RGPD, un changement opportun pour les assureurs

Entré en vigueur le 25 mai dernier, le Règlement général européen sur la protection des données personnelles (2016 / 679 du 27 avril 2016, dit « RGPD »), s’il est d’application directe n’est néanmoins pas autosuffisant. Chaque État membre a dû adopter un texte qui permet d’articuler pleinement le RGPD avec son droit interne. C’est chose faite pour la France qui a adopté le projet de loi relatif à la protection des données personnelles le 14 mai 2018, afin de modifier notre texte fondateur, la loi du 6 janvier 1978, dite « informatique et libertés ».

Bien que le Conseil constitutionnel a été saisi le 16 mai, les grandes lignes de la protection des données personnelles sont désormais définies en France. Il convient de mesurer la portée des changements ainsi introduits pour les assureurs, tout en rendant compte de ce que cet audit général de la gestion des données constitue une opportunité pour intégrer DDA (directive sur la distribution d’assurance, n° 2016/97 du 20 janvier 2016) et valoriser la richesse que la détention de ces données représente.

En effet, la directive dite « DDA » a fait l’objet d’une transposition récente en droit français par l’ordonnance n° 2018-361 du 16 mai 2018, qui entre en vigueur le 1er octobre 2018. Une insistance particulière y est portée sur la connaissance du souscripteur par l’assureur ou l’intermédiaire (cf. nouvel art. L. 521-4 C. assur. en non-vie ; nouvel art. L. 522-1 C. assur. en vie avec rachat ou capitalisation). Ces mutations en cours nécessitent de rappeler en quoi consistent les notions de « donnée personnelle », de « traitement », les obligations des acteurs en la matière, les innovations majeures introduites par le RGPD et la nouvelle réglementation française. Enfin nous verrons les mesures à mettre en œuvre et les opportunités qu’elles introduisent.

La notion de traitement

La donnée personnelle se définit comme toute information qui permet d’identifier directement ou indirectement une personne physique, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physio­logique, génétique, psychique, économique, culturelle ou sociale (art. 4, 1 du RGPD). Pour que des données ne soient plus considérées comme personnelles, elles doivent être anonymisées de manière à rendre impossible toute identification de la personne concernée. La notion de traitement (art. 4, 2 du RGPD) est égale­ment large puisqu’elle vise toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données personnelles, telles que, par exemple, la collecte, le stockage ou la simple consultation.

Les obligations du responsable de traitement

Le responsable ou « maître du fichier » doit en déterminer les finali­tés et les moyens (art. 4, 7 du RGPD). Il doit définir les objectifs du fichier (art. 6 du RGPD), ces « finalités » déterminent la manière dont le respon­sable pourra utiliser ou réutiliser ces données. Il lui faut ensuite limiter la conservation des données dans le temps car elles ne peuvent, en principe, être conservées que pour la durée nécessaire à la réalisation de l’objectif poursuivi. Reprenant une règle fondamentale de la loi de 1978, les personnes dont les données sont traitées doivent être informées au préalable de cette opération (art. 12 et s. du RGPD). Dans certains cas, cette obligation d’information s’accompagnera de la nécessité de recueillir leur consentement – prospection commerciale par mail auprès des non professionnels (art. 6 du RGPD), prise de décision individuelle automatisée (art. 22 du RGPD), droits d’accès et de rectification sont également réaffirmés (art. 15 et s. du RGPD).

à retenir

RGPD responsabilise les acteurs en les obligeant à protéger les données personnelles dès leur conception, en procédant à la cartographie des risques et également en désignant une personne atitrée pour cette fonction (DPO).

Les nouvelles obligations

La désignation d’un délégué à la protec­tion des données ou data protection officer (DPO) – chargé de contrôler et de coordonner les prati­ques de traitement de données person­nelles – est notamment obligatoire lorsque les activités du respon­sable exigent un suivi régulier et systématique à grande échelle des personnes concernées ou pour les traitements à grande échelle de données sensibles (art. 37 du RGPD). Ce qui sera nécessairement le cas pour les assureurs. Les anciens correspondants informatique et libertés (CIL) pourront assumer ce rôle (pour les compétences requises du DPO cf. art. 37-39 du RGPD). En outre, des principes nouveaux ont été introduits qui justifient la disparition des déclarations préala­bles pour la plupart des traitements.

