#LuLex : Sous-traitance, données informatiques et secret professionnel – Vote de la réforme

By March 27, 2024 No Comments
philippe-logo

La Chambre a adopté ce 19 mars 2024 le projet de loi n°8184 dont l’objet principal porte sur la transposition de la directive (UE) 2021/2118 concernant l’assurance responsabilité civile automobile. Mais ce projet comporte également des dispositions visant à faciliter le recours à la sous-traitance pour les compagnies d’assurance.

1. Contexte et problématique

Les assureurs-vie sont confrontés à la problématique que les contrats conclus avec leurs clients le sont en général pour de très longues durées (vie entière, jusqu’à l’âge de le retraite, …) et qu’il n’est généralement (fonction du droit applicable à la police) pas possible de modifier les conditions contractuelles convenues en cours de contrat.

Or, l’environnement réglementaire et les techniques changent au fil du temps et il n’a évidemment pas été possible de prévoir, dans les années 1980 ou 1990, des évolutions aussi fondamentales comme la digitalisation, l’extension des obligations en matière de lutte contre le blanchiment d’argent, les nouvelles obligations en matière de contrats en déshérence, la communication d’informations aux autorités fiscales, etc.

Toutes ces évolutions impliquent le traitement, la centralisation et souvent le partage de données concernant les clients et leurs contrats. En outre, les compagnies d’assurance doivent souvent avoir recours, dans le cadre d’une sous-traitance (outsourcing), à des prestataires externes spécialisés pour faire face à l’ensemble de ces nouveaux défis.

Vu que le Luxembourg connaît cependant un régime de secret professionnel très strict applicable au secteur des assurances, une externalisation de données confidentielles concernant les clients et leurs contrats est par principe interdite (article 300 de la loi du 7 décembre 2015). Depuis la réforme du secret professionnel en 2018, le recours à la sous-traitance était censé être facilité. En simplifiant fortement, il est ainsi devenu possible de partager les données confidentielles :

    • avec des PSA, des PSF ou d’autres entités contrôlées par le CAA ou la CSSF (article 300(2bis) alinéa 1er) ;
    • ou alors avec d’autres tiers, pour autant que le client ait accepté le transfert des données et que le tiers soit lié par un engagement de confidentialité (article 300(2bis) alinéa 2).

Dans le cadre des contrats d’assurance vie précédemment conclus (le stock), l’obtention de cet accord du client s’avérait cependant un exercice extrêmement difficile, vu qu’il fallait contacter tous les clients individuellement et obtenir de chacun un accord explicite sur les modalités de partage de données avec des tiers. Or certaines personnes ne peuvent être retrouvées, d’autres ne répondent pas aux sollicitations, ou encore s’opposent éventuellement, ce qui risquait alors de bloquer complètement des projets – pourtant importants et souvent imposés par la réglementation – de sous-traitance, de digitalisation, de remédiation, etc.

En outre, en application de l’article 80 de la loi du 7 décembre 2015, les compagnies luxembourgeoises doivent constamment conserver leurs documents au Grand-Duché de Luxembourg, soit à leur siège d’opération, soit à tout autre endroit dûment notifié au CAA. De cette disposition, le CAA a traditionnellement tiré la doctrine que notamment toutes les données informatiques doivent être conservées physiquement au Luxembourg (sauf cas exceptionnels de stockage dans des data centers étrangers, sous forme cryptée, ne pouvant être consultées et décryptées que par la compagnie au Luxembourg).

Ce cadre légal constitue dès lors un frein considérable à la digitalisation et à l’implémentation des exigences réglementaires actuelles. Pour tenter de sortir au moins partiellement de cette impasse, le projet de loi n°8184 introduit deux nouvelles dispositions :

    •  une procédure pour l’obtention de l’accord des clients sur une sous-traitance ;
    • une possibilité de sous-traitance de la conservation de données informatiques.

2. Nouvelle procédure d’obtention de l’accord (présumé) du client sur une sous-traitance de données à des tiers non-PSA ou PSF

Un nouvel article 181-2 est introduit dans la loi du 7 décembre 2015 qui prévoit une procédure à respecter pour obtenir l’accord (éventuellement présumé) du client sur un partage des données avec des tiers en application de l’article 300(2bis) alinéa 2 dont question ci-avant.

Le champ d’application de cette nouvelle disposition est limité aux assurances vie (branches I, III et VI de l’annexe II à la loi du 7 décembre 2015). Pour l’assurance non-vie, la problématique n’est en effet pas la même, vu que ces contrats sont conclus pour des durées plus courtes et résiliables annuellement, de sorte que les assureurs ont pu, au fil du temps, faire évoluer leurs contrats aux nouvelles réalités et prévoir les clauses nécessaires pour permettre le recours à la sous-traitance.

En termes de droit transitoire, la nouvelle disposition ne s’applique qu’aux contrats d’assurance conclus avant l’entrée en vigueur de la loi. Autrement dit, ce nouvel article 181-2 ne permet qu’une opération de régularisation du stock, mais ne pourra plus être invoqué, dans 5, 10 ou 20 ans, pour inclure, dans les contrats conclus après l’entrée en vigueur de la loi, des cas de sous-traitance qui n’auraient aujourd’hui pas été envisagés et inclus dans les contrats tels que conclus actuellement.

A cet égard se pose d’ailleurs une question de non-discrimination, vu qu’il sera toujours possible, dans 10 ou 20 ans, d’appliquer une deuxième, une troisième, … fois la procédure de l’article 181-2 pour notifier de nouvelles sous-traitances dans le cadre des contrats conclus avant 2024, alors que cela ne sera pas possible pour les contrats conclus après l’entrée en vigueur de la loi.

