La loi du 27 février 2018 «portant modification notamment de la loi modifiée du 7 décembre 2015 sur le secteur des assurances», effective depuis le 1er mars 2018 (JO du Grand-duché de Luxembourg du 1er mars 2018), fixe de nouveaux contours au secret des assurances (voir les nouvelles dispositions de l’article 300 de la loi modifiée du 7 décembre 2015). Ce nouveau régime a principalement pour objets (i) d’offrir la faculté pour les opérateurs financiers d’externaliser le traitement de leurs données à un prestataire de services intragroupe ou externe situé en dehors du Luxembourg en imposant dans ce cas un accord express du souscripteur, (ii) de tenir compte des changements qui ont eu lieu au fil du temps dans le marché des assurances et de l’émergence d’une digitalisation accrue. En l’état, le Commissariat aux assurances (CAA) n’a pas publié de lettre circulaire visant à préciser le nouveau régime applicable au secret professionnel dans le secteur des assurances.

Condition d’exercice de l’activité professionnelle (paragraphe 1). Sont visées par l’obligation au secret professionnel notamment (i) les compagnies d’assurances établies au Grand-duché de Luxembourg (soumises à la surveillance prudentielle du CAA), (ii) une succursale luxembourgeoise d’une compagnie d’assurances étrangère (soumise à la surveillance prudentielle d’une autorité de contrôle étrangère) au titre de leurs activités pratiquées soit au Grand-duché de Luxembourg, soit en régime de libre prestation de services dans un autre État de l’Union européenne. Ces nouvelles dispositions indiquent ainsi expressément qu’une succursale française d’une compagnie d’assurances luxembourgeoise ne serait pas soumise aux obligations relatives au secret professionnel.

Champ d’application des personnes soumises au secret professionnel (paragraphe 1). Au sein de ces entités concernées, (i) les administrateurs, (ii) les membres des organes directeurs et de surveillance, (iii) les dirigeants, (iv) les employés étaient déjà visés par l’ancien texte. S’ajoutent à cette liste les autres personnes qui sont «au service» des personnes physiques et morales visées par l’obligation. À la lettre, cet ajout semble viser les prestataires de services intervenant pour le compte d’une personne soumise à l’obligation.

Sanction (paragraphe 1). La révélation à des tiers d’informations couvertes par le secret professionnel reste punie par les peines prévues à l’article 458 du Code pénal – pas de changement.

Absence d’application du secret professionnel à la réassurance (paragraphe 1). La loi pose désormais expressément le principe selon lequel les dispositions relatives au secret professionnel ne s’appliquent pas aux entreprises de réassurance, ni à leurs dirigeants, ni aux dirigeants délégués, ni aux employés ou autres personnes au service de ces entités. Par exception, l’obligation s’applique quand ces entités exercent l’activité visée à l’article 269 pour une ou plusieurs entreprises d’assurances directes (prestataires agréés de services liés à la gouvernance d’entreprises d’assurance et de réassurance). Cette dernière règle existait déjà dans l’ancien texte.

Dérogations générales (paragraphe 2). Les dispositions du deuxième paragraphe restent en substance inchangées par rapport aux précédentes dispositions. Ainsi, l’obligation au secret n’existe pas si la révélation d’un renseignement est (i) autorisée ou imposée par ou en vertu d’une disposition légale, (ii) nécessaire dans le cadre de l’exécution de bonne foi des engagements découlant des contrats d’assurance, (iii) requise pour prévenir et réprimer la fraude à l’assurance. Il convient de rappeler que la deuxième dérogation générale a toujours été interprétée de manière restrictive, la communication d’informations personnelles tenant à l’exécution du contrat d’assurance s’entendant comme celle faite envers des experts intervenants, des avocats, des généalogistes.

