• Contenus gratuits
  • Notre offre
Menu
  • Ressources
    • Toutes les ressources
  • Infos
    • Toutes les infos
  • Essentiels
    • Tous les essentiels
  • Analyses
    • Toutes les analyses
  • Data
    • Data
  • Newsletters
  • Profil
    • Je teste 15 jours
    • Je me connecte
  • Profil
    • Mon profil
    • Je me déconnecte
CLOSE

Accueil > Assurance > Nouveaux risques > Règlement européen sur les données personnelles : quels enjeux et solutions pour les assureurs ?

Règlement européen sur les données personnelles : quels enjeux et solutions pour les assureurs ?

Isabelle Falque-Pierrotin, la présidente de la Cnil, demande aux entreprises d’être prêtes pour l’entrée en vigueur du règlement européen sur les données personnelles (GDPR) qui sera applicable à compter du 25 mai 2018. Reste à savoir comment des acteurs comme les assureurs qui gèrent des millions de données personnelles pourront être opérationnels à date tant les nouvelles règles restent complexes à mettre en oeuvre.

Par . Publié le 30 mars 2017 à 10h42 - Mis à jour le 30 mars 2017 à 10h42
  • Ressources

Le nouveau règlement européen sur la protection des données personnelles, GDPR (General Data Protection Regulation) instaure de nouvelles exigences beaucoup plus contraignantes pour les organisations avec de lourdes sanctions à la clé. Avec l’exploitation de volumes croissants de documents liés à la vie privée, dont certains extrêmement sensibles comme les registres médicaux, le secteur de l’assurance va devoir adapter sa gestion des données personnelles en termes de nouvelles ressources financières et humaines à mobiliser pour faire face à ce nouveau cadre réglementaire.

De nouvelles contraintes avec un impact opérationnel

Outre les dispositions déjà présentes dans la loi informatique et liberté du 6 janvier 1978 plusieurs fois réformée, le GDPR comporte des mesures qui obligent les organisations à modifier leurs modes de gouvernance et à refondre leurs systèmes  de sécurité. Ainsi elles devront s’engager dans une démarche de “privacy by design”. C’est-à-dire, incorporer des mesures techniques et organisationnelles de protection dès la conception du produit et service afin de se trouver en mesure démontrer la conformité au règlement. De plus  le client doit pouvoir bénéficier du plus haut niveau de protection possible, ce qu’on appelle “privacy by default”. Par exemple en cas d’utilisation de nouvelles technologies, la protection doit être activée par défaut. Un mécanisme d’auto-contrôle ou “accountability” au sein de la société est également requis L’entreprise doit aussi garantir la traçabilité de chaque opération.
 

L’autre nouveauté réside dans l’étude d’impact sur la vie privée (EIVP ou PIA) auquel est tenu le responsable de traitement. L’EIVP sera nécessaire pour tous les traitements de données sensibles à risque (santé, origine ethnique etc.) et de profilage. Lorsque le risque est élevé, le responsable devra obtenir l’aval de la Cnil.  

Désignation d’un DPO

La mise en place d’un DPO (Délégué à la protection des données) fait partie des nouvelles mesures phares du règlement. Il ne s’agit pas réellement d’une nouveauté pour les assureurs puisque la plupart d’entre eux possèdent un CIL (correspondant informatique et liberté). “Le rôle du DPO va bien au-delà de celui du CIL. Cela s’explique par l’étendue des obligations du responsable des traitements désormais tenu de documenter, démontrer la conformité des traitements (accountability) et de gérer les risques”, explique Florence Bonnet, directrice du cabinet d’expertise en protection des données CIL Consulting by TNP. “Alors que le GDPR devrait être un sujet prioritaire sur l’ordre du jour du COMEX, les CIL /DPO ont souvent le plus grand mal à sensibiliser la direction aux enjeux liés à la protection des données et à obtenir les ressources nécessaires. Il faudra sans doute attendre le prononcé et la publication des premières sanctions pour prendre la mesure de leur impact à la fois sur le plan financier et économique mais aussi sur la réputation de l’organisation”, estime Florence Bonnet.

