Europe – Réglementation – Informatique et libertés : Du changement dans la protection des données personnelles

Le cadre actuel de la protection des données à caractère personnel, notamment la loi informatique et libertés, repose sur une directive de 1995. Toutefois, à l'époque, le développement d'Internet, des systèmes décisionnels ou de la géolocalisation n'avait pas été pris en compte. Un projet de réglementation européenne, présenté le 25 janvier 2012, est donc actuellement en discussion à Bruxelles.

Or, les données à caractère personnel sont omniprésentes dans le métier des assureurs et de leurs distributeurs. « Les acteurs de l'assurance sont de gros consommateurs de données personnelles, qui constituent la matière première de la connaissance des clients et des risques. Le projet de directive, qui a pour objectif d'harmoniser les pratiques dans les différents États, peut donc avoir des effets significatifs sur ces dernières », note Éric Jeanne, responsable gestion des risques pour l'assurance chez Accenture. « Du fait de la concurrence, les assureurs utilisent également des systèmes pour cibler leurs clients, ce qui signifie davantage de croisements et de manipulations de données à caractère personnel », confirme Marianne Benichou, consultante senior chez Solucom-practice sécurité et risk-management.

LA PROTECTION DES DONNÉES AUJOURD'HUI

La loi informatique et libertés définit les règles de collecte, traitement et conservation des données personnelles. Leur non-respect fait encourir cinq ans d'emprisonnement et 300 000 € d'amende.

• Finalité des traitements Un fichier doit avoir un objectif précis, et les informations exploitées doivent être cohérentes par rapport à celui-ci.
• Durée de conservation des informations Le responsable d'un fichier fixe une durée de conservation raisonnable en fonction de l'objectif du fichier.
• Sécurité des fichiers Des mesures de sécurité physiques (accès aux locaux), logiques (systèmes d'information) et adaptées à la nature des données doivent être adoptées.
• Confidentialité des données Seules les personnes autorisées peuvent accéder aux données personnelles d'un fichier.
• Information des personnes Le responsable d'un fichier doit permettre aux personnes concernées par des informations qu'il détient d'exercer pleinement leurs droits. À défaut, la sanction est de 1 500 € par infraction constatée et de 3 000 € en cas de récidive.

(SOURCE : CNIL.)

Trop tôt pour réagir, mais assez pour réfléchir

Les experts anticipent le vote de cette nouvelle réglementation courant 2013 ou 2014, avec une application au mieux pour 2015, voire 2016. Une échéance qui semble encore lointaine. D'ailleurs, Philippe Renevier, président de la commission juridique du Syndicat 10 (qui regroupe des courtiers grossistes) et directeur juridique d'April, souligne que, « au niveau du syndicat, nous estimons qu'il est encore trop tôt pour y travailler, tout peut encore changer. Cependant chaque membre y réfléchit individuellement ». S'il n'est pas l'heure d'agir, « ce serait cependant une erreur de considérer que ce texte ne changera pas grand-chose. C'est un chantier non négligeable. S'il ne faut pas partir trop tôt, il faut rester actif dans sa veille », résume Paul-Olivier Gibert, président de l'Association française des correspondants informatique et libertés (AFCDP) et du cabinet Digital et Ethics, spécialiste éthique et compliance (conformité aux règles, déontologie).

Des consommateurs de plus en plus sensibilisés

70%

des Français estiment que toute organisation ayant subi une intrusion dans ses données devrait être obligée de l'annoncer.

45%

jugent qu'elle devrait être sanctionnée plus durement en cas de perte de données.

33%

déclarent ne pas avoir confiance dans la capacité des entreprises à protéger les données personnelles du piratage.

60%

pensent que les entreprises doivent faire davantage d'efforts pour sécuriser les données de leurs clients.

Source : sondage cybersécurité mené pour l'éditeur de plates-formes de sécurité LogRhythm auprès de 400 consommateurs français, publié en novembre 2012.