Dérogations entre les personnes établies au Luxembourg, soumises à une surveillance prudentielle et liées par un contrat de services (paragraphe 2 bis). Les dispositions du paragraphe 2 bis sont totalement nouvelles et prévoient que «l’obligation au secret n’existe pas à l’égard des personnes établies au Luxembourg qui sont soumises à la surveillance prudentielle du CAA, de la CSSF ou de la BCE et qui sont tenues à une obligation de secret pénalement sanctionnée, dans la mesure où les renseignements communiqués à ces personnes sont fournis dans le cadre d’un contrat de services». Afin de bénéficier de cette dérogation, il conviendra de conclure un contrat de prestation de services, et le transfert d’informations nominatives doit être réalisé dans le cadre de l’exécution d’un contrat de prestation de service. Cette dérogation ne devrait pas être applicable à une succursale étrangère d’une compagnie d’assurance vie française.

Nouveau régime de la sous-traitance – accord exprès du souscripteur (paragraphe 2 bis al. 2). Ce nouveau régime ne s’applique pas dans la communication d’informations couvertes par le secret professionnel dans le cadre de contrat de prestation de service entre des entités établies au Luxembourg et soumises à une surveillance prudentielle luxembourgeoise. Les obligations relatives au secret professionnel ne s’appliquent pas non plus en cas d’accord exprès du souscripteur dès lors qu’un certain nombre de conditions sont satisfaites.

L’accord doit intervenir, soit conformément à la loi, soit selon les modalités d’information convenues entre les parties :

● par «conformément à la loi» : il convient d’entendre a priori selon les modalités prévues par la loi modifiée du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel et prochainement par les nouvelles dispositions résultant du règlement 016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (le «RGPD»). L’article 2-C de la loi du 2 août 2002 définit le consentement de la personne concernée comme «toute manifestation de volonté […] libre, spécifique et informée par laquelle la personne concernée […] accept[e] que les données à caractère personnel fassent l’objet d’un traitement»;

● par «modalités d’information convenues entre parties» : la loi ne précise pas ce qu’il convient d’entendre par cette formule. A priori, ce régime devrait permettre à l’assureur d’indiquer dans le cadre des dispositions contractuelles les modalités selon lesquelles le souscripteur sera informé des modifications tenant à la sous-traitance. À ce titre, il pourrait ainsi être convenu qu’une simple notification suffise à rendre opposables les modifications touchant à la sous-traitance.

Dans les deux cas, nous sommes d’avis que le consentement donné par le souscripteur se doit d’être exprès, ce qui devrait sous-tendre une signature du souscripteur suivant une information dédiée sur la sous-traitance. En conséquence, il ne devrait pas être possible de recourir à un système dit «opt-out» (système d’acception tacite à défaut d’opposition), pas plus que d’insérer les mentions nécessaires dans un ensemble de déclarations avec des objets différents suivies de la signature du souscripteur. Le régime imposé par le RGPD est en effet un régime contraignant en ce qui concerne le consentement donné par le souscripteur.

Dans le cadre de l’accord donné par le souscripteur, l’assureur sera tenu de communiquer des informations sur (i) les services faisant l’objet de la sous-traitance, (ii) le type de renseignements transmis dans le cadre de la sous-traitance, (iii) l’État d’établissement des entités prestataires des services sous-traités.

Par ailleurs, les sous-traitants doivent être soumis par la loi à une obligation de secret professionnel ou être liés par un accord de confidentialité. Ladite dérogation couvre les entités intervenant dans la sous-traitance, leurs employés ainsi que les prestataires de services intervenant pour le compte de ces sous-traitants (entités qui sont encore «au service»).

Ce nouveau régime présente des difficultés importantes au titre d’un stock de contrats d’assurance dès lors qu’il impliquerait une demande spécifique et expresse de toute compagnie d’assurances envers le souscripteur. Pire, si le souscripteur refuse de donner son accord, la sous-traitance auprès de prestataires de services en dehors du Luxembourg ne devrait pas être possible. Ces éléments militent pour que la sous-traitance vers des États tiers ne soit réservée qu’au titre des activités nouvelles, toute compagnie d’assurances disposant alors de la faculté discrétionnaire de refuser l’entrée en relation en cas de refus du souscripteur à donner son accord sur ladite sous-traitance.

