• Contenus gratuits
  • Notre offre
Menu
  • Ressources
    • Toutes les ressources
  • Infos
    • Toutes les infos
  • Essentiels
    • Tous les essentiels
  • Analyses
    • Toutes les analyses
  • Data
    • Data
  • Newsletters
  • Profil
    • Je teste 15 jours
    • Je me connecte
  • Profil
    • Mon profil
    • Je me déconnecte
CLOSE

Accueil > Assurance > Nouveaux risques > RGPD : les assureurs encore en transition

RGPD : les assureurs encore en transition

Si le RGPD n’a pas constitué une nouveauté en soi pour les assureurs, déjà dotés pour la plupart d’un correspondant Informatique et libertés (CIL), il a tout de même imposé de tout tracer et formaliser. Un an après son entrée en vigueur, sa mise en application n’est ainsi pas terminée. Malakoff Médéric Humanis, Apicil, ViaSanté, Groupama et Harmonie Mutuelle ainsi que la Fédération française des assurances (FFA) ont accepté de dresser un premier bilan.

Par . Publié le 23 juillet 2019 à 17h19 - Mis à jour le 23 juillet 2019 à 17h19
  • Ressources

Assujettis comme toutes les entreprises au règlement général sur la protection des données (RGPD), les acteurs de l’assurance appartiennent à l’un des deux secteurs les plus concernés par les mises en demeure de la Commission nationale de l’informatique et des libertés (Cnil) en 2018. Ils étaient pourtant déjà soumis à des règles de confidentialité des données de santé et du secret médical, stipulées dans le pack de conformité “Assurance” élaboré avec les acteurs du secteur et édité en novembre 2014. Sorte de référentiel intégrant alors la loi Informatique et libertés. Un secteur que David Luponis, associé cybersécurité chez Mazars, cabinet d’audit et de conseil, qualifie même de “plutôt en avance sur le sujet”, à l’instar du secteur bancaire. Outre la nomination d’un DPO et l’élaboration d’un plan de conformité, où en est l’application effective du RGPD un an après son entrée en vigueur ? 

Une gouvernance renforcée

“La démarche RGPD s’est transformée petit à petit en gouvernance”, constate Joris Berthaud, responsable de la protection des données pour Harmonie Mutuelle. La mutuelle, membre de VYV, a fait le choix d’avoir son propre DPO et non celui proposé par le groupe et désigné par la plupart de ses mutuelles et établissements de santé. D’une équipe restreinte de cinq personnes début 2018, une dizaine de collaborateurs aujourd’hui oeuvrent au déploiement du plan de mise en conformité d’Harmonie Mutuelle. Un groupe projet que pilote et coordonne Joris Berthaud, selon les décisions d’un comité de pilotage.

L’équipe de Groupama s’est également renforcée depuis début 2019, passant de trois à quatre personnes. Stephan Dufois, DPO du groupe, ajoute travailler, sur la documentation, “avec des juristes spécialisés en protection des données personnelles et des stagiaires en 3e cycle de cursus juridiques” et indique disposer d’environ désormais 70 relais dans les filiales et directions contre 60 un an plus tôt. ViaSanté, la mutuelle du groupe AG2R La Mondiale, s’est adjoint les services, “pour quelques mois, d’un consultant à plein temps, notamment pour la mise en place du registre des traitements”, indique Tiphaine Bekic, sa DPO et responsable du domaine juridique et conformité. 

Apicil a aussi mis en place un comité de pilotage de son plan de conformité mais voit plutôt son équipe projet se réduire, une dizaine de relais montant en puissance dans les cinq entités du groupe : “l’équipe projet est actuellement limitée à trois-quatre personnes. Elle est en train de se déstaffer pour que les relais prennent davantage leur rôle, explique Pierre Belin, son RSSI et DPO. Nous avons conçu en interne des kits de conformité qui sont ensuite déployés dans les entités par ces relais, comme un kit sur les cookies, un autre sur les mentions d’information dans les formulaires web ou encore un kit sur les clauses RGPD en fonction des contrats”.