Le principe d’accountability (art. 5, 2 du RGPD) oblige le responsable de traitement à documenter l’ensemble des actions de sa politique de protection des données personnelles afin de démontrer sa conformité au RGPD tant auprès des autorités de contrôle que des personnes concernées. À cette fin, les assureurs, à raison de leur collec­te importante de données, devront désormais tenir un registre de leurs activités de traitement.

à noter

L’entrée en vigueur du règlement intervient alors que la mise en application de la directive sur la distribution d’assurances doit être effective à compter du 1er octobre 2018.

Ces bouleversements réglementaires doivent être perçus comme une opportunité pour les assureurs.

La contrepartie de ce principe est l’allégement des formalités : les formalités préalables auprès de la Cnil sont désormais limitées (art. 8 et 16 L. 14 mai 2018 ; biométrie : nouvel art. 8, 9° loi de 78 ; santé : nouveaux art. 8, 8° et 53 et s. loi de 78). De surcroît, ont été consacrés les principes essentiels de privacy by design et privacy by default (art. 25, 1 et 2, du RGPD) : il s’agit pour le responsable de traitement de mettre en place des mesures permettant de garantir ab initio la protection des données personnelles.

Il doit également être prévu une procédure de gestion des violations de données (art. 33 du RGPD) ; avec obligation de notification à la Cnil dans les 72 heures et aux individus concernés dans les meilleurs délais, si la violation présente un risque élevé pour eux ou sur ordre de la Cnil (cf. art 7 L. 14 mai 2018, nouveaux art. 45 à 48 loi de 78). Enfin, le responsable de traitement devra dans certains cas effectuer une analyse d’impact notamment en présence d’un traitement à grande échelle de données personnelles sensibles ou de relatives à des condamnations (art. 35 du RGPD). Là encore, les assureurs seront le plus souvent concernés.

Mise en conformité et opportunités

Afin de faire face à ces nouvelles obligations, la plupart des entreprises procèdent en plusieurs étapes. L’essentiel étant d’avoir pris des mesures de mise en conformité avant le 25 mai ou rapidement après. Il convient tout d’abord d’établir une cartographie des traitements, un questionnaire et des interviews permet­tent de rédiger un rapport. Une feuille de route doit ensuite être mise en œuvre. Elle doit prévoir les points suivants : mise en place d’un DPO, d’un registre, une revue des mentions informatives, voire des nécessaires consentements ou encore des déclarations préalables. Il est égale­ment nécessaire de décider avec ses partenaires (intermédiaires, prestataires) si ces derniers sont responsables conjoints de traitement (art. 26 RGPD) ou sous-traitants (art. 28 RGPD, art. 12 L. 14 mai 2018, nouvel art. 35 Loi de 78). Il est ensuite obligatoire d’établir une convention avec ces responsables conjoints ou ces sous-traitants.

Cette revue constitue une opportunité pour implanter les obligations de recueil d’informations introduites par DDA, de réfléchir à la valorisation de la donnée dans l’entreprise pour les campagnes futures de souscription et de redéfinir les relations avec les partenaires de l’assureur qui partagent avec lui le traitement des données. Un vaste chantier a été ouvert pour beaucoup depuis de longs mois. C’est une opportunité pour repenser les stratégies de souscription face aux spécialistes de la valorisation des données personnelles que sont les Gafa.

Sélectionné pour vous

Rejet d'une clause d'exclusion faute de preuve

L'assurance des risques cyber à l'épreuve des garanties silencieuses

Les cas pratiques de la médiation de l'assurance (#48) : un objet statique dans sa position normale n'est pas une cause extérieure en cas d'accident