Le principe de minimisation et les traitements du NIR et des données de santé dans le secteur de l'assurance
Les données traitées dans le cadre d'un contrat d'assurance doivent être pertinentes et nécessaires au regard de l'objectif de celui-ci. En outre, les traitements du NIR et des données de santé doivent faire l’objet d’une vigilance particulière.
Principe de minimisation des données
Les responsables de traitement traitent les données d’identification, les données relatives à la gestion du contrat, à la situation familiale, à la situation économique, patrimoniale et financière, etc. uniquement lorsqu’elles sont pertinentes et strictement nécessaires au regard de l’objectif poursuivi par le traitement dans le cadre des deux ensembles de finalités :
- Premier ensemble de finalités : la passation, la gestion et l’exécution des contrats d’assurance ;
- Second ensemble de finalités : la prospection commerciale par les organismes d’assurance.
Par exemple, pour le premier ensemble de finalités, dans le cadre de la passation, la gestion ou l’exécution d’un contrat d’assurance complémentaire santé, les données relatives à la localisation du bien assuré ne sont pas nécessaires. À l’inverse, pour un contrat d’assurance habitation, le nombre de personnes dans le foyer et la situation familiale de la personne concernée peuvent être pertinentes.
Pour le second ensemble de finalités (pour la prospection commerciale de l’organisme d’assurance), les données sensibles ne sont pas nécessaires.
Outre l’application du principe de minimisation, les traitements de certaines catégories de données sont soumis à des restrictions particulières, telles que le NIR dont l’utilisation en dehors des cas d’usages visés par décret (par exemple dans le secteur de la santé ou le secteur social) est interdite.
C’est également le cas des données sensibles comme les données de santé, dont le traitement est en principe interdit, malgré certaines dérogations.
Traitement du numéro de sécurité sociale (NIR)
Toute utilisation du NIR dans un traitement de données personnelles doit être autorisée par un décret en Conseil d’État (en dehors des exceptions prévues par l’article 30 de la loi Informatique et Libertés, telles que les finalités de statistique publique, de recherche, ou de mise à disposition d’un téléservice).
Ces utilisations sont recensées dans le décret « cadre NIR » du 19 avril 2019 : le responsable de traitement doit vérifier que l’utilisation qu’il souhaite faire est prévue dans ce décret et qu’il est autorisé à en faire usage pour cette finalité.
Ainsi, le NIR peut être utilisé par les organismes d’assurance visés et dans les conditions prévues par le décret :
- dans le cadre de la protection sociale par les organismes chargés de la gestion de l'assurance maladie complémentaire ou de la retraite complémentaire (article 2, A, 1°, b) ;
- pour les finalités de passation, gestion et d’exécution des contrats d’assurance, de capitalisation, de réassurance ou pour leurs engagements de retraite (article 2, D, 15°) ;
- pour le prélèvement à la source (article 2, D, 5°) ;
- pour la recherche des assurés, des adhérents, des souscripteurs ou des bénéficiaires de contrats d'assurance sur la vie ou de bons ou contrats de capitalisation décédés (article 2, D, 8°) ;
- pour le respect des obligations relatives à la lutte contre le blanchiment de capitaux et le financement du terrorisme, et l'application des mesures de gel et des interdictions de mise à disposition prévues par le code monétaire et financier, uniquement dans l'hypothèse où le numéro d'inscription au répertoire national d'identification des personnes physiques figure sur les listes de gel des avoirs ou de sanctions financières (article 2, D, 11°), pour la lutte contre la fraude (article 2, D, 14°).
Traitement des données de santé
Le traitement de données de santé est en principe interdit, car il s’agit d’une catégorie particulière de données (encadrée par l’article 9 du RGPD). Cette interdiction n’est pas pour autant absolue puisqu’il existe un certain nombre de dérogations.
Contrats dans le champ de la protection sociale
Ainsi, le traitement de données de santé est possible lorsque que celui-ci est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit à la protection sociale. Dès lors, les organismes d’assurance pourront se prévaloir de cette exception pour les contrats relevant de ce périmètre (ex : contrats de complémentaire santé, contrats de prévoyance, retraite supplémentaire).
Contrats en dehors du champ de la protection sociale
Pour les contrats qui ne relèvent pas du champ de la protection sociale, le recueil d’un consentement explicite de la personne concernée sera requis (article 9.2.a du RGPD). Pour être valable, il doit être libre, éclairé, spécifique et univoque.
Le caractère libre du consentement doit faire l’objet d’une attention particulière dans le cas de l’exécution d’un contrat, y compris pour la fourniture d’un service : refuser de consentir à un traitement qui n’est pas nécessaire à l’exécution du contrat ne doit pas avoir de conséquence sur son exécution ou sur la prestation du service. Pour être libre, ce consentement doit donc porter sur des traitements nécessaires à l’exécution du contrat d’assurance.
Le consentement explicite pourra notamment permettre le traitement de données de santé dans le cadre de contrats ne relevant pas du domaine de la protection sociale, tels que l’assurance emprunteur ou la prévoyance individuelle.
Le traitement des données de santé est également possible dans certaines conditions pour la constatation, l’exercice ou la défense d’un droit en justice.
Attention au secret médical
En tout état de cause, outre la question de la base légale des traitements de données de santé, certaines données sont couvertes par le secret médical, et imposent alors la mise en place de mesures techniques et organisationnelles spécifiques pour assurer leur confidentialité.
Les textes de référence
- Décret n° 2019-341 du 19 avril 2019 relatif à la mise en œuvre de traitements comportant l'usage du NIR ou nécessitant la consultation de ce répertoire (Décret « cadre NIR ») - Légifrance
- Article 9 du RGPD (interdiction de traitement de données sensibles)
- Article 9.2.a du RGPD (consentement de la personne dans le cas d’un traitement de données sensibles)