Les relais DPO de Malakoff Médéric Humanis sont également montés en compétence, indique Johanna Carvais-Palut, DPO groupe. Au nombre de 38 aujourd’hui contre moins de 30 fin 2018, ils se réunissent trimestriellement, bénéficient de formations ou d’ateliers pratiques, parfois en présence d’intervenants extérieurs, et font l’objet d’une lettre de mission “pour objectiver, si besoin, leur fonction : ce document permet aux managers de prendre en compte cette mission”. L’équipe protection des données compte, elle, six personnes. 

Une mise en conformité qui peut durer encore quelques années

Compte tenu de leur ampleur, les plans d’actions des assureurs ont pour la plupart été découpés en lots ou en chantiers, en tête desquels figurent naturellement, outre la gouvernance, la conformité juridique et l’accountability, le droit des personnes, l’accompagnement au changement, la sous-traitance et la sécurité, et qui embarquent les équipes RH, juridique et marketing. Car la liste des obligations du RGPD est longue.

En un an, ces chantiers n’ont pas pu tous aboutir chez certains assureurs. “Tous ont été lancés, ce qui constitue en soi un point positif, se félicite Joris Berthaud. Certaines tâches dépendent de mises en oeuvre plus longues. Soit parce qu’elles imposent des notions d’architecture techniques, soit parce qu’elles nécessitent une réflexion comme le chantier sur la durée de conservation des données. Comment, demain, allons-nous industrialiser ce genre de choses ? Il ne faut pas se précipiter”. 

“L’obligation de décrire tous les traitements mis en œuvre, de recenser les données détenues par l’organisme et de documenter tout ce qui a été mis en place pour se conformer au RGPD représente un travail colossal pour les assureurs”, confirme Elsa Malaty, avocate, collaboratrice senior au sein du cabinet Hughes Hubbard & Reed LLP.

Chez Harmonie Mutuelle, l’élaboration du registre des traitements est ainsi toujours en cours et les outils et méthodes du privacy by design sont en train d’être améliorés. Par ailleurs, “nous réalisons nos premières études d’impact ‘à blanc’, sur des dossiers existants, indique Joris Berthaud, pour évaluer la méthodologie et en faire une procédure pérenne demain”. La procédure de notification de violation de données est quant à elle commencée : “il reste à déterminer comment s’assurer de la remontée correcte et exhaustive des incidents”. Autres chantiers encore en cours : les procédures de gestion des droits des personnes (droits d’accès) et une procédure en cas de contrôle de la Cnil. 

“Les chantiers ont avancé mais sont toujours en cours” aussi chez Malakoff Médéric Humanis. “Nous avons pu finaliser toutes les procédures” et “plus de 90 % des contrats ont été mis à jour”, précise Johanna Carvais-Palut. Pour ce qui est de l’accountability, nous allons nous appuyer sur un outil édité par Lexagone, encore “en phase de chargement”. Le registre des traitements est bien avancé chez ViaSanté et certaines procédures concernant les exercices de droit des personnes sont encore en cours de rédaction. “Nous continuons à formaliser l’existant”, note Tiphaine Bekic.

Du côté de l’assureur lyonnais Apicil, la mise en oeuvre du RGPD est terminée aux yeux de Pierre Belin. “La construction des kits a été finalisée en début d’année et, depuis quelques mois, nous travaillons sur la transition entre le mode projet et le mode de fonctionnement”, explique-t-il. Un mode projet qui se clôture par une phase de contrôle : “nous sommes en train d’évaluer l’appropriation du déploiement des kits”.

“Créer une culture d’entreprise”

Sensibiliser les salariés a constitué un “élément structurant de la démarche” de Joris Berthaud (Harmonie Mutuelle). 2018 a principalement consisté en “diverses interventions internes pour présenter le RGPD, auprès du comité de la maîtrise des risques, du comité des ressources humaines (RH), de la direction informatique et du marketing sur des sujets plus ciblés. Depuis janvier 2019, le rythme a diminué mais nous allons les relancer fortement”. En octobre 2018, ont en outre été lancés deux modules de e-learning gamifiés à l’intention des collaborateurs, sur la sécurité informatique et le RGPD. Les taux de participation au 31 décembre 2018 se sont montés à plus d’un tiers des salariés sur chacun de ces deux modules non obligatoires.

