Back to top

RGDP : Mieux protéger les données personnelles

21/06/2018 Expertise

Le secteur de l’assurance est concerné au premier chef par le règlement européen sur la protection des données personnelles qui est entré en vigueur le 25 mai 2018. Il collecte, traite et conserve quantité de données personnelles de toutes natures.

Dans les pays de l’Union européenne, le Règlement Général pour la Protection des Données (RGPD) renforce les pouvoirs des citoyens pour contrôler leurs données personnelles.

Dans le domaine de l’assurance comme ailleurs, les entreprises publiques et privées ne seront pas toutes en conformité avec ce règlement à la fin mai. Lors des 26èmes Rencontres du Risk Management de l’Amrae, en février 2018, seulement 42 % des participants à l’atelier sur le RGDP ont répondu que leur organisation serait prête à l’appliquer. Les résultats de ce sondage (une cinquantaine de répondants) corroborent ceux de l’enquête Optimind Winter auprès de banques, assureurs et mutuelles en septembre 2017 : 46 % n’avaient pas encore commencé à travailler sur le sujet. Il est vrai qu’aucun assureur ni aucune mutuelle ne le découvre totalement. Le RGDP entérine un certain nombre de mesures existantes pour la protection des données, avec lesquelles la profession est déjà en conformité, mais il la renforce de plusieurs façons.

Le RGDP définit la donnée personnelle comme « toute information se rapportant à une personne physique identifiée ou identifiable ».

Autrement dit, ce peut être une donnée nominative, tout aussi bien qu’un numéro personnel, ou un ensemble d’éléments caractérisant l’individu et permettant de l’identifier. Le règlement protège ainsi largement toute personne résidant au sein de l’Union européenne, et ce quel que soit le responsable du traitement des données. Il établit, en effet, la coresponsabilité des différents acteurs de l’usage et de la protection des données, y compris les soustraitants. Chacun doit pouvoir démontrer qu’il respecte toutes les obligations légales lui incombant. Chacun doit être en mesure de prouver que les données sont traitées de manière licite, loyale et transparente, à des fins précises et légitimes, et qu’elles sont collectées et conservées dans la limite du strict nécessaire, préservées de toute atteinte à leur intégrité et leur confidentialité.

En cas de violation des données personnelles, le RGDP impose une notification obligatoire à l’Autorité de contrôle dans les 72 heures suivant la constatation de l’événement, et dans les meilleurs délais aux personnes concernées. Une surveillance permanente de la sécurité des données devient indispensable. Plusieurs outils de la CNIL aident à mettre en place une gestion du risque conforme au RGDP.

L’UNMI propose son assistance juridique

« Le RGDP est indispensable pour que les entreprises mettent à jour leurs systèmes de protection des données, et formalisent tous leurs traitements, en particulier lors du recueil du consentement des personnes à la souscription ou la mise à jour des contrats. » Charles Weisse, Directeur des systèmes d’information et Goreti Teixeira, Responsable juridique de l’UNMI

L’UNMI est en conformité avec le RGDP pour son entrée en vigueur le 25 mai. Son responsable du traitement des données à caractère personnel peut démontrer qu’elle respecte toutes ses obligations. Inventaire et cartographie, analyse d’impacts, prévention du risque, rédaction des procédures internes… Seule la mise à jour de la documentation externe n'est pas achevée car elle doit intégrer les conséquences d’autres réformes, notamment la directive européenne sur la distribution d’assurance.

L’UNMI est également prête à accompagner les mutuelles qui auront besoin d’assistance sur le plan juridique. En effet, la protection des données à caractère personnel n’est pas une nouveauté pour elles, mais l’obligation de formaliser et tracer leur collecte et leur traitement change beaucoup.

 

Sources :
Règlement (UE) 2016/679 adopté le 27 avril 2016 pour une entrée en application le 25 mai 2018
Les réformes réglementaires récentes et à venir, Optimind, septembre 2017
Se préparer au règlement Européen, Les outils permettant de clarifier et de rendre pleinement opératoires les nouvelles règles européennes, CNIL