[DOSSIER] RGPD : ce qu'il change pour le monde de l'assurance 4/5

RGPD, comment bien se préparer ?

RGPD, comment bien se préparer ?

L’entrée en vigueur du Règlement général européen sur la protection des données est imminente. RGPD concerne aussi bien les acteurs de l’assurance que leurs clients. Voici le plan d’actions de la Cnil en six étapes.

« Nous traitons les données personnelles de plus de 2,5 millions d’assurés », annonce Samantha Le Pont, directrice des risques et de la conformité de Siaci Saint Honoré. Le RGPD qui entrera en vigueur fin mai prochain est donc pris très au sérieux chez ce courtier. Il faut dire qu’il y a du travail. Selon les résultats d’un récent sondage réalisé durant l'Amrae, la définition même d’une donnée personnelle n’est pas encore parfaitement maîtrisée par les risk managers des grandes entreprises françaises. À quelques semaines de son entrée en vigueur, L’Argus détaille donc les six étapes nécessaires, proposées par la Cnil, pour bien se préparer au RGPD. Utile pour les acteurs de l’assurance... comme pour les entreprises qu’elles accompagnent.

Étape 1 Désigner un pilote

Y a t-il un pilote en charge des données ? Telle est la question qu’il convient de se poser de toute urgence. Pour désigner la personne idéale, communément appelée data protection officer (DPO), plusieurs éléments entrent en jeu, comme la taille de la structure, son organisation, la nature des données collectées… « Dans une entreprise comme la nôtre, nous avons opté pour un DPO groupe – dont j’assure la mission –, un DPO par branche et un correspondant par business unit », précise Jérôme Semik, directeur des risques et du contrôle interne au sein du grou­pe Lagardère. Chez Bureau Veritas, « les réflexions sont en cours. Ce sera une personne de l’équipe juridique », avance François Beaume, deputy group risk manager and insurance director. Pour d’autres, à l’instar du cabinet HMN & Part­ners, « le choix s’est porté sur un DPO externe », annonce Juliette Vogel, une des associés.

Étapes 2 et 3 Cartographier et prioriser

Pas de doute pour Samantha Le Pont, pour cartographier les traitements à opérer sur les données personnelles, « mieux vaut disposer de bons outils, de bonnes méthodes de travail et de ressour­ces qualifiées ». La démarche doit être structurée afin d’identifier les différentes catégories de données traitées. Pour chacune d’elle, il est nécessaire de se deman­der : qui est en charge de son traitement et pourquoi ces données sont collectées ? Et des actions doivent être menées prioritairement sur les données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes.

Les compagnies d’assurance, prochaines proies des géants du Web

Les propos de l’économiste Jacques Attali, tenus le 9 février dernier à Marseille aux Rencontres de l’Amrae, risquent de hanter pendant de longs mois encore le monde de l’assurance. Selon lui, si rien n’est fait, « les grandes firmes d’assurance vont être rachetées par les GAFA (NDLR : les géants du Web, Google, Apple, Facebook, Amazon), et les compagnies vont vite devenir des filiales des entreprises de gestion des données. » Impossible de le nier, de nos jours, les données personnelles sont vitales au business. Or les assureurs détiennent une masse d’informations non négligeables. Pourtant, « 43 % des compagnies d’assurance intègrent dans leur stratégie les assurtech, mais seulement 28 % ont investi dans des partenariats avec ces start-up », déplore Paul Sterckx, profit center manager financial lines & liabilities chez l’assureur AIG. Il est temps de saisir les opportunités. »

Étape 4 Gérer les risques

« La notion d’approche par les risques est fondamentale. Ce n’est pas pour rien si ce terme revient très souvent dans le RGPD », expli­que Jérôme Semik. Les faits sont là : réaliser une analyse d’impact sur la protection des données (PIA) est une bonne pratique pour s’assurer de créer un traitement conforme au RGPD et respectueux de la vie privée. Concrètement, l’entreprise doit être capable de démontrer que les traitements qu’elle réalise sont légitimes. Et que ces « opérations sont sécurisées », résume Jérôme Semik.

Étape 5 Organiser

Il faut garantir, en permanence, un haut niveau de protection des données personnelles. Cela revient à mettre en place des procé­dures internes qui garantissent la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement : faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire... « La protection des données doit être prise en compte dès la conception d’un traitement (privacy by design), et par défaut (privacy by default) », rappelle Juliet­te Vogel.

La Data Science puise dans un océan de données

C’est la très réputée et sérieuse Harvard Business Review qui le dit : data scientist est le métier le plus sexy du XXIe siècle et RGPD va encore le renforcer. Mais que revêt ce terme de plus en plus à la mode ? « La data science est une nouvelle discipline qui est née pour faire face à la multiplication des données, rappelle Denis Coutrot, data science & revenue risk vice-président de Transdev Group. Son objectif est de découvrir ce qu’on ne sait pas par rapport aux données. (...) afin de piloter plus efficacement l’entreprise. » Force est de constater que, sur ce point, les disciplines traditionnelles – comme la statistique – demeurent limitées. La faute à la révolution digitale et aux volumes de plus en plus importants des données. Grâce aux data, il est donc possible de mieux connaître les utilisateurs et de proposer des solutions sur mesure. Un atout de taille, comme l’exprime Denis Coutrot chez Transdev, « le monde de la mobilité devient customer centric, il est très “disrupté” par de nouveaux entrants comme Uber, dont l’expérience client est très élevée. Cela nous oblige à nous transformer, à nous transcender ». La data science peut intéresser bon nombre de services dans l’entreprise : la finance, la relation client, les ressources humaines (pour comprendre l’absentéisme...), etc. Ainsi, le data scientist doit maîtriser à la fois le business de l’entreprise, les technologies de l’information et de la communication, les chiffres... Difficile de définir ce métier. Pour Denis Coutrot, il « est meilleur en statistique que les informaticiens. Et meilleur en informatique que les statisticiens ».

Étape 6 Documenter

Cette dernière étape propose de documenter la conformité. « Deux documents doivent être établis et/ou mis à jour : la politi­que de sécuri­sation des systèmes d’information qui restera confiden­tielle, et la politique de protection des données personnelles qui sera diffu­sée, notamment aux sous-traitants et partenaires », expli­que Samantha Le Pont.

Conscients que ces étapes ne sont pas simples à mettre en place, l’Association pour le management des risques et des assurances de l’entreprise (Amrae) et CGI Business Consulting viennent de publier un cahier technique – disponible sur le site Internet de l’association – pour accompagner les entreprises dans la mise en place de RGPD.

Emploi

AFI ESCA

Délégué Régional grands comptes H/F

Postuler

SERPINET CONSEIL

Inspecteur Commercial SUD 12 15 30 34 48 81

Postuler

+ de 10 000 postes
vous attendent

Accéder aux offres d'emploi

APPELS D'OFFRES

Assurance Responsabilité Civile et Risques Annexes pour le CHU

CHU de Montpellier

21 janvier

34 - Montpellier

Assurances Risques Statutaires

CHU de Montpellier

21 janvier

34 - Montpellier

Missions d'assistance, de conseil juridique et de representation en justice.

Syndicat Inter Hospitalier de Mangot-Vulcin

20 janvier

972 - LE LAMENTIN

Proposé par   Marchés Online

Commentaires

RGPD, comment bien se préparer ?

Merci de confirmer que vous n’êtes pas un robot

Votre e-mail ne sera pas publié