Transmission aux autorités nationales et étrangères chargées de la surveillance prudentielle (paragraphe 3). Les nouvelles dispositions régissent les conditions de transmission des renseignements nécessaires à une autorité étrangère en vue de la surveillance prudentielle qui doit se faire par l’intermédiaire de l’entreprise mère ou de l’actionnaire compris dans cette même surveillance. Une communication directe étant autorisée dès lors que l’EIOPA, l’EBA, l’Autorité européenne des marchés financiers ou la BCE sont destinataires de ces informations.

Dérogation au profit des actionnaires (paragraphe 4). L’obligation au secret n’existe pas à l’égard des actionnaires dans la mesure où les renseignements communiqués à ces actionnaires ou associés sont strictement nécessaires (i) à l’évaluation des risques consolidés, (ii) au calcul de ratios prudentiels consolidés, (iii) à la gestion saine et prudente de l’entreprise. Dans l’ancien dispositif, la communication des informations était possible quand elle était nécessaire (pas strictement) uniquement à la gestion saine et prudente de l’entreprise. Le nouveau régime est donc plus restrictif dès lors que la communication doit être strictement nécessaire, les critères tenant à l’évaluation des risques consolidés et au calcul prudentiel doivent être réunis.

Dérogation au profit de l’organe interne de contrôle du groupe (paragraphe 4). Le nouveau régime prévoit que l’organe interne de contrôle du groupe bénéficie de l’accès, en cas de besoin, aux renseignements concernant des relations d’affaires déterminées, dans la mesure nécessaire à la gestion globale des risques juridiques et de réputation liés au blanchiment ou au financement du terrorisme au sens de la loi luxembourgeoise.

Dérogation au profit des réassureurs et coassureurs (paragraphe 5) dans la mesure où la connaissance précise de détails relatifs aux dossiers individuels leur est nécessaire pour faire une juste appréciation du risque et de les mettre en mesure de prendre et d’exécuter leurs engagements. Cette dérogation existante reste inchangée.

Dérogation au profit des conglomérats financiers (paragraphe 6). Cette dérogation existante reste inchangée.

Dérogation au profit des courtiers et sociétés de courtage luxembourgeois (paragraphe 7) pour ce qui concerne les informations confidentielles relatives aux contrats pour lesquels ces courtiers ont servi d’intermédiaires. Les preneurs d’assurance concernés peuvent cependant s’opposer à tout moment à la communication à leur courtier des informations concernant leurs contrats. Cette dérogation existante reste inchangée. Pour autant, le CAA exige en pratique un accord express du souscripteur donné à l’assureur (via un document spécifique) l’autorisant à communiquer à l’intermédiaire d’assurance des informations sur le contrat souscrit (même quand il s’agit de l’intermédiaire intervenu lors de la souscription).

Cumul des régimes (secret professionnel/protection du traitement des données à caractère personnel) (paragraphe 11). La loi du 28 février 2018 prévoit expressément et en substance que le régime applicable relatif au secret professionnel est «sans préjudice» de l’application des dispositions de la loi modifiée du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel. Ainsi, les deux régimes s’appliquent de par la loi luxembourgeoise de manière cumulative. Dès l’entrée en vigueur du RGPD, la référence à la loi de 2002 devra être comprise comme une référence audit RGPD. Le régime des sanctions en cas de manquement au RGPD devrait s’appliquer en particulier en cas de manquement au titre du consentement donné par le souscripteur, les sanctions envisagées par le RGPD étant significatives (voir les dispositions de l’article 83 qui prévoient une sanction financière pouvant aller jusqu’à 5% du chiffre d’affaires annuel de l’entité, les décisions de sanction de l’autorité luxembourgeoise compétente, la «CNPD», étant susceptibles de publication).