RGPD

RGPD et l’assurance : qu’est-ce qui va changer ?

Le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur le 25 mai prochain. D’ici là, les entreprises du secteur de l’assurance doivent, comme les autres, se mettre en conformité avec ses nouvelles exigences, lesquelles doivent assurer aux citoyens européens un meilleur respect de la confidentialité des informations cédées ou collectées. Mais qu’est-ce qui va changer ? Que conseille la CNIL, organisme de référence en France s’agissant de l’application du RGPD, aux assurances ? Décryptage.

Un « pack de conformité » appelé à évoluer

D’ici le 25 mai 2018, date de l’entrée en vigueur du RGPD, la CNIL a prévu de mettre à jour (et d’en proposer de nouveaux) ses packs de conformité. Premier concerné, le secteur de l’assurance. Il faut dire que ses entreprises collectent, chaque année, une masse considérable de données, qui permettent de créer des offres personnalisées, d’ajuster les tarifs, ou encore de suivre au mieux les évolutions du marché et des besoins !

Le pack de conformité dédié aux assurances proposé par la CNIL doit donc s’enrichir prochainement d’un versant RGPD, en plus du rappel des normes auxquelles ces entreprises sont soumises. Reste qu’il est possible, en étudiant les textes du nouveau Règlement Général sur la Protection des Données, d’en esquisser les contours — voire beaucoup plus.

Rappel : les droits de vos clients

Commençons par un petit rappel : quels sont les droits accordés à vos clients par le RGPD ? Les plus importants sont incontestablement les suivants. Ce sont ceux qui vont nécessiter une toute nouvelle approche de la gouvernance de l’information dans le secteur de l’assurance :

  • Le droit d’accès aux données ;
  • Le droit d’être informé sur le traitement des données utilisées ;
  • Le droit de rectification ;
  • Le droit d’opposition ;
  • Le droit de portabilité des données, dans certains cas (nous en reparlerons !) ;
  • Le droit à l’oubli.

Tous, comme le droit d’accès aux données par exemple, ne sont pas foncièrement nouveaux, puisque déjà inscrits dans la loi informatique et libertés de1978. Ceux qui existaient déjà sont néanmoins renforcés, réaffirmés et harmonisés au niveau européen. Ainsi, dans le secteur de l’assurance, il est indispensable de maîtriser (et d’être en mesure de communiquer) les informations suivantes : les données personnelles enregistrées, leur provenance, les noms et rôles des personnes autorisées à les utiliser, l’objectif et l’utilisation des données ainsi que leur lieu de conservation, et les personnes qui ont accès à ces données. L’article 18 du RGPD permet en effet à tout titulaire, passé ou actuel, d’un contrat d’assurance de recevoir une copie de ses données personnelles, le tout dans un format courant et lisible aisément. Mieux, ils peuvent même demander que celles-ci soient envoyées à un concurrent !

Assurance : comment être en conformité avec le RGPD ?

En tant qu’entreprise du secteur de l’assurance, vous ne pouvez pas prendre le risque de ne pas être en conformité avec les exigences du RGPD. S’y plier, c’est éviter un risque commercial (une sanction pourrait avoir de fâcheuses conséquences en termes d’images et de réputation) ainsi qu’un écueil financier non-négligeable — les amendes peuvent aller jusqu’à 20 000 000 €, ou 4 % du chiffre d’affaires mondial annuel (des deux, le montant le plus élevé sera retenu !).

Dès lors, la première étape pour respecter le RGPD est de nommer un DPO, pour Data Protection Officer (Délégué à la Protection des Données). Il aura pour mission de veiller au respect de la loi et à la mise en place de process à même de renforcer la transparence de votre entreprise. Il devra notamment s’assurer que vous serez, dès le mois de mai prochain, en mesure :

  • De regrouper tous les échanges avec les clients, quel que soient les points de contact utilisé par ces derniers (mail, téléphone, courrier, passage en agence…) au sein d’un même document ;
  • De démontrer que vos clients ont bien consenti à l’utilisation de leurs données personnelles ;
  • D’expliciter, en cas de contrôle institutionnel comme à la demande des clients, l’utilisation faite des données à caractère personnel ;
  • De mettre en place une véritable gouvernance de l’information, reposant sur la traçabilité documentaire, la sécurité du stockage et la réactivité.

Ce que recommande la CNIL

Le chantier de la mise en conformité au RGPD doit être mis en place progressivement. Ainsi, la CNIL recommande pour l’assurance comme pour les autres entreprises de mener 4 opérations principales. Tout d’abord, un volet organisationnel, avec désignation du DPO et de son positionnement hiérarchique, et mise en place de comités de pilotage. Ensuite, un chantier « risques et contrôles internes », permettant de faire le point sur les pratiques en cours et les éléments à corriger. Il devra être suivi du déploiement d’outils de gouvernance de l’information (accès, traçabilité, sécurité, communication…). Enfin, une étape de sensibilisation, en interne comme en externe, sur la nouvelle gouvernance de l’information, devra compléter la mise en œuvre du RGPD dans le secteur de l’assurance. La clé d’une mise en conformité plus sereine !

La mise en conformité aux exigences du RGPD n’est pas une option pour les entreprises du secteur de l’assurance.

Vous avez une question ? Vous pouvez directement m’envoyer un mail à jb.picard@everteam.com ou remplir notre formulaire de contact. Je tâcherais d’y répondre dans les plus brefs délais. Vous pouvez également vous inscrire à notre Matinale dédiée à la Gouvernance de l’Information qui aura lieu le 16 novembre à Paris et qui abordera notamment le thème du RGPD.