[DOSSIER] RGPD : c'est encore long, la protection des données... 1/3

RGPD : la responsabilité du traitement fait toujours débat

RGPD : la responsabilité du traitement fait toujours débat
La détermination du rôle que l’entreprise va jouer dans le traitement des données conditionne l’ensemble du régime de responsabilité et les obligations qui pèseront sur elle. © Mediaphotos PA / Getty Images / iStockPhoto

Un an après l’entrée en application de RGPD, assureurs et intermédiaires buttent encore sur la qualification des parties dans le traitement des données.

Dans le cadre de l’application du règlement général pour la protection des données (RGPD), l’une des grandes problématiques qui préoccupe les acteurs de l’assurance – et qui n’est à ce jour pas encore totalement résolue ­– est celle relative à la qualification des parties dans le traitement de la donnée. L’assureur est-il toujours responsable de traitement ? Le courtier et l’agent général sont-ils toujours sous-traitants ? Ou porteurs de risques et intermédiaires partagent-ils une coresponsabilité ?

La quête de réponses à ces épineuses interrogations a suscité de nombreuses discussions entre les différents acteurs de l’assurance et leurs Fédérations représentatives, sous l’œil vigilant de la Commission nationale de l’informatique et des libertés (Cnil). « Dans le cadre des travaux de mise en conformité au RGPD, une des problématiques mises en exergue par la profession est la difficulté à établir le statut des différentes parties prenantes intervenant dans la chaîne permettant de fournir les services d’assurances », confirme Clémence Scottez, cheffe du service des affaires économiques de la Cnil. Pour autant, la question du statut n’est pas inhérente au règlement européen. Elle existait déjà dans la loi informatique et libertés de 1978. Comme le rappelle, l’avocat Gérard Haas : « Le RGPD reprend la définition de la loi informatique et libertés de la notion de responsable de traitement, qu’il définit comme l’entité qui “détermine les finalités et les moyens du traitement”. Le sous-traitant, quant à lui, traite les données pour le compte, sur instruction et sous l’autorité du responsable de traitement. »

Lexique du RGPD

  • Responsable de traitement « La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement » (article 4 du RGPD).
  • Sous-traitant « La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement » (article 4 du RGPD).
  • Coresponsable Situation dans laquelle, pour un seul et même traitement, plusieurs responsables sont identifiés. Les deux parties se retrouvent alors dans une situation de responsabilité conjointe dans le traitement de la donnée.

 

Avec l’entrée en vigueur du règlement européen sur la protection des données, la problématique de la qualification des parties s’est retrouvée propulsée au cœur du débat. « Nous assistons à une véritable volonté de responsabiliser le sous-traitant en alignant son régime sur celui du responsable de traitement, précise l’avocat spécialisé en droit des nouvelles technologies de l’information et de la communication. Lorsqu’une entreprise participe à un traitement, elle doit définir le rôle qu’elle va jouer dans ce traitement. Cette détermination n’est pas anodine, puisqu’elle conditionnera l’ensemble du régime de responsabilité et les obligations qui pèseront sur l’entreprise. »

Mais dans la pratique, cet exercice de qualification s’avère délicat. « Nous avons essayé de déterminer le rôle de chacun en utilisant la définition donnée par le RGPD, à savoir : qui détermine la finalité du traitement et les moyens ? Mais nous nous sommes aperçus que, bien souvent, cela ne suffisait pas. Il nous fallait recourir aux faisceaux d’indices », relève Johanna Carvais-Palut, data protection officer (DPO) du groupe Malakoff Médéric Humanis.

Un exercice d’autant plus délicat que les contractants n’ont pas toutes les cartes en mains. « Il peut être tentant de revendiquer la qualité de responsable de traitement afin d’avoir une meilleure maîtrise de la donnée. Même s’il est évident que c’est le responsable de traitement qui définit les “règles du jeu” dans les limites posées par le RGPD, il faut être vigilant aux effets de postures, car la Cnil ne sera pas liée par la qualification contractuellement retenue », avertit Ludovic Daugeron, responsable juridique et conformité de la Chambre syndicale des courtiers d’assurances (CSCA).

Répartition des rôles

En effet, si les parties n’ont pas retenu la bonne qualification, le régulateur pourra, en cas de contrôle, la modifier. « La tentation est d’indiquer dans les conventions des règles plus souples ou plus sévères que le RGPD. Toutefois, le juge n’est pas lié par les conventions de courtage et la clause litigieuse peut être réputée non écrite », rappelle Olivier Sanson, directeur général d’Afi Esca. Et c’est sans doute, ce qui a fait bouger le curseur dans les discussions entre assureurs et intermédiaires. « Il est évident que le secteur de l’assurance a un certain degré de maturité sur ces questions-là et tire parti des différentes qualifications. Par ailleurs, je constate qu’au fil des discussions avec la profession, les parties prenantes n’ont plus de préférence pour un statut plutôt qu’un autre », relève Clémence Scottez.

