[DOSSIER] RGPD 2/3

RGPD, chantier en cours

RGPD, chantier en cours

L’Europe bouscule à nouveau l’assurance. Le secteur est censé appliquer, à compter de ce 25 mai, le règlement sur la protection des données personnelles (RGPD). Mission quasi impossible, au regard d’une mise en conformité parsemée d’embûches.

Avec la généralisation d’Internet et des réseaux sociaux, les données personnelles sont sous le feu des projecteurs. Le virus WannaCry, ou plus récemment le scandale Cambridge Analytica, ont mis en lumière la nécessité de renforcer le cadre juridique existant. Et c’est chose faite sur le Vieux continent puisque le règlement européen sur la protection des données personnelles – RGPD, ou GDPR en anglais – entre en vigueur ce 25 mai. « Cette réglementation fait partie de la compliance naturelle que l’on vit actuellement dans notre secteur, où l’on cherche à tracer de plus en plus les informations. C’est une étape importante qui s’avère nécessaire », explique Willy Meuret, directeur administratif et financier du courtier en santé Gerep.

RGPD, qui a vocation à responsabiliser les acteurs, reprend pour partie les grands principes de la loi informatique et libertés de 1978. Si ce n’est que la réglementation passe d’un système d’autorisations préalables à des contrôles effectués a posteriori par la Commission nationale informatique et libertés (Cnil). En conséquence, les acteurs doivent être en capacité de démontrer à tout moment leur conformité. RGPD traduit surtout une prise de conscience et un changement de mentalité. Selon Santiago Valls, recruté en qualité de DPO (délégué chargé de la protection des données) au sein du groupe de courtage Burrus / Diot, l’objectif de cette réglementation « est que l’ensemble des collaborateurs acquièrent de bons réflexes sur le long terme ».

D’abord la conformité avec la loi de 1978

En France, le règlement européen n’opère pas de rupture avec la loi informatique et libertés, bien au contraire. Selon un consultant, la mise en conformité avec la loi de 1978 représenterait d’ailleurs 65 % du RGPD. Et c’est bien là où le bât blesse, dans la mesure où de nombreux acteurs ne respectaient toujours pas cette loi vieille de 40 ans, et n’en n’ont pris conscience que tardivement. Virginie Le Mée, directrice des risques et du contrôle interne au sein du groupe Macif, reconnaît que le respect de la loi 1978 est primordial : « Au 25 mai, un certain nombre de points ne seront pas mis en place, car c’est un projet sur un horizon de deux à trois ans, avec une bonne visibilité d’ici la fin 2018. Notre priorité est de garantir la conformité avec les éléments de la loi de 1978. »

La Cnil a d’ailleurs fait savoir qu’à partir du 26 mai, elle ferait la part des choses, lors de ses contrôles, entre l’application des principes de protection des données qui datent de 40 ans et les nouvelles obligations imposées par l’Europe.

Durée de conservation et droit à l’oubli

Parmi les principes édictés par la loi de 1978, celui de la durée de conservation est tout particulièrement complexe à mettre en œuvre. Une durée d’archivage doit être déterminée pour chaque donnée traitée par l’assureur ou l’intermédiaire, et celle-ci varie selon la nature du contrat conservé (santé, MRH, prévoyance…). Or, jusque-là, certains acteurs n’avaient pas de politique de gestion de la durée de vie des archives et ne détruisaient pas leurs documents. Ils se retrouvent donc face à une montagne de papiers à trier. « Il s’écoulera un certain nombre d’années avant que le passif soit totalement apuré », reconnaît d’ailleurs un courtier.

