Legalize
← Texte en vigueur · Historique

Loi du 6 février 2025 portant modification de la loi modifiée du 7 décembre 2015 sur le secteur des assurances en vue d’insérer un chapitre 2ter relatif au traitement de données concernant la santé

Texte en vigueur a fecha 2025-02-06

Nous Henri, Grand-Duc de Luxembourg, Duc de Nassau,

Le Conseil d’État entendu ;

Vu l’adoption par la Chambre des Députés ;

Vu la décision de la Chambre des Députés du 22 janvier 2025 et celle du Conseil d’État du 4 février 2025 portant qu’il n’y a pas lieu à second vote ;

Avons ordonné et ordonnons :

Art. 1er.

À la partie 2, titre II, sous-titre II, de la loi modifiée du 7 décembre 2015 sur le secteur des assurances, il est inséré après l’article 181-2, un chapitre 2ter nouveau intitulé « Traitement de données concernant la santé », libellé comme suit :

« Chapitre 2ter

Traitement de données concernant la santé

Art. 181-3

Traitement de données concernant la santé

Conformément à l’article 9, paragraphe 2, lettre g), du règlement (UE) 2016/679, et au regard des motifs d’intérêt public importants, inhérents aux contrats d’assurance et de réassurance pour lesquels la santé de la personne concernée constitue un élément déterminant, le traitement de données concernant la santé, à l’exception de données génétiques, est licite lorsqu’il est nécessaire à l’exécution de mesures précontractuelles en matière d’assurance ou de réassurance ou à l’exécution d’un contrat d’assurance ou de réassurance sous réserve :

du respect des dispositions en matière de secret professionnel énoncées à l’article 300 ; de la mise en œuvre des mesures appropriées suivantes compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes concernées : la désignation d’un délégué à la protection des données ; la réalisation d’analyses d’impact conformément à l’article 35 du règlement (UE) 2016/679 ; l’anonymisation ou la pseudonymisation des données concernant la santé ou d’autres mesures de séparation fonctionnelle pour certaines opérations de traitement de données concernant la santé ; le chiffrement des données concernant la santé en transit, ainsi qu’une gestion des clés conformes à l’état de l’art ; la mise en place de restrictions d’accès aux données concernant la santé ; la mise en place de fichiers de journalisation qui permettent d’établir le motif, la date et l’heure de la consultation et l’identification de la personne qui a collecté, modifié ou supprimé les données concernant la santé ; la sensibilisation du personnel à la protection des données concernant la santé et au secret professionnel ; l’évaluation régulière de l’efficacité des mesures techniques et organisationnelles mises en place à travers un audit indépendant ; l’adoption de codes de conduite sectoriels tels que prévus à l’article 40 du règlement (UE) 2016/679 ; la mise en place d’une politique interne prévoyant notamment comment sont respectés les principes prévus à l’article 5 du règlement (UE) 2016/679.

Chaque responsable de traitement et, le cas échéant, chaque sous-traitant, doit documenter et justifier en interne l’exclusion, le cas échéant, d’une ou plusieurs des mesures énumérées à l’alinéa 1er, point 2, lettres a), b), c), h) et i). Cette documentation est tenue à la disposition de la Commission nationale pour la protection des données. En aucun cas, il ne peut être dérogé aux mesures énumérées à l’alinéa 1er, point 2, lettres d), e), f), g) et j). »

Art. 2.

L’annexe III, rubrique « Règlements », de la même loi, est complétée par l’alinéa suivant :

« « Règlement (UE) 2016/679 » : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ».

Mandons et ordonnons que la présente loi soit insérée au Journal officiel du Grand-Duché de Luxembourg pour être exécutée et observée par tous ceux que la chose concerne.

Le Ministre des Finances, Gilles Roth

Fait le 6 février 2025. Pour le Grand-Duc, Son Lieutenant-Représentant, Guillaume, Grand-Duc Héritier