Journées du courtage 2016

Journées du courtage 2016

precedent Suivant Dossier spécial courtiers 7 / 10

Courtiers, assurez avec les données de vos clients

Par - Publié le

,

,

,

,

,

Tous les courtiers manipulant des données à caractère personnel doivent respecter les règles de la loi informatique et libertés. En 2018, un nouveau règlement européen, qui prévoit des sanctions financières très importantes en cas de manquement à ces obligations, entrera en vigueur. L’occasion de se reposer les bonnes questions...


iStock
INTERVIEW  

Qu’est-ce qu’une donnée à caractère personnel ?

La définition précise est inscrite dans l’article 2 de la loi informatique et libertés. En résumé, toute information permettant d’identifier une personne directement ou indirectement, est une donnée à caractère personnel. Cela va donc bien au-delà du nom, du prénom, de la date de naissance d’un client ou d’un prospect. Un numéro de Sécurité sociale, l’immatriculation d’un véhicule, un numéro de carte bancaire, un régime marital, le nombre de personnes composant un foyer… sont concernés par cette loi. Avec l’évolution des technologies, la notion de données à caractère personnel s’élargit. Il est, en effet, de plus en plus facile de recouper plusieurs informations pour identifier une personne.

Quelles sont les données que l’on peut collecter ?

La Cnil a édicté des grands principes à respecter. Il y a d’abord la finalité : les données ne peuvent être collectées et traitées que pour un usage précis, défini à l’avance. Elles ne pourront être utilisées que pour cet usage. Il faut également respecter le principe de proportionnalité, c’est-à-dire ne demander que les informations qui sont réellement pertinentes et nécessaires pour le traitement. Si la situation familiale n’est pas utilisée dans ce traitement, elle ne doit pas être demandée. En fonction de la finalité de chaque fichier informatique, une durée de conservation doit être fixée. « Les durées de conservation sont souvent plus difficiles à gérer lorsque les données sont sous forme numérique plutôt que dans des dossiers papier. Pour ces derniers, en général on note dessus la date à laquel­le ils doivent être archivés ou détruits. Dans les dossiers informatisés, les données sont dispersées dans de nombreux répertoires, il y a différentes personnes qui les utilisent... », prévient Pierre Lederer, directeur juridique de Gras Savoye et membre de la commission juridique et fiscale de la CSCA (Chambre syndicale des courtiers d’assurance). Les personnes dont les données à caractère personnel ont été collectées doivent être informées de leur finalité, pouvoir accéder aux informations et les rectifier, si besoin.

A savoir

Dans la pratique, les courtiers doivent, notamment, se conformer à la norme simplifiée n° 16 (NS16) de la Cnil (délibération n° 2013-212 du 11 juillet 2013). Cet élément central du « pack assurance » couvre la plupart des situations rencontrées dans le monde de l’assurance et donc par les courtiers.

Quelles sont les règles en termes de sécurité et de confidentialité ?

Le responsable du traitement doit prendre les mesures qui assurent la sécurité et la confidentialité des données. Cependant, la notion de proportionnalité des mesures en fonction du risque présenté par les traitements et la taille de l’entreprise, évite aux petits courtiers de déployer des solutions trop comple­xes. C’est pourquoi, selon Pierre Lederer, mettre un identifiant et un mot de passe individuels et robustes pour bloquer l’accès au poste de travail, assurer une mise à jour régulièrement de l’anti virus, ne pas laisser des clés USB traîner et verrouiller les armoires tous les soirs peut suffire.

Quel sera l’impact du règlement européen qui sera appliqué en mai 2018 ?

Les fondamentaux ne changeront pas, mais ce règlement introduit le principe d’accountability. C’est-à-dire qu’il n’y aura plus besoin de déclarer les traitements effec­tués auprès de la Cnil, mais ces traitements devront être décrits dans un registre interne, et il faudra effectuer une analyse des risques permettant de démontrer qu’ils sont conformes. À partir d’une certaine taille, les entreprises devront aussi nommer un délégué à la protection des données (DPO). « Les courtiers devraient généralement être dispensés de cette obligation », souligne cependant Pierre Lederer. Avec ce nouveau règle­ment, les sanctions sont également alourdies : elles peuvent aller jusqu’à 20 M€ ou 4 % du chiffre d’affai­res annuel mondial. Ne pas être conforme va donc coûter cher...


precedent Suivant Dossier spécial courtiers 7 / 10


Effectuer une autre recherche

Rechercher