La procédure à suivre par les assureurs se décompose en 4 temps :

    • Dans un premier temps, la compagnie doit informer le preneur d’assurance (la loi limite l’obligation au preneur d’assurance, il n’est donc pas nécessaire d’inclure les éventuels assurés ou bénéficiaires dans la communication) de son intention de sous-traiter des données confidentielles dans le cadre de l’article 300(2bis) alinéa 2 et inviter le preneur à marquer son accord sur celle-ci. Cette communication peut prendre n’importe quelle forme (courrier, courriel, via un portail client, etc.).
    • Si le preneur ne réagit pas à cette première communication, l’assureur doit lui adresser un courrier recommandé à la dernière adresse connue.
    •  En cas de nouveau silence du preneur, la compagnie doit procéder à des recherches complémentaires en vue de déterminer l’adresse actuelle du preneur et alors lui adresser un nouveau courrier recommandé, au plus tôt 3 mois après le premier.
    • Si le preneur ne réagit pas à ce deuxième courrier recommandé, alors après l’écoulement d’un délai de 3 mois, son accord sur la sous-traitance sera présumé.

La procédure est assez lourde et s’étale sur une période potentiellement assez longue (raisonnablement au moins 8 à 9 mois en pratique), mais elle a le mérite de pouvoir déboucher, au terme, sur un accord présumé de toutes les personnes qui n’auront pas réagi.

Il est évidemment vivement recommandé de bien documenter les recherches qui auront été entreprises en vue de déterminer l’adresse actuelle du preneur (étape 3).

La loi est muette sur le contenu de la communication au client. Elle précise seulement que le 2e courrier recommandé devra informer le preneur sur la demande, les conséquences de son silence et son droit de s’opposer à la demande. En combinant les exigences de l’article 300(2bis) alinéa 2 et du nouvel article 181-2, l’on peut sans doute conclure que toutes les communications aux preneurs d’assurance à cet égard incluront idéalement :

    • une information claire sur les sous-traitances envisagées ;
    • le type d’informations confidentielles qui seront transmises dans le cadre de la sous-traitance ;
    • les pays d’établissement des tiers prestataires des services sous-traités ;
    •  le fait que la compagnie sollicite l’accord du preneur sur cette sous-traitance ;
    •  le droit pour le preneur de s’y opposer ;
    •  et les conséquences de son silence au terme du processus (acceptation présumée).

Vu qu’il s’agit d’anticiper dès à présent les éventuelles sous-traitances futures, les compagnies ont tout à intérêt à formuler ces demandes de manière large, bien qu’il ne soit donc pas exclu de recourir plusieurs fois au mécanisme de l’article 181-2 et notamment de notifier à l’avenir d’autres sous-traitances conformément à cette procédure (mais uniquement pour les contrats conclus avant l’entrée en vigueur de la loi, cf. supra).

3. Nouvelle possibilité de sous-traitance de la conservation de données informatiques.

Si le principe de la conservation au Luxembourg prévu par l’article 80 de la loi du 7 décembre 2015 est maintenu, un nouvel alinéa 3 est introduit dans cet article pour prévoir une exception à ce principe.

En effet, il sera désormais possible de sous-traiter la conservation numérique des documents et des données y relatives, ainsi que leur traitement, à un prestataire tiers critique de services TIC établi au Luxembourg ou dans un autre État membre et soumis à la supervision d’une Autorité européenne de surveillance en application de l’article 31 du règlement (UE) 2022/2554.

La nouvelle exception vise donc :

    • la conservation numérique (et non pas l’archivage de documents papier) ;
    • y compris le traitement des documents et données numériques (ce n’est donc pas limité à juste du stockage ou de l’archivage ‘passif’).

Mais elle ne s’applique que si le prestataire réunit les conditions d’un prestataire tiers critique de services TIC au sens du règlement DORA, qu’il soit localisé au Luxembourg ou dans un autre Etat membre de l’Union.

Les travaux préparatoires précisent que cette exception « ne doit pas faire obstacle aux missions du CAA et à l’exercice de ses activités de surveillance » et que les assureurs « doivent ainsi rester dans la capacité de fournir au CAA sur demande et sans délai tous les documents et données qui sont utiles et nécessaires à l’exercice de la surveillance du CAA » (Projet de loi, Commentaire des articles, p. 41).

La mention dans les travaux préparatoires quant à l’articulation entre cette nouvelle exception et l’obligation de secret professionnel, est par contre plus sibylline : « En outre, il est important de préciser que l’obligation au secret prévue à l’article 300, paragraphe 1er, de la LSA, ne fait pas obstacle au recours à des prestataires tiers critiques de services TIC conformément au paragraphe 2 dudit article ». Faut-il en conclure que toute sous-traitance autorisée en application de l’article 80 alinéa 3 est d’office aussi possible en application de l’article 300 en s’affranchissant des conditions prévues à cet article, ou, au contraire, qu’il faut appliquer l’article 80 en conjonction avec les conditions de l’article 300 ? Dans ce dernier cas, la sous-traitance des données informatiques suivant l’article 80 alinéa 3 ne serait possible que si le prestataire tiers critique de services TIC est en même temps un PSA/PSF, ou alors si l’accord du client a été obtenu sur cette sous-traitance (le cas échéant en application de la nouvelle procédure prévue par l’article 181-2 détaillée ci-dessus).

Soulignons, avec la Chambre de commerce (Projet de loi, Avis de la Chambre de commerce, p. 8), qu’il s’agit ici d’une nouvelle possibilité de sous-traitance, qui vient s’ajouter aux possibilités existantes sous l’ancien régime, et non pas remplacer ou restreindre celles-ci.