[DOSSIER] RGPD 3/3

RGPD : comment Malakoff Médéric s'est mis en conformité

RGPD : comment Malakoff Médéric s'est mis en conformité
Johanna Carvais-Palut, responsable de la protection des données à caractère personnel chez Malakoff Médéric.

Malakoff Médéric travaille depuis plus d’un an à l’application du règlement européen sur la protection des données personnelles (RGPD). Johanna Carvais-Palut, responsable de la protection des données à caractère personnel, explique comment le groupe a mené ce projet.

Quand avez-vous engagé le chantier RGPD ?

J’ai été embauchée en août 2016 en tant que responsable de la protection des données, avec notamment pour objectif de mettre en conformité Malakoff Médéric avec le RGPD. La réflexion sur le sujet a eu lieu dès la fin de l’année 2016, avec la définition d’un projet, du nombre de chantiers ainsi que des responsables. Le projet en lui-même a débuté en février 2017. En mars de la même année, j’ai été désignée CIL (correspondante informatique et libertés) pour le groupe pour anticiper mon rôle de DPO (déléguée à la protection des données).

De quelle manière avez-vous traité le sujet ?

Nous avons raisonné par thématiques plus que par supports ou catégories de documents. Dans ce cadre, nous avons déterminé cinq chantiers principaux qui étaient les mêmes en phase de cadrage et de réalisation. Le premier chantier concerne la gouvernance, que l’on peut définir comme la manière de gérer les données personnelles en lien avec la direction de la data. À ce titre, on y retrouve tous les aspects des missions du DPO : la mise en place d’une filière de relais, la sensibilisation et la formation du personnel ainsi que le lancement d’un serious game (un e-learning un peu plus ludique). La mise à jour des politiques fait également partie de ce chantier, telles la réactualisation de la politique externe des données ou la création d’une politique interne (guide de bonne conduite).

Quels sont les quatre autres chantiers ?

Le deuxième chantier concerne le droit des personnes, qui est un chantier orienté B2C (business to consumer), notamment via l’espace client, afin que le prospect puisse gérer au mieux son consentement. On y retrouve la gestion des cookies sur nos sites et applications, et la revue de nos mentions d’informations.

La relation avec les tiers constitue notre troisième chantier. Nous avons essayé de qualifier tous nos partenaires (fournisseurs, délégataires, coassureurs, réassureurs, courtiers, intermédiaires) afin de déterminer la responsabilité des uns et des autres et ainsi de créer un clausier (NDLR : recueil de clauses) en fonction du rôle de chacun.

Le quatrième chantier, et non des moindres, est celui de la responsabilisation des acteurs (l’accountability). Dans ce cadre, nous avons défini la manière dont le responsable de traitement devait être en capacité de prouver sa conformité à tout moment. Pour y parvenir, nous avons travaillé sur de nouveaux process pour intégrer la notion de protection des données dès la conception pour le by design, mais également via l’acquisition de nouveaux outils, pour la tenue de registre, par exemple. Enfin, le dernier chantier concerne la notification des violations de données à l’autorité de contrôle (Cnil) et aux personnes concernées le cas échéant.

Quelles difficultés avez-vous rencontrées ou rencontrez-vous dans la mise en conformité avec le règlement européen ?

Les plus grosses difficultés sont liées à la technique et au délai. La modification du système informatique, la mise à jour des contrats et les négociations qui en résultent peuvent jouer sur les délais. Forcément, quand on parle du projet RGPD, on essaye d’inclure les non-conformités existantes s’il y en a, en passant par des phases d’audits pour identifier ce que l’on peut intégrer ou non. Les process sont formalisés, et la mise en place du réseau est aussi une occasion de rappeler les bonnes pratiques. Il faut garder à l’esprit que le RGPD ne modifie pas les procédures existantes de la loi de 1978 (finalité déterminée, pertinence des données, durée de conservation, mesures de sécurité adéquates, information des personnes, transparence et recueil du consentement dans certains cas). Ce qui change, c’est la manière dont on voit les choses, et le fait qu’il faut inclure ces principes, au départ, dès la conception du produit : privacy by design ou by default.

