Gérer des données personnelles en 2018

Par - Publié le

,

,

,

Deux ans ne seront pas de trop pour que les assureurs s’approprient le vaste règlement européen sur la protection des données à caractère personnel.


iStock

Jusqu’à 4 % du chiffre d’affai­res annuel mondial. Le nouveau règlement euro­péen sur la protection des données à caractère personnel (voir ci-dessous) ne badine pas avec les sanctions encourues par les entreprises qui négligeraient ses préceptes. Adopté le 14 avril 2016 par le Parlement européen, le GDPR (General data protection regulation) est l’aboutissement d’un long travail législatif qui a débuté en 2012 et qui fut émaillé de rudes négociations entre les États membres. Et pour cause, le règlement d’application directe en mai 2018 entend pallier au principal défaut de la direc­tive européenne de 1995 : l’hétérogénéité de son application en Europe, sans omettre son obsolescence à l’heure du tout numérique. Le texte, fort de ses 99 articles, met la protection des données des citoyens européens au cœur de ses préoccupations. Pour cela, il renforce et déploie de nouveaux droits : la portabilité qui offre la possibilité de transférer ses données personnelles d’un fournisseur de services à un autre ; le droit à la limitation du traitement ; ou encore celui à l’effa­cement des données – le fameux droit à l’oubli – si inconfor­table pour Google, par exemple. Au cœur de cette mécanique de protection, on trouve le consentement et l’information du citoyen et des obligations nouvelles pour les entreprises. Quid des assureurs dans ce vaste champ réglementaire ?

De l’organisation et des processus

Les assureurs, une fois n’est pas coutume, peuvent se vanter d’avoir été précurseurs sur la théma­tique de la protection des données personnelles. Il est vrai qu’elles sont au cœur de leur métier : la connaissance des risques de leurs assurés passe par là. Alors, courant 2014, ils ont obtenu, en collaborant étroitement avec la Commission nationa­le de l’informatique et des libertés (Cnil), un « pack conformité » (voir ci-contre). Composé de cinq normes ce pack permet à la profes­sion de traiter sereinement les données en matière de fraude à l’assurance, d’infractions péna­les, celles du Répertoire national d’identification des personnes physiques (RNIPP) et du Numéro d’inscription au répertoire (NIR), ainsi que les données utiles à leur gestion commerciale des clients et des contrats. En 2012, la question s’était posée de savoir s’il fallait attendre le règlement européen. La profession avait préféré avancer sur ces sujets délicats qui ne permettaient plus d’attendre en termes de business. À raison d’ailleurs, puisque les assureurs ont gagné 4 ans, au regard de l’application du règlement en mai 2018. Cependant, ce ne sera pas suffisant. Ce pack devra être révisé pour accueillir les droits nouvellement créés et les procédures qui devront les accompagner. C’est prévu, grâce au Club conformité qu’ils ont créé avec la Cnil.

Pour les organismes d’assurance, le chantier promet d’être conséquent. « Le règlement européen impose surtout aux assureurs de revoir en profondeur leurs organisation et processus de contrôle interne. Cette évolution devra notamment intégrer les obligations de nommer un délégué à la protection des données, de tenir un registre des traitements de données en fonction de leur utilisation ou encore le renforcement du contrôle des sous-traitants », explique Philippe Poiget, directeur juridique et fiscal à la Fédération française des sociétés d’assurances (FFSA). À l’instar d’un dossier comme Solvabilité 2, la profession devra ainsi montrer patte blanche par la production d’une politique écrite (le registre de traitement) et intégrer une cinquième « quasi » fonction clé : le délégué à la protection des données. L’audit de ses propres risques cyber en quelque sorte... « Le nouveau régi­me juridique repose sur un systè­me d’évaluation et non plus d’autorisation, ce qui exige que les assureurs soient en mesure d’auto-évaluer leurs pratiques sous peine de sanctions », précise Philippe Poiget. Une exigence renforcée lorsque les données sont considérées sensibles par le règlement, comme celles qui s’attachent à la santé des assurés. Un sujet qui a déjà suscité une première polémi­que, suite à la publication du règle­ment, entre les opticiens de la Fnof et les plateformes de santé (voir l’interview ci-dessus).

Deux ans ne seront pas de trop pour mener à bien ce nouveau grand chantier de mise en conformité. D’autant que la Cnil européenne, le G29 désormais futur Comité européen de la protection des données (CEPD) en passe d’être créé, doit encore préciser par ses interprétations le texte du 14 avril 2016.

Les données à caractère personnel
Ce sont toutes les informations se rapportant à une personne physique identifiée ou identifiable. Selon le règlement l’identification est possible par : un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, un ou plusieurs éléments spécifiques propres à l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

LE PACK CONFORMITÉ DE 2014

  • Les autorisations uniques (AU) servent à définir le régime juridique applicable aux fichiers ou traitements de données personnelles sensibles ou à risques, qui visent une même finalité et des catégories de données et de destinataires identiques.
     
