Texte de la question
Mme Valérie Six attire l'attention de M. le secrétaire d'État auprès des ministres de l'économie, des finances et de la relance, et de la cohésion des territoires et des relations avec les collectivités territoriales, chargé de la transition numérique et des communications électroniques sur la durée de conservation des données de santé par les organismes d'assurance. En France, toute personne souhaitant obtenir un crédit doit souscrire à une assurance emprunteur. S'agissant des personnes présentant un risque aggravé de santé, elles ont l'obligation de fournir leurs données médicales. En cas de non-conclusion du contrat, l'organisme d'assurance est autorisé à conserver ces données durant cinq ans, délai correspondant au délai de prescription de l'action civile. Il n'y a pas d'obligation légale et c'est une autorisation de la Commission nationale de l'informatique et des libertés (CNIL). Ainsi, l'organisme d'assurance peut décider de conserver les données de santé pour une durée inférieure ou égale à cinq ans. Cette autorisation de la Commission nationale de l'informatique et des libertés paraît disproportionnée. Le droit à l'effacement des données médicales doit s'appliquer dans la mesure où les données médicales sont personnelles et ont été transmises dans un but précis : la conclusion d'un contrat d'assurance pour l'obtention d'un prêt. Afin de garantir le respect de la protection des données personnelles en matière de santé et le droit à l'effacement, elle lui demande quelles garanties il est prêt à mettre en œuvre.
Texte de la réponse
Le règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données constitue le texte de référence en matière de protection des données à caractère personnel en France. Il renforce et unifie la protection des données pour les individus au sein de l'Union européenne et ses dispositions sont directement applicables dans l'ensemble des 27 États membres de l'Union européenne depuis le 25 mai 2018. Comme le définit la CNIL, tout traitement de données personnelles doit répondre à un but précis. La finalité doit être déterminée, explicite et légitime, ce qui signifie que l'objectif poursuivi par le fichier doit notamment être clair et compréhensible. Le traitement des données ne doit traiter que des données pertinentes au regard de cette finalité, et elles ne peuvent être conservées que pour la durée nécessaire à son accomplissement. Dans le secteur de l'assurance, ces durées peuvent notamment dépendre de la conclusion du contrat ou de délais de prescription spécifiques. Ainsi, comme le souligne la CNIL [1] dans une fiche sur les durées de conservation des données personnelles de l'assurance, sont distingués les traitements de données réalisés en dehors de la conclusion d'un contrat d'assurance de ceux mis en œuvre dans le cadre de la signature puis de l'exécution d'un contrat. Ainsi, elle précise qu'en l'absence de conclusion du contrat d'assurance, dans le cadre de la gestion de la prospection, les données du prospect ne peuvent pas être conservées au-delà de 3 ans à compter de leur collecte ou du dernier contact émanant de la personne prospectée ; pour les données pouvant permettre la constatation, la défense ou l'exercice de droit en justice, elles peuvent être conservées pendant une durée maximale de 5 ans à compter de leur collecte ou du dernier contact émanant du cocontractant (cela en application du délai de prescription de droit commun prévu par l'article 2224 du code civil). Ces limitations dans le temps ne soustraient pas pour autant au droit des clients, sous réserve qu'elles ne servent pas à l'exploitation directe de leurs contrats en cours, mais aussi des personnes prospectées. Les assureurs sont dès lors tenus de transmettre aux clients qui en font la demande un fichier comprenant l'ensemble des données stockées, et doivent leur permettre de modifier facilement leurs données personnelles, voire de les supprimer, à leur demande. Ce dispositif apparait suffisant pour assurer le droit à l'effacement de ces informations. [1] Accessible via le lien suivant : Les durées de conservation des données du secteur de l'assurance | CNIL