Autre difficulté : le droit à l’oubli. Introduit par la loi de 1978, et consacré par le RGPD en son article 17, il permet à un assuré de demander la suppression de ses informations personnelles des registres informatiques et papiers de l’assureur. Or, selon Arnaud de Chambourcy, expert du RGPD au sein de l’entreprise de services du numérique Umanis, rare sont les acteurs de l’assurance à pouvoir gérer ce droit à grande échelle : « Supprimer un dossier, une donnée, de manière ponctuelle reste faisable manuellement. Mais massifier ces suppressions est compliqué techniquement et fonctionnellement. Ce sont des projets coûteux, ce qui peut expliquer qu’ils n’ont jamais été mis en place, alors même que la loi informatique et libertés l’exigeait noir sur blanc. »

Vers un code de conduite professionnel

Fruit des échanges entre les acteurs de l’assurance et la Cnil, le pack de conformité encadre la régulation des données personnelles dans le secteur de l’assurance depuis novembre 2014. Avec l’entrée en vigueur du RGPD, de nombreux acteurs s’interrogent sur l’avenir de ce pack. « Ce référentiel sectoriel pourrait être transformé en un code de conduite professionnel, outil de conformité promu par le règlement européen, ou encore, il pourrait être envisagé que des lignes directrices sur le traitement des données dans le secteur des assurances soient adoptées par le comité européen sur la protection des données », envisage Sophie Nerbonne, directrice de la conformité de la Cnil (Commission nationale de l’informatique et des libertés).

Sous-traitance et intermédiaires

Le règlement RGPD met aussi à la charge des sous-traitants de nouvelles obligations qui nécessitent une actualisation des contrats. Mais « dans les relations entre assureurs, courtiers, clients ou courtiers grossistes, il y a une multiplicité de cas dans lesquels il n’est pas toujours évident de définir le rôle de chacun », souligne le DPO du groupe Burrus. Selon Virginie Le Mée, cela revient à effectuer un choix : « Soit on fait appel à des tiers tout en conservant la propriété du traitement, soit on fait appel à des délégataires qui doivent nous garantir qu’ils sont en conformité – ce qui implique de mettre en place des audits et contrôles de conformité. »

Pour sa part, Agéa, la fédération nationale des syndicats d’agents généraux d’assurance, milite en faveur d’une reconnaissance de la coresponsabilité dans le traitement des données entre la compagnie et l’agent. La fédération considère que la notion de sous-traitant est trop réductrice. « L’enjeu de cette qualification est l’autonomie de l’agent au regard de l’exploitation commerciale des données », explique Grégoire Dupont, directeur général d’Agéa.

Ce que change le règlement

  • Responsabilisation des acteurs (accountability) Obligation d’encadrer et de protéger les données dès la conception en cartographiant les risques et en réalisant une analyse d’impact.
  • Renforcement des droits des consommateurs Nouvelles mentions d’informations contractuelles, instauration de nouveaux droits tels que celui de la portabilité ou celui de retirer son consentement.
  • Obligation de notification à l’autorité compétente En cas de violation des données personnelles, l’entreprise est tenue de déclarer la faille dans les 24 heures à la Cnil et d’en informer la personne concernée, en cas de risque élevé.
  • Mise en œuvre de sanctions « dissuasives » Amende pouvant aller jusqu’à 4 % du chiffre d’affaires mondial annuel de l’entreprise. RGPD introduit également la mise en œuvre d’une action de groupe en réparation.

Droit à la portabilité et consentement

Autre sujet de friction : la portabilité. Ce droit permet à celui qui s’en prévaut de solliciter la restitution de ses données auprès de son assureur afin de pouvoir les transmettre à un organisme tiers. « Ce nouveau droit pose problème aujourd’hui d’après les retours clients, car l’organisme collecteur doit pouvoir fournir l’intégralité des données qu’il possède sur un individu à la demande de celui-ci sous format informatisé et normé. Or peu sont en mesure de le faire actuellement », reconnaît Benoît Pasquet, senior consultant assurances chez Robert Walters Management de Transition. Virginie Le Mée, de la Macif, admet de son côté que c’est un gros chantier sur lequel sont encore attendues des précisions du G29, qui réunit toutes les Cnil européennes.

