Révolution de la data

Dans l'assurance, malgré le RGPD, le travail sur la donnée reste un grand chantier

, ,

Publié le

La Commission nationale de l’informatique et des libertés (Cnil) dressait en novembre dernier un bilan du règlement général sur la protection des données (RGPD) dans l’assurance, quatre mois après sa mise en œuvre effective. Bien que les professionnels soient en ordre de marche, des ajustements sont nécessaires.

Dans l'assurance, malgré le RGPD, le travail sur la donnée reste un grand chantier © L'Argus de l'Assurance

L'entrée en vigueur du Règlement général sur la protection des données (RGPD) a induit un chantier colossal pour les assureurs et intermédiaires, qui manipulent nombre de données sensibles. En novembre 2018, la Commission nationale de l’informatique et des libertés (Cnil) a dressé un premier bilan de sa mise en œuvre dans le secteur. Elle relevait alors "une prise de conscience inédite" des particuliers. Avec une hausse significative du nombre de plaintes reçues, ces derniers "font valoir leurs nouveaux droits (effacement, demande d’accès aux données…) afin de supprimer les données médicales transmises au stade de la prospection, par exemple", observe le délégué à la protection des données (DPO) d’un grand groupe de courtage.

Quid des professionnels ? La Cnil constatait il y a quelques mois une "appropriation progressive" du RGPD, à l’image de ces centaines de notifications de violations de données – désormais obligatoires – qu’elle avait reçues. Inquiétant ? Oui et non. Selon Michel Bazet, DPO du groupe de protection sociale AG2R La Mondiale, cela n’a pas beaucoup de sens de tirer un bilan d’une réglementation qui exigera des années avant d’être totalement effective.

Car de nombreux points restent à éclaircir. Un exemple. La contractualisation des relations entre assureurs et courtiers. "Avant l’entrée en vigueur du RGPD, personne ne se posait de question, l’assureur était généralement considéré comme le responsable de traitement et le courtier, le sous-traitant dans le cadre d’une délégation de gestion", explique le DPO d’AG2R La Mondiale. Le débat se cristallise, entre autres, sur la détermination du rôle de chacun dans le traitement des données personnelles, avec des interprétations différentes de notions déjà existantes, comme celle concernant le responsable de traitement et le sous-traitant, ou encore celle vis-à-vis du responsable conjoint de traitement. "Une grande majorité des courtiers a refusé de signer les conventions régissant les relations avec les assureurs. Généralement, ceux-ci considèrent le courtier comme sous-traitant, sans concertation et sans considérer la voie ouverte par la responsabilité conjointe de traitement", confirme un spécialiste de ces questions.

Nouveaux référentiels à adopter

"Nous travaillons à l’actualisation de notre guide pratique sur la sous-traitance pour y inclure la question, notamment, des responsables de traitement et des responsables conjoints, qui soulève beaucoup d’interrogations", confirme Sophie Nerbonne, la directrice de la conformité à la Cnil. Comme le souligne cette dernière, des problématiques propres à l’assurance se posent également en matière d’assurance-vie. En application des dispositions de l’article 14 du RGPD, dès que le tiers bénéficiaire est désigné, le responsable de traitement est censé l’en informer. Dans la mesure où le code des assurances prévoit que le souscripteur peut changer d’avis à tout moment, l’obligation d’information est repoussée au moment où l’assureur avisera le bénéficiaire de la stipulation qui a été effectuée à son profit. La Cnil et les assureurs doivent ainsi trouver des solutions pour articuler de façon cohérente les dispositions nationales, issues du code des assurances, avec le RGPD.

S’agissant des actions à venir, la Cnil doit adopter de nouveaux référentiels. Dans le secteur des assurances, depuis novembre 2014, un pack de conformité traduit la réglementation dans un outil opérationnel afin d’assurer une régulation effective des données personnelles. Mais ce dispositif doit être actualisé avec le RGPD. "Avant que le règlement ne soit applicable, nous nous sommes rapprochés des assureurs pour mener un travail d’actualisation de ce pack afin de prendre en compte les nouvelles obligations du règlement", explique la directrice de la conformité à la Cnil. Pendant un temps, la piste d’un code de conduite avait été évoquée. Mais les discussions entre la Cnil et les assureurs vont finalement déboucher sur la mise en œuvre d’un référentiel sectoriel.

Réagir à cet article

Testez L'Usine Nouvelle en mode abonné. Gratuit et sans engagement pendant 15 jours.

Créez votre compte L’Usine Connect

Fermer
L'Usine Connect

Votre entreprise dispose d’un contrat
L’Usine Connect qui vous permet d’accéder librement à tous les contenus de L’Usine Nouvelle depuis ce poste et depuis l’extérieur.

Pour activer votre abonnement vous devez créer un compte

Créer votre Compte