RGPD : les choix des assureurs en matière de DPO

L’entrée en application du règlement européen sur la protection des données (RGPD) le 25 mai 2018 a imposé à toutes les structures traitant à grande échelle des données sensibles la nomination d’un Data protection officer (DPO). Successeur du Correspondant informatiques et libertés (CIL), dont la nomination n’était elle pas obligatoire, le DPO a des fonctions élargies, et en particulier dans les assurances, qui traitent des données personnelles dont des données de santé. Ces dernières sont pour la première fois définies juridiquement et ne sont plus considérées comme des données médico administratives.

Cela implique de grands changements pour les assureurs et beaucoup d’obligations supplémentaires : la mise en place de procédures et mécanismes pour démontrer le respect des règles relatives à la protection des données (comme le droit à l’oubli et les demandes des clients sur le traitement de leurs données), la création d’une cartographie des traitements de données, la mise en place d’études d’impact dès que des données sensibles ou à grande échelles sont récoltées, le passage en revue de l’ensemble des prestataires pour contrôler leur conformité… “Il faut notamment passer au crible tous les services en ligne que l’on a développés, des applications de bien-être à la téléconsultation, nos opérateurs et nos projets en cours pour s’assurer de leur bonne qualification juridique et de leur conformité avec le RGPD”, explique Joris Berthaud, DPO d’Harmonie Mutuelle.

Pour mener tous ces chantiers, les assurances ont entamé de grandes réflexions sur leur organisation et leurs processus en matière de données.  “Les assureurs n’ont pas attendu le RGPD pour s’occuper de la protection des données. Le règlement a néanmoins a fait grand bruit et depuis 2016 et la date de publication du règlement, le niveau de maturité des entreprises a progressé”, constate Mireille Deshayes, adjointe au DPO de Groupama et membre de l’Association française des correspondants aux données personnelles. Harmonie Mutuelle a ainsi fait réaliser des audits dans trois domaines considérés comme critiques (l’assurance santé, la prévoyance et gestion de la relation client). Malakoff Médéric a elle mené un audit sur les traitements de données afin d’affiner les registres. À partir des premiers constats réalisés et des contours des chantiers à mener, les assureurs ont dû désigner un DPO et mettre en place une nouvelle organisation.

Des DPO aux profils variés

 Selon les recommandations de la CNIL, le DPO doit détenir “une expertise juridique et technique en matière de protection des données personnelles”, ainsi qu’“une bonne connaissance du secteur d’activité, de l’organisation interne, en particulier des opérations de traitements, des systèmes d’information, des besoins en matière de protection et de sécurité des données”. Chez Axa, le choix s’est porté sur celui qui occupait depuis 2007 la fonction de CIL, Jérôme Consigny. Informaticien d’origine, il était également directeur de la sécurité informatique et a été désigné DPO peu avant le 25 mai. “Avec ce mouvement, mon équipe, constituée de juristes et d’informaticiens, est passée de cinq à dix personnes, avec une vingtaine de correspondants dans l’entreprise”, indique aussi Jérôme Consigny. Groupama a lui aussi nommé son CIL comme DPO. Il dispose depuis sept ans d’une équipe de trois personnes, qui reste inchangée, et rattachée directement à la direction générale du groupe. Il dispose de 60 relais dans les filiales et directions du groupes, qui étaient eux aussi déjà en place depuis une dizaine d’années.

Malakoff Médéric a pour sa part opté pour un recrutement externe. Johanna Carvais-Palut est arrivée au sein du groupe dès août 2016, après avoir passé dix ans à la CNIL dont quatre comme responsable des labels. “Ils cherchaient un profil d’expert en protection des données. J’ai pour ma part un profil juridique, avec une forte appétence pour les nouvelles technologies”, explique-t-elle. Elle est rattachée à la direction de la conformité et des contrôles internes, elle-même chapeautée par la direction des risques. Son équipe compte deux salariés (un CDD et un CDI) aux profils juridiques “mais avec une vision business”, précise-t-elle.

Joris Berthaud d’Harmonie Mutuelle a été nommé en avril 2018. La mutuelle ne comptait pas de CIL. Jusqu’ici, c’était le service informatique qui passait au crible les projets et assurait les déclarations à la CNIL. Joris Berthaud a été juriste en droit des affaires dans des grands groupes industriels et de presse, avant de rejoindre il y a sept ans la direction juridique corporate d’Harmonie Mutuelle. La mutuelle membre du groupe Vyv a fait le choix d’avoir son propre DPO, et non celui proposé par le groupe Vyv et désigné par la plupart des mutuelles du groupe et de ses établissements de santé (lire notre étude de cas sur la mise en conformité au RGPD chez Vyv). “Avec la taille de notre structure, notre organisation propre en terme de système d’information et notre approche particulière de la relation client, nous avons préféré nommer un DPO interne, qui a une vision directe et opérationnelle de l’entreprise”, explique Joris Berthaud. La mutuelle a même fait de ce processus de mise en conformité un élément de communication, avec le lancement d’un dispositif de réflexion sur les données, impliquant les collaborateurs et les adhérents de la mutuelle.