Dernier point épineux : le consentement. Désormais, chaque entreprise doit s’assurer que l’assuré consent bien à la collecte de ses données personnelles. « Une obligation relativement simple à mettre en œuvre, selon Michael Froment, dirigeant du cabinet Commanders Act. Mais certains acteurs n’ont pas priorisé le recueil du consentement et, de ce fait, se retrouvent hors délai sur ce sujet. »

RGPD prévoit également le retrait du consentement. La possibilité pour l’assuré de revenir à tout moment sur l’accord donné a soulevé beaucoup d’inquiétude, quant à ses conséquences sur l’exécution même du contrat. « Encore une fois, c’est un sujet sur lequel il faut savoir prendre du recul, insiste Santiago Valls. Il convient de rappeler qu’il y a différentes bases légales de traitement de données, le consentement n’en est qu’une, et dans le cadre de l’exécution du contrat, le retrait du consentement n’est pas possible. »

Benoît Pasquet, senior consultant assurances chez Robert Walters Management de Transition
« Les délégataires s’appliquent les mêmes règles »

« Avec la loi de 1978, il y avait déjà une extension des obligations de déclarations locales pour les sous-traitants dont les informations devaient remonter à la maison mère. Avec RGPD, chaque filiale est responsable du traitementde ses données et, si une autorité prudentielle contrôle et sanctionne une filiale, la sanction est calculée sur le chiffre d’affaires global du groupe. Le cas particulier de la délégation de gestion, qui se rencontre notamment dans le secteur assurantiel, implique que les délégataires s’appliquent les mêmes règles que l’entité qui leur a confié la gestion des données. La difficulté réside dans le fait que certains délégataires qui manipulent des données hypersensibles (notamment pour les contrats en santé et vie), ne sont pas toujours conscients des enjeux. D’autant que ces délégations s’exercent en règle générale à l’étranger, notamment en Bulgarie – qui est un gros pourvoyeur de délégation de gestion – et la réglementation européenne a parfois du mal à s’appliquer dans ces contrées. »

 

Sanctions « dissuasives », « marketing de la peur »

Concernant les obligations nouvelles, celles qui ne sont pas en lien avec la loi de 1978, la Cnil a bien conscience que toutes les entreprises ne seront pas prêtes pour le 25 mai. « Il n’y aura pas de changement entre le 24 et 26?mai, les chantiers sont en cours et vont prendre plusieurs mois, voire plusieurs années », confirme Willy Meuret, du groupe Gerep. Et de fait, la commission devrait être clémente en ce domaine, à une condition toutefois : les entreprises devront avoir engagé un plan d’action consistant à effectuer la cartographie des risques et à identifier les traitements les plus sensibles (clauses avec les sous-traitants, mentions d’informations, analyse d’impact à faire). Et si tout ne peut être fait en même temps, la mise en place d’un échéancier est indispensable.

Pour autant, certains ne s’y sont toujours pas attelés et attendent que les sanctions tombent. Alors même que RGPD a considérablement durci les sanctions. Les amendes peuvent atteindre jusqu’à 20 M€ ou 4 % du chiffre d’affaires annuel mondial de l’entreprise : de fait, le texte précise bien qu’elles doivent être « dissuasives ». Mais la sanction pécuniaire n’est pas forcément la plus redoutée. « Pour nos clients, c’est surtout l’impact en termes d’image qui leur fait peur. Certains se disent que cela peut les faire disparaître », témoigne un consultant. La Cnil se veut une fois de plus rassurante : « Il faut arrêter ce marketing de la peur, agité par certains qui promettent des outils miracles alors que cela ne reflète pas la réalité d’une réglementation posant le principe d’une conformité dynamique, inscrite dans le temps et aidant à la transformation numérique des acteurs économiques. »

Emploi

Ergalis

Technico commercial Santé Prévoyance F/H

Postuler

AFI ESCA

Gestionnaire Assurance Obsèque H/F

Postuler

+ de 10 000 postes
vous attendent

Accéder aux offres d'emploi

Commentaires

RGPD, chantier en cours

Merci de confirmer que vous n’êtes pas un robot

Votre e-mail ne sera pas publié