[DOSSIER] Spécial Courtage 7/13

Courtiers : RGPD, quel chantier !

Courtiers : RGPD, quel chantier !

Entré en vigueur 
le 25 mai, le Règlement général sur la protection des données (RGPD) vise 
à responsabiliser les professionnels qui traitent des données personnelles. Un chantier de taille 
pour les assureurs, 
et les courtiers 
en particulier !

Il y a un avant et un après le 25 mai 2018. Entré en vigueur ce jour-là, le Règlement général sur la protection des données (RGPD) a changé la donne, l’exigence de transparence vis-à-vis de l’assuré étant très nettement renforcée. Même si la Cnil a déclaré qu’elle ferait preuve de mansuétude dans un premier temps, gare aux entreprises qui ne respecteraient pas les obligations imposées par la nouvelle réglementation ! Les courtiers ne sont évidemment pas épargnés. Trois mois après la mise en place du RGPD, les grands courtiers de la place qui avaient anticipé et déployé de gros moyens en interne annoncent être en ordre de marche. Les courtiers grossistes et les compagnies ont fait égale­ment des efforts, à l’instar de Thélem Assurances et de Ciprés Assurances, par exemple, qui y ont consacré plusieurs mois de travail en interne et ont revu toutes leurs conventions de partenariat.

Les points clés du RGPD

  • Une conformité basée sur la responsabilisation : les responsables de traitements 
doivent mettre en place des mesures de protection des données appropriées 
et démontrer cette conformité à tout moment.
  • De nouvelles obligations : nommer un DPO, établir le registre des traitements 
et mettre en place une procédure de remontée d’information des violations de données 
pour être capable de les notifier à la Cnil dans les 72 heures.
  • Une modification des contrats d’assurance pour y intégrer de nouvelles mentions 
(exemple : durée de conservation des données) mais aussi des contrats avec les sous-traitants pour y insérer les clauses informatiques et libertés obligatoires.
  • En passant d’un système d’autorisations préalables à des contrôles effectués a posteriori, 
la Cnil dispose d’un éventail de sanctions, dont des amendes administratives 
qui peuvent s’élever jusqu’à 4% du chiffre d’affaires annuel mondial.

 

Particulièrement concernés, en raison des données santé sensibles qu’ils traitent au quotidien, les courtiers gestionnaires (ou délégataires) se sont aussi pliés à l’exercice. « Comme pour DDA, les grands acteurs du marché se sont organisés en mode projet sur RGPD » confirme Henri Debruyne, président du Medi (Monitoring european distribution of insurance).

Une galère pour les courtiers de proximité

Pour les petits courtiers en revanche, c’est plus difficile. « Isolés, peu informés, ils ne sont pas au fait de leurs obligations, et surtout ne savent pas comment s’y prendre. Le nez dans le guidon, certains restent très attentistes », constate Dominique Dugros, adjoint au directeur commercial respon­sable du courtage chez Thélem Assurances. Les réunions organisées par les compagnies, les courtiers grossistes et les syndicats n’ont souvent constitué qu’une première étape informative. Et lors de la mise en place opérationnelle, ils se sont retrouvés souvent bien démunis. D’autant que l’avalanche de réglementations compli­que singulièrement la mise en conformité des cabinets de courtage. Ce n’est pas un hasard, d’ailleurs, si l’Observatoire de l’évolution des métiers de l’assurance (OEMA) rappelle, dans son rapport de 2018, que le secteur est passé « d’une activité réglementée à la réglementation des pratiques ». « Beaucoup se sont focalisés sur DDA et ont pris du retard, voire sont passés à côté de RGPD, remarque ainsi Laure Melan, directrice juridique et conformité de Ciprés Assurances. Certains courtiers n’ont, par exemple, pas encore bien compris qu’ils pouvaient avoir des casquettes différentes en fonction de l’utilisation qu’ils font des données de leurs clients à chaque étape de la chaîne de distribution. » De fait, lorsqu’il collecte des informations pour recueillir les besoins du client, le courtier est « responsable de leur traitement » au sens du RGPD. En revanche, quand il entre des données dans l’extranet pour obtenir un devis, il est sous-traitant de la compagnie, et c’est elle qui est responsable du traitement. « Mais attention ! Ne pas être responsable du traite­ment n’enlève pas toute respon­sabilité au courtier, qui l’exécute. Il doit suivre les règles édictées par la compagnie et celle-ci doit mettre en place des moyens de contrôle », prévient Henri Debruyne. Une nuance de taille à prendre 
en compte au sein de chaque cabinet de courtage, quelle que soit son importance.