“Ces deux modules ont été encapsulés dans un dispositif appelé Pass Data, indique Joris Berthaud, amené à être complété par un système de sensibilisation et de formation ciblé et orienté métier, en train d’être organisé, et des dispositifs d’information liés aux enjeux sociétaux des données personnelles, sous l’angle santé vu notre métier, pour le public.” Un plan d’actions piloté par les équipes RH de l’entreprise. “Si nous avons estimé chez Harmonie Mutuelle que nous devions vite sensibiliser tous les collaborateurs, sur la production de contenus une synergie se met en place avec le groupe VYV.”

En attendant, Joris Berthaud a le sentiment que l’appropriation n’est pas égale au sein d’Harmonie : “il y a ceux qui ont vu arriver le RGPD et l’ont pris en compte dans leur métier quasi nativement – j’ai reçu beaucoup de demandes d’accompagnement – et d’autres qui avaient moins connaissance du texte et parfois, peut-être par incompréhension, ont adopté la stratégie de l’autruche. Plus vous montez dans l’échelle de la hiérarchie, plus le RGPD a été nativement intégré”.

L’e-learning a été plébiscité comme outil de formation, permettant une large diffusion auprès des salariés. Apicil a rendu obligatoire le premier module et l’a assorti de formations en plénière et de quiz. ViaSanté a fait de celui de son groupe une présentation Powerpoint, mise à disposition sur l’Intranet, avec un quiz. L’objectif étant de sensibiliser chacun des collaborateurs. “C’est la clé pour créer une culture d’entreprise”, souligne Stephan Dufois. Groupama a aussi monté des modules spécifiques à des métiers plus sensibles, comme les équipes RH ou marketing et forme les équipes projets au privacy by design.

Tous prévoient une récurrence et voient ainsi des réflexes se développer, sans pour autant avoir atteint “une pleine conscience”, selon les termes de Pierre Belin (Apicil). Un “radiocouloir” a permis à Groupama de s’assurer d’“un niveau d’appropriation de la réglementation plutôt positif, bien que perfectible”. Malakoff Médéric Humanis est allé encore plus loin : outre un serious game, “le 25 mai 2018, nous avons distribué des crèmes solaires portant la mention ‘Protégez nos données comme vous protégez votre peau’. En 2019, ce fut un cache caméra : ‘Le GDPR est une opportunité d’assurer à nos clients une relation de confiance’.” Des éléments qui permettent d’aller à la rencontre des collaborateurs et qui ont fonctionné, commente Johanna Carvais-Palut.

Le recueil du consentement encore en chantier

Le consentement, déjà inscrit dans la loi Informatique et libertés mais renforcé par le RGPD, a constitué un vaste chantier pour les assureurs. Dans ces contrôles, la Cnil a d’ailleurs constaté que ces sociétés ont certes, “dans la majorité des cas, porté à la connaissance des prospects et des assurés les mentions d’information prévues par la loi Informatique et libertés” mais “une grande partie d’entre elles ne recueille pas de manière satisfaisante le consentement exprès des personnes pour le traitement de leurs données de santé”. Joris Berthaud (Harmonie Mutuelle) confirme le “fort enjeu” du sujet : “nous avons établi une base légale des traitements et des consentements, le RGPD imposant de s’assurer de la traçabilité et de la force probante du consentement. Nous sommes en train de mettre en place des outils de collecte et de retrait, avec un horodatage”.

L’extension du droit à l’information et les nouveaux droits de portabilité et de limitation des données ont quant à eux entraîné une mise à jour des mentions légales dans tous les contrats et sur tous les sites des entreprises. Harmonie Mutuelle a mis en ligne un onglet “données personnelles”, accédant à une page de FAQ, et ouvert “un point de contact unique”, accessible à l’adresse dpo@harmoniemutelle ou par courrier.