Revoir la sécurité des systèmes

Le règlement exige également une déclaration des failles de sécurité de manière détaillée et documentées à l’autorité de contrôle (et au consommateur) “dans les meilleurs délais”, et si possible 72 heures au plus tard après la prise de connaissance de l’événement. Le nouveau droit à la portabilité des données risque également de compliquer la tâche au responsable de traitement car il permet à l’assuré de récupérer les données pour les transmettre à un tiers. “La portabilité représente un chantier de mise en conformité important car elle suppose l’intemporalité des systèmes pour les rendre compatibles”, décrit Isabelle Cantero, avocate associée au cabinet Caprioli. Par ailleurs, transférer les données hors de l’Union européenne nécessitera la mise en place de BCR (binding corporate rules), soit des règles contraignantes internes à l’entreprise, afin que ces données restent soumises au droit européen.

De lourdes sanctions

La confidentialité des données de santé traitées par les sociétés d’assurance fait partie des programmes de contrôle de la Cnil pour 2017. Ce qui signifie que le secteur des assurances doit s’activer pour éviter d’éventuelles sanctions. La pénalité prend un tournant spectaculaire avec le règlement européen. Le texte prévoit des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du CA annuel mondial, en cas de violation des « principes de base d’un traitement » et 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial, en cas de manquement au processus garantissant la conformité des traitements. “Quand on arrive à un tel niveau de sanction, la donnée collectée en dehors du cadre réglementaire perd de la valeur. Il sera important  de garantir le passif autour de la donnée”, fait remarquer Annabelle Richard, avocate au sein du cabinet Pinsent Mason. En définitive, avec des enjeux aussi élevés, l’application du règlement devrait s’imposer.

Des outils pour faire face aux nouvelles dispositions

Une chose est d’avoir à respecter des règles inédites, une autre est de trouver les moyens de le faire. “Avec une multiplicité des parties prenantes comme les clients et les sous-traitants, le règlement sera plus difficile à gérer pour les grosses structures. Outre les considérations juridiques, elles devront aussi prendre en compte les considérations métiers”, prévient Paul Olivier Gibert, président de l’AFCDP et ancien chargé de conformité chez AG2R. Consciente du problème, la Cnil  a élaboré un plan d’information et de communication structuré en vue d’aider les organisations à appréhender le règlement. S’agissant des assureurs, la révision du pack de conformité qui leur est dédié est en cours. Elle vient de publier une méthodologie en 6 étapes pour se préparer au règlement  : désigner un pilote, cartographier les traitements, prioriser les actions, gérer les risques, organiser les processus internes et les documenter. Par ailleurs, le G29, le groupe des CNIL européennes présidé par l’autorité française, a adopté des guidelines sur l’application du règlement.

Le point de vue d’Alain Pradaud, responsable de la politique de protection des données personnelles chez Allianz France
 
Allianz France a pris conscience de l’importante des DP depuis 2007 en nommant un responsable pour la protection des données personnelles. En 2013, le groupe Allianz a élaboré une politique de protection des données personnelles à destination de l’ensemble de ses filiales. Nous avons nommé un correspondant à la protection des données personnelles dans chacune de nos unités. C’est pour cette raison que nous avons été très réactifs dès la publication du règlement européen. En France nous avons aussitôt monté, en juin 2016, un projet suite au lancement de celui du groupe Allianz pour mettre en œuvre ce règlement.
 
Nous serons particulièrement vigilants dans l’application du règlement notamment pour les alertes à 72 heures des clients, des prospects ou collaborateurs et de la CNIL en cas de problème sur leurs données et la portabilité des données à la demande des personnes concernées. Suite à notre analyse d‘écart avec le règlement européen (Cap Analysis), nous avons déjà engagé plusieurs chantiers comme l’analyse d’impact de tout notre système informatique dont un plan d’action pour compléter l’effacement des données(droit à l’oubli). Par ailleurs, nous allons procéder à la numérisation de l’ensemble de nos documents papier dans une archive électronique faisant preuve. L’adoption d’un BCR pour les transferts de données entre filiales est également en cours . Nous nous sommes mis en ordre de marche pour être prêt en mai 2018. Avec nos 5,5 millions de clients, nous aurons un vrai défi à relever.

