPR) came into force in May 2018.

 Flashback

Prior to the GDPR, the law of 2 August 2002 on the protection of individuals with regard to the processing of personal data explicitly provided that insurance companies could process health data if they were subject to professional secrecy obligations.

At the time of the entry into force of the GDPR and the Luxembourg law of 1 August 2018 on the organisation of the National Commission for Data Protection and the implementation of the GDPR, the 2002 authorisation had not been taken up.

Since 2018, insurance companies have been placed in a delicate situation facing legal uncertainty in terms of processing their policyholders’ health data.

Under Article 9 of the GDPR [1], the processing of health data as sensitive data was prohibited, with certain exceptions [2].

Health data is defined very broadly as “ all data pertaining to the health status of a data subject which reveal information relating to the past, current or future physical or mental health status” [3].

Without a clear legal framework, insurance companies were finding it difficult to process the health data needed for underwriting and claims management. They had to navigate through various exceptions in the GDPR, which were not always clear or applicable.

Insurance companies often relied on their customers’ consent to process their health data [4], but this legal basis was far from adequate.

There are two major difficulties surrounding the use of consent:

• By basing the processing of personal data on consent, this implies that the policyholder has the option of withdrawing consent at any time [5]. The processing of health data is essential for the performance of a contract (life, health and accident insurance). If policyholders were to withdraw their consent during the term of their policy, the insurer would no longer have a legal basis for continuing to process their health data, which would jeopardise the proper management and compensation of the policy. This legal uncertainty is even more worrying given that the insurer must guarantee continuity of service and meet its contractual obligations in all circumstances.
• Under the GDPR, to be valid, the expression of consent must be genuinely free [6]. This implies that the data subject has a genuine choice to grant or refuse it, without pressure or imbalance of power. In practice, however, an insured person wishing to take out a life or health insurance policy, for example, can hardly avoid providing his/her health data, at the risk of being denied the policy. This relationship of dependence, where the policyholder needs cover, which can sometimes be compulsory or strongly recommended, and where the insurer has decision-making power, calls into question the real freedom of consent [7].

The absence of a national provision posed major problems of legal uncertainty, compliance with the GDPR, operational difficulties, and risks of non-compliance for insurance companies.

High-level summary of the new law

The new law aims to close this legal loophole, authorising insurers to process health data where it is essential for the conclusion or performance of an insurance contract. However, such processing remains subject to the provisions on professional secrecy set out in Article 300 of the amended law of 7 December 2015 on the insurance sector (LIS).

The new law introduces a new chapter to the LIS, explicitly legitimising the processing of health data by insurance companies, and giving the sector:

• an explicit and stable legal basis for data processing, specifically for pre-contractual measures and the performance of insurance contracts; and
• justification for the processing of health data for important public interest reasons inherent in insurance contracts, in which the health of the data subject is a determining factor [8].

In return, the law requires the implementation of the following strict data protection measures:

• Appointment of a Data Protection Officer (DPO);
• Carrying out Data Protection Impact Assessments (DPIA);
• Anonymisation or Pseudonymisation of Health Data;
• Encryption of data in transit;
• Restricting access to health data;
• Regular audits and adoption of sectoral codes of conduct.

This major change for the insurance sector will require businesses to update their data protection procedures and policies.

Our Insurance Department and the Media, Data, Technologies & IP Department are ready and available to analyse the practical impact of this law and to help you implement the necessary changes to ensure compliance.

[1] Article 9 of the GDPR.

[2] Article 9, paragraph 2 of the GDPR.

[3] Recital 35 GDPR; see also in this regard the CJEU judgment No C-21/23 of 4 October 2024 and the CJEU judgment No C-184/20 of 1 August 2022.

[4] Article 9(2)(a) of the GDPR.

[5] Article 7.3 of the GDPR.

[6] Article 4, point 11 of the GDPR.

[7] Article 29 Working Party – Guidelines on consent under Regulation 2016/679 p. 6.

[8] Article 181-3 of the amended law of 7 December 2015 on the insurance sector.

ASSURANCE – TRAITEMENT DES DONNEES DE SANTE – ENVIN UN CADRE LEGAL !

 La nouvelle loi du 6 février 2025 portant modification de la loi du 7 décembre 2015 sur le secteur des assurances crée une base légale pour les traitements des données de santé en matière d’assurance.

Cette modification législative met un terme à l’insécurité juridique dans laquelle se trouvaient les compagnies d’assurance depuis l’entrée en application du Règlement général sur la protection des données (RGPD) en mai 2018.

 Retour en arrière 

Avant le RGPD, la loi du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel prévoyait explicitement que les compagnies d’assurance pouvaient traiter des données de santé lorsqu’elles étaient soumises au secret professionnel.

Au moment de l’entrée en application du RGPD et de la loi luxembourgeoise du 1^er août 2018 portant organisation de la Commission nationale pour la protection des données et mise en œuvre du RGPD, l’autorisation de 2002 n’avait pas été reprise.