Dans le cadre des travaux entre les institutions représentatives et les acteurs de l’assurance, qui sont toujours en cours, la Cnil a commu­niqué aux parties prenantes des critères afin qu’elles remplissent une grille d’analyse où chaque acteur détermine le statut adéquat. Dans ce cadre, la Cnil rappelle que « l’idée n’est pas de négocier un statut mais plutôt d’aiguiller les parties ». « L’objectif est de déterminer la réalité du traitement et, en fonction du niveau d’autonomie et du pouvoir de décision, de répartir les obligations de manière logique », poursuit Clémence Scottez.

Du côté de la CSCA, son responsable juridique se félicite de l’avancée des travaux : « Sur les 25 conventions de courtage négociées avec la CSCA, qui intègrent notamment les exigences issues du RGPD, les assureurs ont adopté une position pragmatique et conforme à l’esprit du règlement, à savoir qu’une même donnée peut faire l’objet de plusieurs traitements avec une qualification différente pour chaque traitement. » Ainsi, une donnée sera traitée plusieurs fois, mais par différents acteurs et dans différents cadres juridiques.

Un des éléments qui va également interférer dans la qualification retenue est la présence ou non d’une délégation de gestion, et sa profondeur d’action. « Une étude au cas par cas s’impose pour les courtiers, en fonction d’un faisceau d’indices qui prend en compte les relations, les moyens mis en œuvre, mais également le niveau de la délégation », explique Barbara Tempéreau, la DPO du Groupe Covéa.

« Notre politique n’est pas de systématiquement sanctionner »


“Afin de laisser le temps aux acteurs d’intégrer les nouveautés issues du RGPD une période de tolérance d’un an a été accordée pour les nouvelles obligations. Dans le programme des contrôles annoncés pour l’année en cours, nous n’avons pas raisonné en termes de secteur mais plutôt en fonction de thématiques. Et la manière dont les traitements sont traités en fait partie. Dans ce cadre, nous porterons une attention particulière au statut retenu par les différents acteurs (responsable de traitement, sous-traitant). En cas de contrôle, notre politique n’est pas de systématiquement sanctionner directement. Ce n’est pas dans l’ADN de la Cnil. L’entreprise, pour laquelle un manquement est établi est mise en demeure d’y remédier. Ce n’est seulement qu’à l’issue d’un contrôle de vérification que le régulateur envisage alors les sanctions. ”

Responsabilité conjointe

Et, dans certains cas, une coresponsabilité pourra être retenue. « Nos discussions avec la place sur le sujet ont bien avancé : lorsque le courtier délégataire définit les moyens substantiels du traitement, notamment en développant l’outil informatique nécessaire audit traitement, nous estimons que la responsabilité conjointe peut être retenue », illustre Ludovic Daugeron.

Du côté des agents, la Fédération nationale des syndicats d’agents généraux d’assurance (Agéa) militait, dans un premier temps, en faveur d’une reconnaissance de la coresponsabilité dans le traitement des données entre l’agent général et la compagnie mandante. Puis, au fil des discussions, une nouvelle répartition s’est imposée.

« Après réflexion, il nous semble plus approprié de considérer que l’agent général agit en qualité de sous-traitant lorsqu’il traite des données contractuelles – nécessaires à la conclusion du contrat – et en tant que responsable de traitement dès lors qu’il manie les données personnelles recueillies auprès du client. Pour les secondes, l’agent a en effet le choix d’alimenter ou non son propre outil ou celui de la compagnie », expose Patrick Evrard, président d’Agéa. Et le responsable de conclure : « Nous sommes actuellement en train de discuter avec les compagnies d’assurance et la Fédération française de l’assurance afin de déterminer au cas par cas, quand l’agent est sous-traitant et quand il est responsable de traitement à 100 %. Et, à ce stade, il n’y a pas de désaccord avec la FFA sur le principe retenu. »

Testez L'Argus de l'assurance en mode abonné. Gratuit et sans engagement pendant 15 jours.

Le Magazine

ÉDITION DU 18 septembre 2020

ÉDITION DU 18 septembre 2020 Je consulte

Emploi

SAS COHEN CORPORATE ASSURANCES

Commerciaux Sédentaires H/F

Postuler

ASSURANCES TOUSSAINT-PAJOT-SEVIN

AGENT GÉNÉRAL ASSOCIÉ H/F

Postuler

+ de 10 000 postes
vous attendent

Accéder aux offres d'emploi

APPELS D'OFFRES

Location d'un véhicule réfrigéré pour la cuisine centrale

Ville de Montgeron

19 septembre

91 - Montgeron

Assurance multirisque du patrimoine mobilier et immobilier ainsi que les foyers

Grand Lyon Habitat

19 septembre

69 - GRAND LYON HABITAT

Prestation d'assurance

Ville de Champigny sur Marne

19 septembre

94 - CHAMPIGNY SUR MARNE

Proposé par   Marchés Online

Commentaires

RGPD : la responsabilité du traitement fait toujours débat

Merci de confirmer que vous n’êtes pas un robot

Votre e-mail ne sera pas publié