La certification entre dans le champ de la conformité

La certification reste un moyen de se mettre en conformité avec ses obligations en matière de protection des données. Le règlement oblige les organisations à labelliser leurs process. Actuellement la Cnil délivre quatre labels : audit de traitements, formations, gouvernance et coffre-fort. “Un label se traduit par un engagement à suivre un référentiel. Par conséquent, à adopter une bonne gouvernance qui représente un facteur de sécurité”, avance Paul-Olivier Gibert. Cependant, eu égard au champ étendu des nouvelles obligations, d’autres labels sont en cours de préparation. “Il conviendrait que des labels de référence paraissent avant le règlement afin de faciliter la mise en conformité aux organisations”, réclame Isabelle Cantero. En ce qui concerne la sécurité des systèmes, la norme  internationale ISO 27001 représente un gage de conformité. Par ailleurs les éditeurs de logiciels ont anticipé les changements et proposent désormais des outils conformes au GDPR.

Un calendrier difficilement tenable

“Le règlement ne peut souffrir d’aucun retard”, a prévenu Isabelle Falque-Pierrotin lors de la présentation du rapport d’activité 2016 de la Cnil le 27 mars dernier. Elle a ajouté que “les entreprises doivent absolument se mettre en marche”. Seulement, l’impossibilité pour elles d’être prêtes le 25 mai 2018 fait quasiment l’unanimité auprès des professionnels. La Cnil a néanmoins reconnu que le Medef lui avait signifié qu’à ce jour, seules 10% des entreprises sont susceptibles d’être opérationnelles en 2018. “Même si nous assistons à un changement d’attitude sur la protection des données personnelles, il sera difficile pour les organisations de se mettre totalement en conformité en mai 2018”, affirme Paul-Olivier Gibert. Pour autant, la Cnil veut croire que tout sera prêt en 2018. Elle a néanmoins concédé que pour les acteurs qui feront défaut en 2018, “nous adopterons une courbe de montée en charge en fonction de la taille de l’entreprise.”

La Cnil est en sous-effectif

L’organisation rencontre elle-même des difficultés quant à ses moyens d’action. Ainsi, elle a lancé un appel aux pouvoirs publics pour obtenir des ressources supplémentaires puisque le nouveau règlement renforce ses prérogatives, notamment en matière de notification des failles de sécurité. Elle réclame 16 postes supplémentaires sur un effectif de 192 agents. Ce qui paraît bien modeste comparé à l’autorité britannique l’ICO (Information Commissioner’s Office) qui, avec un effectif de 500 agents, en réclame 200 de plus pour faire face au règlement et assister convenablement les entreprises. Reste à se demander qui sera prêt en 2018 finalement, entre les entreprises et les autorités de contrôle.

Le point de vue de Daniel Linlaud, responsable de la sécurité du système d’information chez Henner
 
En tant que groupe international d’assurances de personnes, il était important pour nous de démontrer notre investissement dans la protection des données que nous traitons, notamment pour rassurer nos clients et partenaires. Nous avons donc décidé d’obtenir la norme ISO 27001 qui nous donne un cadre général et nous permet d’aborder d’autres référentiels qui s’appuient sur un même socle de base. Nous avons engagé des transformations pour être en conformité avec le règlement européen en 2018 en adoptant des BCR à travers l’instauration d’un code de conduite interne.
 
Au préalable, nous allons commencer par faire une revue exhaustive de ce qui a déjà été mis en place dans le cadre de la loi informatique et liberté. Ensuite, viendra la mise en oeuvre de notre registre d’activités et l’analyse de l’impact de nos traitements sous l’angle des risques pour l’assuré plutôt que pour notre entreprise. Nous comptons également renforcer le chiffrement et d’anonymisation des données. La responsabilisation de nos sous-traitants fait également partie de nos préoccupations. Nous allons également nommer un DPO.

 


Cliquez sur le tableau pour l’agrandir (fichier PDF)

 

  • protection des données

Besoin d’informations complémentaires ?

Contactez Mind Research

le service d’études à la demande de mind

Découvrez nos contenus gratuitement et sans engagement pendant 15 jours J'en profite
  • Le groupe mind
  • Notre histoire
  • Notre équipe
  • Nos clients
  • Nos services
  • mind Media
  • mind Fintech
  • mind Health
  • mind Rh
  • mind Retail
  • mind Research
  • Les clubs
  • mind et vous
  • Présentation
  • Nous contacter
  • Vous abonner
  • A savoir
  • Mentions légales
  • CGU
  • CGV
  • CGV publicité
  • Politique des cookies
Tous droits réservés - Frontline MEDIA 2025