Connaître les étapes 
à franchir

« La méthode est importante car elle permet de rationaliser et de se poser de bonnes questions », estime Alain Curtet, avocat au barreau de Paris et data protection officer (DPO) certifié par le bureau Veritas, qui accompa­gne les cabinets de courtage dans leur mise en conformité. « Difficile de définir l’importance du chantier de mise en conformité, précise ce dernier, car cela dépend de la taille de la structure, du nombre de partenaires assureurs, de la variété des produits d’assurance distribués et de la nature des données collectées. » La première étape est la phase d’identification et d’inventaire des traitements. Une étape essentielle qui permet d’analyser l’ensemble des données personnelles que les courtiers détiennent, les raisons qui justifient cette détention, leurs conditions d’exploitation, et de leur attribuer une note de criticité. Les données d’un cabinet de courtage sont nombreuses dans la phase d’étude de besoins (âge, adresse, composition de la famille…) et peuvent parfois être sensibles lorsque l’on touche à la santé, à l’acci­dentologie ou aux ressources humaines pour un courtier en collec­tive (salaire, date de naissance…). Après la phase d’inventaire, il faut remplir le registre des traitements et établir le niveau de responsabilité du courtier dans chaque cas (responsable ou sous-traitant). Enfin, « il faut mettre en place des procédures de protection et de sécurisation des données, revoir tous les questionnaires de recueil de besoins pour y insérer des demandes de consentement et faire apparaître clairement sur les documents remis le droit des personnes, la localisation des données et définir leur durée de conservation », détaille Dominique Dugros. « Le hic, c’est que la plupart des logiciels métier n’ont pas été conçus pour pouvoir effacer des 
données de façon massive, ce qui pose un problème quand il faut le faire dossier par dossier », soulève Henri Debruyne. Enfin, il ne faut pas oublier le volet sécurité physique des données?: sauvegarde régulière sur un cloud sécurisé (plutôt que sur un disque dur externe que le courtier emmène chez lui le soir), mots de passe complexes et changés régulièrement…

Laurent Ferrari (Prevactis Conseil, Francheville) : « Je me suis vite senti bien seul et démuni devant l’ampleur de la tâche »

« Il y a plusieurs mois, j’ai commencé 
à m’informer sur les règles de conformité RGPD, j’ai assisté à des réunions d’information organisées par la CSCA 
et les assureurs sur le sujet, 
puis j’ai commencé à m’y mettre. 
Mais très vite, je me suis senti seul et démuni devant l’ampleur 
de la tâche. Alors, pour être sûr d’être en conformité 
vis-à-vis de mes entreprises clientes, et également pour gagner 
du temps, j’ai décidé de m’adjoindre les conseils d’un avocat. 
En l’espace de quatre demi-journées très opérationnelles, 
il m’a formé et donné les documents et matrices préformatés 
que nous avons remplis ensemble. C’est là que je me suis aperçu que j’avais fait des contre-sens sur certains points... 
Ensuite, j’ai préparé et scanné, sur ses indications, l’ensemble 
des documents à produire en cas de contrôle, dont chacune 
des conventions signées avec les compagnies. J’ai adapté 
mes supports commerciaux, mes mails et courriers type 
aux clients... Au total, la mise en conformité m’a pris une bonne semaine à temps plein, avec l’aide de ma collaboratrice. Cela sans compter la partie de sécurisation des données et des ordinateurs, pour laquelle j’ai fait appel à mon informaticien. Nous avons dû changer d’hébergeur pour l’externalisation des données, 
et j’ai dû renforcer les mots de passe et crypter le contenu de mes dossiers. Je ne regrette pas le coût de ces deux professionnels. 
Je pourrai répondre facilement aux demandes des compagnies. 
Je suis mieux préparé à un éventuel contrôle, et je peux 
me concentrer sur le business ! »

 

Un DPO est-il indispensable ?