Malakoff Médéric Humanis “finalise la mise en place d’un système de gestion des consentements qui devrait être opérationnel d’ici la fin de l’année”. Johanna Carvais-Palut prévoit aussi la généralisation du formulaire de demande de l’exercice des droits, en ligne sur certains des sites du groupe. En revanche, ViaSanté, qui a publié sur son site sa politique en matière de RGPD, inspirée d’AG2R, a déjà ouvert une boîte mail où les demandes sont traitées quotidiennement. “Leur nombre n’est pas significatif rapporté au nombre d’adhérents. L’an dernier, nous n’avons reçu que quatre demandes d’opposition et une demande de suppression”, indique Tiphaine Bekic.

En revanche, Joris Berthaud note qu’“avant, la conformité gérait 5 à 10 demandes par an. Entre septembre et décembre 2018, j’en ai reçu 30. Aujourd’hui, c’est 30 demandes par mois”. De la demande de désabonnement à une communication commerciale à celle d’un effacement des données après un devis en ligne, en passant par une demande de droit d’accès à ses données pour alimenter un contentieux par exemple, tous ont constaté la forte sensibilisation des assurés au sujet du RGPD, appelant à la vigilance. 

Elsa Malaty (Hughes Hubbard & Reed LLP) rappelle qu’en 2019 “les contrôles de la Cnil porteront sur le respect des droits des personnes concernées. Elle vise principalement les nouvelles obligations du RGPD, donc le droit à la portabilité”. Parmi les points de difficulté relevés, elle cite le recueil du consentement appliqué aux objets connectés : “faut-il consentir au début, au moment de la souscription du contrat, ou à chaque évaluation du risque par l’objet connecté ?”

La durée de conservation des données pose encore question

À l’inventaire des données a dû être ajoutée une définition de la durée de conservation de ces données. Un point de préoccupation cité par tous les assureurs. “Ce sujet est le plus difficile, souligne Tiphaine Bekic (ViaSanté). Nous sommes en train d’en fixer la règle. Il nous faut identifier les durées selon la réglementation et prendre le point le plus long mais les points de départ ne sont pas les mêmes. Par exemple, un bulletin d’adhésion sera conservé tout le temps du contrat ainsi qu’une durée x une fois qu’il est résilié. Par contre, un relevé de prestations sera conservé seulement deux ans, en général. Pour supprimer automatiquement les données, notre système d’information va devoir être recalibré.”

“Un chantier conséquent” également pour Pierre Belin (Apicil). “Les logiciels coeur de métier sont en train d’évoluer, avec une vigilance sur l’archivage et la suppression des données.” David Luponis (Mazars) précise que cette durée est à déterminer par l’industriel sur la base de la Norme simplifiée 46 (NS-046) qui fixe les durées de conservation des données à trois ans après la fin du dernier échange ou fin de contrat. Dans le cadre de son registre des traitements, l’entreprise doit répondre à la question “combien de temps dois-je garder la donnée de mon client quand il est devenu un prospect ?”, sachant que dans les secteurs bancaire et assurantiel “ces délais tournent souvent autour de dix ans”. David Luponis ajoute que beaucoup d’entreprises, passé ces dix ans, “entament une phase d’anonymisation ou de pseudonymisation de la donnée pour qu’elle puisse continuer à vivre”.

Stephan Dufois indique que Groupama a fixé une durée variable, de cinq, dix, quinze ou vingt ans selon l’existence d’un sinistre à l’échéance du contrat, matériel ou corporel. “Cette durée peut parfois aller au-delà, selon les obligations légales.” Si les règles ont été déterminées, à la fois pour la partie assurance et pour la partie RH, le sujet “reste un problème : si nos archives papier était complètement gérées en ce sens, nos systèmes informatiques n’ont pas été conçus pour purger les données. Nous avons donc ouvert il y a un an et demi des chantiers pour mettre en place des systèmes de purge au sein de ces systèmes. C’est assez lourd et cela représente des budgets significatifs. Une roadmap a été déterminée et s’étalera dans le temps”.