  • Le pack assurances en contient trois :
  •  AU du 17 juillet 2014 Lutte contre la fraude à l’assurance.
  • AU du 23 janvier 2014 Infractions, condamnations ou mesures de sûreté ;
  •  AU du 23 janvier 2014 Répertoire national d’identification des personnes physiques (RNIPP) et Numéro d’inscription au répertoire (NIR).

    Les normes simplifiées (NS) servent à définir le régime juridique applicable aux fichiers ou traitements de données personnelles courants qui ne portent pas atteinte à la vie privée ou aux libertés. Le pack assurances en contient deux en date du 11 juillet 2013 :
  • NS sur la gestion commerciale de clients et de prospects ;
  • NS sur la passation, la gestion et l’exécution des contrats.

 

Une nouvelle échelle des sanctions

  • Après 2018
    Jusqu’à 20 M€ ou 4 % du CA annuel mondial En cas de violation des « principes de base d’un traitement ».
    10 M€ ou 2% du CA annuel mondial
    En cas de manquement au processus garantissant la conformité des traitements.
  • Avant 2018
    150 000 € Le montant maximal de l’amende prévu par la loi informatique et liberté (I&L).
    300 000 € ou 5 % du CA Le montant maximal de l’amende en cas de récidive dans les 5 ans (loi I&L).

 

Jean-François Tripodi, Directeur général, Carte Blanche Partenaires : « Le règlement européen conduit à séparer l’hébergement et le traitement des données personnelles »

  • Pourquoi vous êtes-vous immédiatement opposé aux propos d’Alain Gerbel (1), président de la Fédération nationale des opticiens de France (FNOF) qui, tout juste après la parution du règlement européen, a déclaré que les plateformes de santé ne seront plus en conformité ?
    Ma réaction a été immédiate dans la mesure où les propos de Monsieur Gerbel veulent faire croire que le fonctionnement des réseaux est illégal, son analyse est erronée, en particulier en ce qui concerne le consentement des patients sur le recueil de leurs données de santé, en tout cas chez Carte blanche Partenaires (CBP). Et cela, que ce soit ou non dans le cadre du règlement européen dont nous avons suivi pas à pas la rédaction. Monsieur Gerbel a depuis exclu CBP de ses incriminations... Je tiens à souligner que les plateformes de santé sont des organismes qui participent à la régulation des métiers de la santé. C’est en quelque sorte notre raison d’être et je ne peux qu’être favorable à cette formalisation de la réglementation.
  • Quels process avez-vous mis en place pour gérer les données de santé qui transitent chez vous ?
    Un gros chantier sur 2015 a consisté à externaliser les données chez un hébergeur de données de santé agréé. Même si le poids de cette gestion est financièrement et organisationnellement lourd, cette solution est un gage de sécurité donc de confiance. C’est l’avenir de notre métier. En effet, les contraintes imposées par le règlement européen pour le stockage des données personnelles conduisent, à mon sens, à séparer l’hébergement et le traitement, et amène le secteur de l’assurance de personnes à confier à des entreprises comme CBP la gestion des données personnelles de santé. Aujourd’hui nous sommes les seuls à le faire, et nous comptons bien en tirer un avantage concurrentiel y compris pour nos clients. De plus, je suis très serein sur la chaîne de transmission des données mise en oeuvre par CBP : recueil du consentement du patient à chaque acte, flux sécurisé, stockage externalisé HDS, extractions de statistiques à partir de données non réidentifiables. Ce dernier point étant particulièrement important autant pour les données issues de nos réseaux que pour le traitement du PMSI (2) comme le souligne la Drees (3).
  • Comment voyez-vous l’avenir de la donnée de santé ?
    Chez CBP nos valeurs nous conduisent à faire en sorte que les données ne permettent pas de réduire les droits des assuréspatients. Ce qui nous motive c’est la dimension service dont le développement nécessite le traitement des données de santé, le parcours de santé étant un axe principal. Dans cet exercice, il faut savoir se montrer prudent en visant une personnalisation des services, sans tomber dans l’excès que serait l’utilisation illégitime des données de santé. Avec 2 millions de nouvelles données disponibles par an, et le big data, c’est-à-dire les données exogènes, il nous faut comprendre le futur, qui sera l’analyse prédictive appliquée à la santé. C’est une mine d’or inépuisable pour la création de services de conseil et d’accompagnement, sans fin !
    1. Voir Acuité.fr et Opticien-presse.fr. 2. Programme de médicalisation des systèmes d’information. 3. Direction de la recherche, des études, de l’évaluation et des statistiques.
    Propos recueill is par J. S
    .

 



Effectuer une autre recherche

Rechercher

article extrait de l’argus de l’assurance

Tous les vendredis, l’information de référence
des institutionnels et des réseaux
 Contactez la rédaction
 Abonnez-vous