Depuis 2018, les sociétés d’assurance étaient dans une situation délicate d’insécurité juridique en traitant les données de santé de leurs assurés.

En effet, aux termes de l’article 9 du RGPD [1], le traitement des données de santé en tant que données sensibles était interdit, sauf exception [2].

Or, les données de santé sont définies de manière très large à savoir « l’ensemble des données se rapportant à l’état de santé d’une personne concernée qui révèlent des informations sur son état de santé physique ou mentale passé, présent ou futur » [3].

Sans cadre juridique clair, les compagnies d’assurance rencontraient des difficultés pour traiter les données de santé nécessaires à la souscription et à la gestion des sinistres. Elles devaient naviguer à travers diverses exceptions prévues par le RGPD, qui n’étaient pas toujours claires ou applicables.

Les compagnies d’assurance s’appuyaient souvent sur le consentement de leurs clients pour traiter leurs données de santé [4], cette base légale était loin d’être adéquate.

En effet, deux difficultés majeures entourent l’utilisation du consentement :

• En fondant un traitement de donnée personnelle sur le consentement, cela implique que l’assuré dispose de la faculté de retirer son consentement à tout moment [5]. Or, le traitement des données de santé est indispensable pour l’exécution d’un contrat (assurances vie, maladie, accident). Si l’assuré retire son consentement en cours de contrat, l’assureur n’aurait plus de base légale pour continuer à traiter ses données de santé, ce qui remettrait en cause la bonne gestion et l’indemnisation liées au contrat. Cette insécurité juridique est d’autant plus préoccupante que l’assureur doit garantir une continuité de service et répondre à ses obligations contractuelles en toutes circonstances.
• Aux termes du RGPD, pour être valable, l’expression du consentement doit être véritablement libre [6]. Cela implique que la personne concernée dispose d’un véritable choix de l’accorder ou de le refuser, sans pression ou déséquilibre de pouvoir. Or, en pratique, l’assuré qui souhaite souscrire une police d’assurance vie ou maladie, par exemple, peut difficilement se soustraire à la communication de ses données de santé, au risque de se voir refuser le contrat. Cette relation de dépendance, où l’assuré a besoin d’une couverture, parfois obligatoire ou fortement recommandée, et où l’assureur détient un pouvoir décisionnel, remet en question la réelle liberté de son consentement [7].

L’absence d’une disposition nationale posait des problèmes majeurs d’incertitude juridique, de conformité avec le RGPD, de difficultés opérationnelles et de risques de non-conformité pour les compagnies d’assurance.

Apports de la nouvelle loi 

La nouvelle loi vise à combler ce vide juridique, en autorisant les assureurs à traiter des données de santé lorsqu’elles sont indispensables à la conclusion ou à l’exécution d’un contrat d’assurance. Ce traitement demeure toutefois soumis aux dispositions en matière de secret professionnel énoncées à l’article 300 de la loi du 7 décembre 2015 sur le secteur des assurances (LSA).

La nouvelle loi introduit un nouveau chapitre (2ter) dans la LSA, légitimant explicitement le traitement des données de santé par les compagnies d’assurance, et conférant au secteur :

• Une base juridique explicite et stable pour le traitement des données, spécifiquement pour les mesures précontractuelles et l’exécution des contrats d’assurance.
• Le traitement des données de santé est justifié par des motifs d’intérêt public important, inhérents aux contrats d’assurance et pour lesquels la santé de la personne concernée constitue un élément déterminant [8].

En contrepartie, la loi impose la mise en œuvre de mesures strictes de protection des données, à savoir :

• Désignation d’un Délégué à la Protection des Données (DPO) ;
• Réalisation d’Analyses d’Impact sur la Protection des Données (AIPD) ;
• Anonymisation ou Pseudonymisation des Données de Santé ;
• Chiffrement des données en transit ;
• Restriction de l’accès aux données de santé ;
• Audits réguliers et adoption de codes de conduite sectoriels.

Cette modification majeure pour le secteur des Assurances va impliquer une mise à jour des procédures et politique de protection des données.

Nos équipes du département Assurance et du département Media, Data, Technologies & IP se tiennent à votre disposition pour analyser l’incidence concrète de cette loi et vous accompagner dans sa mise en œuvre pratique.

[1] Article 9 du RGPD.

[2] Article 9, paragraphe 2 du RGPD.

[3] Considérant 35 RGPD ; voir également en ce sens l’arrêt CJUE n° C-21/23 du 4 octobre 2024 et l’arrêt CJUE n° C‑184/20 du 1^er aout 2022.

[4] Article 9, paragraphe 2, point a) du RGPD.

[5] Article 7.3 du RGPD.

[6] Article 4, point 11 du RGPD.

[7] Groupe de travail « Article 29 » – Lignes directrices sur le consentement au sens du règlement 2016/679 p. 6.

[8] Article 181-3 de la loi modifiée du 7 décembre 2015 sur le secteur des assurances.