Article L135-3
Les entreprises d'assurance mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau élevé de sécurité ainsi que la protection des droits des personnes concernées. Elles s'assurent que les données à caractère personnel ne sont conservées que pendant une durée n'excédant pas celle strictement nécessaire au regard des finalités mentionnées à l'article L. 135-2 et que leur personnel, qui fait l'objet d'une habilitation spécifique, n'accède qu'aux données strictement nécessaires à ses missions. Les données à caractère personnel qui font l'objet d'un traitement autorisé en application du présent chapitre sont stockées exclusivement dans l'Espace économique européen, dans des conditions garantissant la protection des données contre tout accès par des autorités publiques d'Etats tiers non autorisé par le droit de l'Union européenne ou par la législation d'un Etat membre. Seuls des professionnels de santé et le personnel placé sous leur autorité chargé du contrôle médical ont accès, dans le cadre de leurs fonctions et pour la durée de celles-ci, aux données à caractère personnel relatives à la santé d'un assuré ou d'un ayant droit couvert par un contrat mentionné à l'article L. 135-1, lorsqu'elles sont associées au numéro de code d'une pathologie diagnostiquée. Le personnel de l'entreprise d'assurance est soumis au secret professionnel pour toutes les données à caractère personnel relatives à la santé ou pour toutes les données d'identification et de facturation mentionnées au même article L. 135-1.