Et le cas du consentement des données de santé ?

En tant qu’assureur, nous sommes déjà sensibilisés à la question des données de santé, indépendamment du RGPD (secret médical, protection des données). La politique de gestion des données de santé et de données médicales existe déjà, et elle est mise à jour conformément à l’évolution de la réglementation. À titre d’exemple, au sein de Malakoff Médéric, nous avons un système de gestion des habilitations par un médecin-conseil, des formations au secret médical et nous avons également mis en place des moyens sécurisés de transfert de données.

Quels sont les effets indirects de cette nouvelle réglementation ?

Une opportunité de donner plus de confiance à nos clients. Lorsque je donne des formations en interne, je présente toujours cette nouvelle réglementation comme une opportunité plutôt qu’une contrainte. Notre objectif est de garantir à nos assurés la protection de leurs données. Encadrer l’utilisation de ces données participe à la création d’un climat de confiance avec eux. Le deuxième effet est l’émergence de nouvelles fonctions, puisque le RGPD aborde des notions qui n’existaient pas dans la loi actuelle (telles que le profilage, les données génétiques, de pseudonymisation), clarifiant ainsi le cadre juridique sur ces points.

Serez-vous prêts le 25 mai ?

Qui le sera sur l’intégralité des chantiers du RGPD ? La Cnil dit souvent que le 25 mai n’est pas une date couperet, et que sur les nouvelles obligations, elle sera clémente dans son appréciation à partir du moment où des choses auront été entamées et une feuille de route constituée. Et nous sommes bien au-delà de cette phase.

DPO, le chef d’orchestre de la mise en conformité

Le délégué à la protection des données personnelles est une nouvelle fonction créée par le RGPD. Le DPO a pour mission de veiller à la bonne application de cette nouvelle réglementation au sein de l’entreprise, mais également d’informer et de conseiller les collaborateurs sur sa mise en œuvre. Indépendant dans le cadre de sa mission, il peut être salarié ou recruté en externe. À titre d’exemple, n’ayant pas la capacité financière d’embaucher une personne dédiée à la mise en conformité du RGPD, la gérante de Kinousassur, courtier généraliste, a fait le choix de la mutualisation : « Par son intervention ponctuelle en fonction de leurs besoins, le DPO mutualisé convient davantage à des petites structures, contrairement à un DPO externalisé, présent à temps plein. » La chambre syndicale des courtiers d’assurance (CSCA) propose à ses adhérents un DPO à temps partagé.

5 chantiers pour sécuriser la donnée

  • Gouvernance
    Définir les missions du DPO, mettre en place une filière de relais, sensibiliser et former le personnel et mettre à jour les politiques externes et internes.
  • Droit des personnes
    Actualiser les mentions d’informations, du site et des applications avec la gestion du recueil et du retrait du consentement.
  • Gestion avec les tiers
    Identifier les tiers, définir leur responsabilité et établir des clauses-types.
  • Responsabilisation
    Actualiser les process et les outils afin de démontrer la conformité au règlement à tout moment, et notamment en cas de contrôle de l’autorité compétente.
  • Notification à l’autorité compétente
    Mise en place des notifications en cas de violation des données personnelles.

Emploi

Assistra

Mécanicien Automobile H/F

Postuler

Assistra

Mécanicien Industriel H/F

Postuler

+ de 10 000 postes
vous attendent

Accéder aux offres d'emploi

APPELS D'OFFRES

Prestations d'audits de production.

France Télévisions

23 février

75 - FRANCE TELEVISIONS

Proposé par   Marchés Online

Commentaires

RGPD : comment Malakoff Médéric s'est mis en conformité

Merci de confirmer que vous n’êtes pas un robot

Votre e-mail ne sera pas publié