RGPD : le chantier est en cours

Alors que le règlement sur la protection des données (RGDP) est entré en vigueur le 25 mai dernier, où en sont les professionnels ? Grâce aux données qu’elle collecte, la Cnil dresse un premier bilan chiffré de la situation, quatre mois après la mise en application de cette nouvelle réglementation d’origine européenne. Pour rappel, le RGPD vise à renforcer la protection des données personnelles en responsabilisant les professionnels qui les traitent. Un chantier colossal pour les assureurs et intermédiaires, qui manipulent nombre de données sensibles.

L’autorité de contrôle relève, dans son communiqué, « une prise de conscience inédite » des particuliers, 3 767 plaintes reçues contre 2 294 sur la même période l’an passé, selon les chiffres communiqués par la Cnil. Même son de cloche du côté courtage puisque Santiago Valls, délégué à la protection des données personnelles (DPO) du groupe Burrus, constate une augmentation significative du nombre de demandes d’exercice du droit d’accès aux données. « Nous sommes passés de zéro à une dizaine de demandes. Les particuliers font valoir leurs nouveaux droits (droit à l’effacement, demande d’accès aux données…) afin de supprimer les données médicales transmises au stade de la prospection, par exemple », relève le DPO.

Du côté des professionnels, la commission pointe une « appropriation progressive » du RGPD. Comme l’impose désormais le règlement européen, plus de 600 notifications de violations de données ont d’ores et déjà été reçues par la Cnil, concernant environ 15 millions de personnes – soit environ sept par jour depuis le 25 mai. Mais, selon Michel Bazet, DPO du groupe de protection sociale, Ag2r La Mondiale, il est encore bien trop tôt pour dresser un bilan d’une réglementation qui exigera des années avant d’être totalement effective.

Des points à éclaircir

Somme toute, les chantiers sont lancés, mais beaucoup de points restent à finaliser. Parmi ces derniers figure la contractualisation des relations entre assureurs et courtiers. Sujet pour le moins polémique. « Avant l’entrée en vigueur du RGPD, personne ne se posait de question, l’assureur était généralement considéré comme le responsable de traitement et le courtier, le sous-traitant dans le cadre d’une délégation de gestion », explique le DPO d’ag2r la Mondiale.

Le débat se cristallise, notamment, sur la détermination du rôle de chacun dans le traitement des données personnelles, avec des interprétations différentes de notions déjà existantes, comme celle concernant le responsable de traitement et le sous-traitant, ou encore celle vis-à-vis du responsable conjoint de traitement. « Une grande majorité des courtiers ont refusé de signer les conventions régissant les relations avec les assureurs. Généralement, ceux-ci considèrent le courtier comme sous-traitant, sans concertation et sans considérer la voie ouverte par la responsabilité conjointe de traitement », confirme Santiago Valls, du groupe Burrus.

Pour l’heure, le débat ne semble toujours pas tranché. Des travaux sont également en cours du côté de la Cnil sur ce sujet. « Nous travaillons sur l’actualisation de notre guide pratique sur la sous-traitance pour y inclure la question, notamment, des responsa­bles de traitement et des res­ponsables conjoints, qui soulève beaucoup d’interrogations », confirme Sophie Nerbonne, directrice de la conformité à la Cnil.

Comme le souligne cette dernière, des problématiques propres au domaine de l’assurance se posent également, notamment en matière d’assurance vie. En application des dispositions de l’article 14 du RGPD, dès que le tiers bénéficiaire est désigné, le responsable de traitement est censé l’en informer. Dans la mesure où le code des assurances prévoit que le souscripteur peut changer d’avis à tout moment, l’obligation d’infor­mation est repoussée au moment où l’assureur avisera le bénéficiaire de la stipulation qui a été effectuée à son profit. La Cnil et les assureurs doivent ainsi trouver des solutions pour articuler de façon cohérente les dispositions nationales, issues du code des assurances, avec le règlement européen.

Du côté réglementaire, le CEPD (le Comité européen de la protection des données), qui constitue le nouvel organe de coopération entre les différentes autorités nationales, travaille à l’élaboration de nouvelles lignes directrices. Dans l’Hexagone, une ordonnance visant à améliorer la lisibilité du cadre juridique de la loi informatique et libertés doit être publiée et des décrets d’application sont également attendus. « On est pour le moment dans une période ou les choses ne sont pas accomplies, il règne encore un peu d’insécurité, du moins du point de vue juridique autour de la mise en œuvre du règlement », concède Michel Bazet, DPO d’AG2R La Mondiale.

La Cnil affirme son rôle de régulateur

S’agissant des actions à venir, la Cnil a été claire : elle devrait adopter prochainement de nouveaux référentiels. Dans le secteur des assurances, depuis novembre 2014, un pack de conformité traduit la réglementation dans un outil opéra­tionnel afin d’assurer une régulation effective des données personnelles. Mais ce dispositif doit être actualisé avec l’entrée en vigueur du RGPD. « Avant que le règlement ne soit applicable, nous nous sommes rapprochés des assureurs pour mener un travail d’actualisation de ce pack afin de prendre en compte les nouvelles obligations du règlement », explique la directrice de la conformité à la Cnil. Pendant un temps, la piste d’un code de conduite avait été évoquée. Mais les discussions entre la Cnil et les assureurs vont finalement déboucher prochainement sur la mise en œuvre d’un référentiel sectoriel.