Les sociétés ont pour obligation de garantir l’indépendance du DPO, qui ne doit “pas être en situation de conflit d’intérêt” et “pouvoir rendre compte de son action au plus haut niveau de la direction de l’organisme ”. Pour cela Jérôme Consigny est passé de la direction de la sécurité informatique au secrétariat général de l’entreprise. Il rapporte directement au secrétaire général d’Axa France, qui est également membre du comité exécutif. Chez Malakoff Mederic, la DPO Johanna Carvais-Palut rapporte à la directrice de la conformité et rencontre deux fois par an le comité exécutif pour parler de ses projet et dresser le bilan des six mois précédents. Joris Berthaud, DPO d’Harmonie Mutuelle, est lui rattaché à la direction engagement et coopération, dont la directrice est membre du comité de direction.

Des organisations basées sur des réseaux de “relais” DPO

 Depuis plusieurs années, Joris Berthaud fait également partie d’un groupe technique, composé du chief data officer du groupe, d’un juriste, du responsable conformité et du responsable sécurité des SI. “Ce groupe a permis de créer des conditions favorables à une démarche de maîtrise des risques et de vigilance sur les sujets de données” affirme-t-il. C’est aujourd’hui ce même groupe qui est à la manoeuvre pour former un groupe “projet”. Pendant un an, il sera chargé de déployer un plan d’actions composés de cinq thématiques : la conformité, le droit des personnes et le consentement, l’accompagnement au changement, la sous-traitance et les partenariats, et enfin la sécurité et l’infrastructure. Ces thématiques se déclinent en 17 chantiers, comme la mise en place d’une méthode organisationnelle, la réalisation d’une cartographie des traitements ou l’instauration d’un plan de contrôle permanent. “C’est à l’issue de cette démarche projet d’un an qu’Harmonie Mutuelle identifiera qui seront ses relais DPO au sein du groupe de 1 400 personnes et à quels niveaux de l’organigramme se situeront-ils”, explique Joris Berthaud.

Dans d’autres assurances, cette organisation est déjà arrêtée. Chez Malakoff Médéric, elle est en place depuis début 2018. 28 relais DPO ont été nommés au sein des directions métiers, au support et dans certaines filiales. Ils ont reçu une formation de deux jours sur la protection des données et exercent cette fonction en plus de leur métier. “Nous les rencontrons deux heures tous les trois mois dans des ateliers. Ces relais permettent aux collaborateurs d’avoir un interlocuteur identifié, plus proche et réactif. Il prend les demandes de premier niveau et nous sollicite s’il n’a pas les connaissances nécessaires”, détaille Johanna Carvais-Palut. L’équipe du DPO et ses relais sont chargés de mener cinq chantiers : la gouvernance (formation du personnel, guides internes…), le BtoC (traçabilité du consentement, mise à jour des contrats clients…), les relations avec les tiers (contrats avec les fournisseurs, les courtiers…), la responsabilisation et l’accountability (inclusion de la mise en conformité au sein des projets, fiches de travail, mise en place d’outils de pilotage de la conformité…) et la notification des violations de données. Le budget total n’est pas communiqué, mais il se divise en deux parties : un dédié au projet (pris sur le budget projet) et un budget pour le récurrent, dépendant des évolutions inscrites sur la feuille de route « privacy » chaque année.

Axa a lui aussi fait le choix de n’avoir qu’un seul DPO, entouré d’une vingtaine de correspondants, répartis dans les filiales. Dans les plus importantes, ils exercent cette fonction à temps plein. Aux côtés de l’équipe du DPO, ils ont notamment mis en place un programme de vérification de la conformité à travers 13 chantiers, ainsi qu’un travail de sensibilisation et de formation. “L’arrivée du RGPD a créé une vague de demandes de droits d’accès et d’opposition qui nous a un peu surpris, qui nous a conduit à parfaire notre organisation”, explique Jérôme Consigny.

Des processus d’évaluation mis en place

L’organisation n’est d’ailleurs pas encore totalement figée, Axa a mis en place des indicateurs de performance et des tableaux de bord pour l’évaluer au fur et à mesure. “Les principaux indicateurs sont le nombre de dossiers traités, le nombre d’études d’impact, le respect des délais sur les demandes d’accès ou d’opposition, le nombre de personnes formées,…”, liste Jérôme Consigny. Des contrôles de conformité sont aussi mis en place, branche par branche. Harmonie Mutuelle évaluera pour sa part son organisation au bout d’un an, mais n’en a pas encore défini les critères. Malakoff Médéric jugera lui de la réussite de ses processus en fonction du nombre de créations de passeports sécurité privacy (documents que doivent remplir les métiers pour tout nouveau projet, garantissant l’intégration du “privacy by design”), le nombre de sollicitations par les collaborateurs et le nombre de projets intégrant les préconisations de la DPO. “L’organisation doit évidemment être éprouvée et revue tous les ans pour trouver des pistes d’amélioration”, affirme Johanna Carvais-Palut.