 

Des sanctions beaucoup plus lourdes

Côté sanctions, la donne change beaucoup pour les grands groupes français : les sanctions devraient être les mêmes dans tous les États membres de l'Union européenne et ne plus être calculées à un niveau national, mais à un niveau mondial. « Dans le projet de règlement, on parle de 2% du chiffre d'affaires monde. Pour un groupe de la taille d'Axa cela correspondrait à environ 30 M€ », souligne Marianne Benichou.

En France, jusqu'à présent, la sanction maximale est de 300 000 €, et la Commission nationale de l'informatique et des libertés (Cnil) est plutôt dans une logique d'accompagnement et de pédagogie.

MICHEL BAZET, DIRECTEUR DES RISQUES OPÉRATIONNELS ET DE LA QUALITÉ ET CIL D'AG2R-LA MONDIALE « Des sanctions assez déraisonnables »

« Avec le projet de règlement, nous rentrons dans une logique de sanctions qui peuvent aller jusqu'à 2% du chiffre d'affaires global, soit environ 320 M€ pour notre groupe ! Je comprends qu'il puisse être nécessaire d'aller plus loin, mais 2% du chiffre d'affaires, cela semble assez déraisonnable.

A minima, il faudrait que le texte précise ce qui peut entraîner de telles sanctions, et qu'il introduise une gradation et des limites. L'enjeu de protection des droits individuels n'est pas le même entre les traitements de la police nationale et ceux d'un courtier en assurance santé...

Pour être conforme et éviter les sanctions, il faut commencer à nous préparer, même s'il n'y a pas encore de feuille de route précise. Par exemple, nous allons renforcer le système de détection des failles de sécurité. Nous pouvons aussi commencer à réfléchir aux procédures d'information des clients en cas de perte de données. En revanche, d'autres actions, comme la documentation, ne peuvent pas être engagées avant d'avoir plus de précisions. »

 

Nomination d'un correspondant obligatoire

Le changement est donc de taille. « L'ambition de la Commission européenne est de parvenir à des niveaux de sanctions comparables à ce que prévoit le droit à la concurrence. Cela lui permet de montrer que le sujet à autant d'importance à ses yeux », explique Fabrice Naftalski, avocat associé chargé du droit informatique chez Ernst et Young.

Le projet de règlement prévoit que toutes les entreprises de plus de 250 salariés devront nommer un correspondant à la protection des données, plus ou moins l'équivalent du correspondant informatique et libertés (CIL). « Toutes les grandes compagnies ont déjà un CIL, mais, elles devront tout de même revisiter cette fonction », confirme Paul-Olivier Gibert. Les entreprises d'assurances qui n'ont pas encore nommé de CIL seront beaucoup plus touchées.

Les courtiers, notamment, sont concernés. « Avoir un CIL me semble un peu tôt pour une petite structure comme la nôtre. Cela pourrait cependant être intéressant au niveau d'un groupement de courtiers, afin de mutualiser ces problématiques », estime Corine Monteil directrice générale du courtier grossiste nousassurons.com, qui emploie une dizaine de salariés. Une hypothèse qui semble peu probable pour Philippe Renevier : « La mise en place d'un CIL commun au niveau du syndicat semble, en l'état du projet de règlement, difficile à envisager, notamment au regard des besoins de chacun des membres et du caractère stratégique que représente pour chacun la gestion des données clients. »

FABRICE NAFTALSKI, AVOCAT ASSOCIÉ EN CHARGE DU DROIT INFORMATIQUE CHEZ ERNST et YOUNG « Ces changements ne seraient pas neutres pour les délégataires »

• La loi informatique et liberté s'applique-t-elle aux données personnelles sur papier ? Oui, dès lors qu'il existe un ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés, on est soumis à cette loi. Un distributeur d'assurances devrait ainsi conserver ses dossiers contenant des données à caractère personnel dans des armoires qui ferment à clé, et avoir une alarme pour se protéger des cambriolages. Si un courtier laisse en évidence son mot de passe pour accéder à l'extranet d'un assureur, il pourrait être reconnu responsable d'une faille de sécurité.
• Le projet de règlement a-t-il un impact sur les délégataires ? Il introduit une nouvelle notion : le coresponsable de traitement. Lorsque deux entités déterminent et mettent en oeuvre un même traitement, elles sont responsables conjoints. Par exemple, dans le cas de la délégation de gestion, le délégataire et le délégant pourraient être considérés comme coresponsables en fonction du niveau d'autonomie du délégataire. Un coresponsable est beaucoup plus exposé que le sous-traitant. Cependant, dans la pratique, ce nouveau concept a souvent été anticipé dans les contrats.