Un investissement de 5 millions d’euros pour Groupama

Si des audits ont souvent été menés en amont pour déterminer un plan d’actions, se pose la question du contrôle de la bonne conformité au RGPD au fil de l’eau. Harmonie Mutuelle planche ainsi sur un “plan de contrôle permanent, indique Joris Berthaud. Comment demain, de manière permanente, allons-nous contrôler l’application du RGPD dans l’entreprise ?”. Des “points de contrôle” ont été définis auprès des prestataires par exemple mais un audit interne RGPD sera réalisé fin 2019.

Apicil a opté pour des contrôles annuels et Groupama parle d’“audits réguliers, en boucle, au sein des entreprises du groupe”. ViaSanté “essaie aussi de développer des audits, sur la mise en conformité, et intègre des points de contrôle dans son plan idoine. Un audit a par exemple été organisé l’an dernier, sur les cookies, permettant quelques rectifications, et le contre-audit s’est montré positif. Il faut réfléchir à en développer d’autres”. Tiphaine Bekic ajoute avoir “eu des audits par les commissaires aux comptes, qui ont intégré le RPGD”.

Enfin, le budget qu’a impliqué la mise en oeuvre du RGPD n’est “pas chiffrable en tant que tel” pour Harmonie Mutuelle. En termes d’équipes affectées au sujet, Joris Berthaud précise que des responsables de traitements métier, qui auront une délégation de pouvoir, sont en train d’être désignés. Pierre Belin (Apicil) indique seulement que le budget est “très conséquent” et Tiphaine Bekic que le RGPD “a un impact”. Seul Groupama avance un chiffre, bien qu’une évaluation budgétaire sera réalisée en fin d’année : “autour de 5 millions d’euros, sans intégrer le travail effectué dans chacune des entreprises du groupe”.

un nouveau pack assurance attendu pour fin 2019

Dans son bilan 2018, la Cnil fait état de “travaux en cours avec les représentants du secteur de l’assurance et notamment la Fédération française de l’assurance afin de parfaitement encadrer les pratiques du secteur”. Ce que Philippe Poiget, délégué général de la FFA, confirme : “nous sommes toujours en échange avec la Cnil sur un certain nombre de sujets et ces travaux se poursuivront tout au long de l’année pour que le Pack assurance de 2014 évolue. Notre objectif est d’essayer d’aboutir à la fin de l’année”. Il rappelle toutefois que le précédent Pack avait nécessité deux ans de travail. “C’est un long processus que de procéder à l’adaptation du Pack assurance au RGPD, souligne Philippe Poiget. Bien que la plupart des droits en matière de protection des données existaient déjà dans la loi de 1978, le règlement européen introduit une logique d’évaluation des risques et de conformité nécessitant d’importantes évolutions d’organisation.” Cela dit, “la Cnil considère que la conformité à ce Pack de 2014 présume pendant trois ans la conformité au RGPD, à compter du 25 mai 2018, date de son entrée en vigueur”. Une feuille de route “qui n’est pas contraignante, ajoute Elsa Malaty, avocate, collaboratrice senior au sein du cabinet Hughes Hubbard & Reed LLP. Mais, en cas de contrôle, la Cnil en tient compte”. Elle constate surtout qu’un an après l’entrée en vigueur du RGPD, “beaucoup de questions pratiques restent en suspens”. 


Pour consulter le tableau, cliquez sur l’image (PDF)

Ce contenu a été réalisé par la rédaction de mind Health, service d’information professionnelle consacré à la mutation des industries de santé.

  • données personnelles
  • protection des données
  • RGPD

Besoin d’informations complémentaires ?

Contactez Mind Research

le service d’études à la demande de mind

Découvrez nos contenus gratuitement et sans engagement pendant 15 jours J'en profite
  • Le groupe mind
  • Notre histoire
  • Notre équipe
  • Nos clients
  • Nos services
  • mind Media
  • mind Fintech
  • mind Health
  • mind Rh
  • mind Retail
  • mind Research
  • Les clubs
  • mind et vous
  • Présentation
  • Nous contacter
  • Vous abonner
  • A savoir
  • Mentions légales
  • CGU
  • CGV
  • CGV publicité
  • Politique des cookies
Tous droits réservés - Frontline MEDIA 2025