Si la nomination d’un data protection officer n’a aucun sens pour un cabinet de courtage ne comptant que quelques personnes, ceux qui manipulent des données sensibles (santé, prévoyance…) peuvent 
choisir d’avoir recours à un DPO en temps partagé, gage de crédibilité. C’est ce que propose par exemple CSCA-RH (filiale codétenue avec l’Ifpass, l’Institut de formation de la profession de l’assurance) qui met aussi à disposition un outil simple et didactique pour guider le courtier dans sa mise en conformité. D’ailleurs, indique la Chambre syndi­cale des courtiers d’assurances (CSCA), depuis la mise en place opéra­tionnelle de ces prestations au printemps dernier, les demandes de courtiers sont nombreuses, preuve du réel besoin qui existait sur le marché. De plus en plus de cabinets d’avocats se sont également positionnés sur ce créneau.

Impact commercial, 
vers la fin du démarchage ?

Sans impliquer d’investissements importants, RGPD représente donc un chantier non négligeable et chrono­phage pour un courtier : ce dernier doit notamment être capable d’expliquer au client ce qu’il possède comme données le concernant, ce qu’il fait pour protéger celles-ci, lui préciser la marche à suivre s’il veut y avoir accès et lui indiquer le délai maximal de conservation avant leur suppression ou anonymisation. Et depuis le 25 mai, il doit lui demander son «?consentement explicite?» pour un usage futur en précisant sa nature et son objectif. « L’utilisation de 
l’opt-in (case à cocher) est désormais la règle et remplace les cases précochées », précise ainsi Laure Melan, de Ciprés Assurances. Quant au démarchage commercial, il devient plus encadré afin de limiter les pratiques trop agressives. Les données collectées lors de la phase d’étude de besoin doivent désormais se limiter aux données utiles. « RGPD signe la fin du produit du mois, estime ainsi un spécialiste de la distribution. Il faudra refaire une analyse de besoin ou être dans une phase de conseil, avant de proposer un produit complémentaire (vente croisée).» Pour être sûr d’être en conformité avec RGPD (qui compte pas moins de 99 articles), les courtiers ont pu compter sur certaines compagnies et sur les courtiers grossistes, comme Thélem Assurances qui a organisé 19 réunions en régions pour les informer et les guider, dans une approche globale de conformité (RGPD, DDA, LCB-FT). « Nous avons fait au mieux pour les sensibiliser et les accompagner, mais nous ne pouvons pas franchir les étapes à leur place », estime Dominique Dugros. « Le site de la Cnil est très riche et permet par exemple de télécharger des modèles de registre de traitements », indique Laure Melan.

Comprendre les procédures

Mais encore faut-il savoir comment les remplir. Pour gagner en temps et en sérénité, de nombreux courtiers ont préféré s’adjoindre les conseils d’un avocat ou d’un consultant pour les accompagner dans leur mise en conformité. Des packs RGPD fleurissent sur Internet pour moins de 1 000 € : un nouveau business qui ne devrait pas se tarir, tant l’impréparation se fait sentir. « Même si la Cnil a prévenu que, dans un premier temps, elle serait surtout vigilante sur les points qui relèvent de la loi informatique et libertés de 1978 – dont le RGPD n’est que le renforcement –, avoir établi un état des lieux et mis en place un plan d’action RGPD est aujourd’hui le minimum requis », prévient Dominique Dugros. Et pour certains, il est grand temps de s’y mettre !

Emploi

KAPIA RGI

Chef de Projet Assurance-Vie H/F

Postuler

KAPIA RGI

Ingénieur Développement PHP5/ZEND (H/F)

Postuler

+ de 10 000 postes
vous attendent

Accéder aux offres d'emploi

Commentaires

Courtiers : RGPD, quel chantier !

Merci de confirmer que vous n’êtes pas un robot

Votre e-mail ne sera pas publié