 

Obligation de documentation et d'audit

Avec le projet de règlement, les entreprises françaises passent d'une logique de déclaration des traitements à une logique d'accountability, c'est-à-dire à une obligation de documenter la manière dont elles assurent la conformité au jour le jour, sans déclaration préalable, sauf pour des traitements très sensibles. « Il faut être capable de documenter et de tenir à jour cette documentation, afin de prouver, en cas d'audit, que les dispositifs ont bien été mis en place, explique Sébastien de la Lande, senior manager gestion des risques chez Accenture. Ce n'est pas au contrôleur de démontrer qu'il y a une défaillance. C'est à l'entreprise de démontrer que les dispositifs ont été mis en place et qu'ils sont réellement en fonctionnement. »

Le grand public commence à connaître ses droits. L'enjeu peut être important en termes d'image.

Marianne Benichou, consultante senior chez Solucom

 

Notifier les failles de sécurité à la Cnil

L'article 31 du projet de réglementation prévoit également que les entreprises devront informer l'autorité de protection des données (la Cnil en France) si des données personnelles ont été perdues ou piratées. Le texte mentionne un délai de vingt-quatre heures pour effectuer la notification. Si l'entreprise prouve qu'elle a mis en place un dispositif de sécurité raisonnable, elle pourra échapper à la notification auprès des personnes concernées, c'est-à-dire ses clients et prospects. « On est essentiellement sur des problématiques d'organisation. L'enjeu est de définir le processus qui permettra de prendre en compte le respect de la vie privée au sein des projets (le Privacy by design), de définir la méthodologie et de sensibiliser les collaborateurs, notamment en diffusant un code des bonnes pratiques », souligne Marianne Benichou.

Toutefois, pour pouvoir notifier une faille de sécurité, il faut mettre en place des processus qui permettent de détecter une attaque ou une fuite de données, ce qui est complexe. De plus le projet est flou. « Nous ne savons pas encore quels types de failles devront être notifiés. Si un disque dur crypté est égaré, faut-il le déclarer ? », s'interroge Michel Bazet, directeur des risques opérationnels et de la qualité et CIL d'AG2R-La Mondiale ?

Il faut former les courtiers et les mandataires à la protection des données, car, actuellement, ils ne sont pas du tout sensibilisés.

Corine Monteil, directrice générale du courtier grossiste nousassurons.com

 

Les distributeurs et sous-traitants responsables

Le nouveau règlement introduit également une responsabilité pour les sous-traitants et la notion de coresponsable de traitement. « Il faudra donc documenter les contrats et les mandats de façon beaucoup plus précise, afin de définir les limites de responsabilité des uns et des autres. Il faudra également mener des audits et des contrôles chez le sous-traitant », prévoit Michel Bazet.

Juristes, délégataires, sous-traitants, CIL, responsable conformité et informaticiens devront être mis autour d'une table quand des conventions seront rédigées pour des traitements informatiques. On voit donc que courtiers et délégataires seront touchés. D'ailleurs, à terme, « les assureurs pourront refuser de travailler avec certains courtiers s'ils estiment que leur gestion des données personnelles ne respecte pas la réglementation », prévient pour sa part Marianne Benichou.

Sélectionné pour vous

Thomas Buberl, invité du Grand Forum de l'assurance le 20 mai

Blockchain : deux assureurs se lancent (Amrae 2018)

Marché IARDT : des conditions toujours favorables aux clients