Le Règlement général sur la protection des données personnelles (RGPD)

Le Règlement général sur la protection des données personnelles (RGPD)

Tant attendu et particulièrement redouté dans le domaine assurantiel, le Règlement Général sur la Protection des Données personnelles (RGPD) est entré en vigueur. Revue de détails des principaux impacts dans le secteur de l’assurance.

Entré en vigueur le 25 mai 2018, le Règlement Général européen sur la Protection des Données personnelles (dit « RGPD »).

La notion de traitement

La donnée personnelle se définit comme toute information qui permet d’identifier directement ou indirectement une personne physique, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. Pour que des données ne soient plus considérées comme personnelles, elles doivent être anonymisées de manière à rendre impossible toute identification de la personne concernée. La notion de traitement est également large puisqu’elle vise toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données personnelles, telles que, par exemple, la collecte, le stockage ou la simple consultation.

Les obligations du responsable de traitement

Le responsable ou « maître du fichier » doit en déterminer les finalités et les moyens. Il doit définir les objectifs du fichier, ces « finalités » déterminent la manière dont le responsable pourra utiliser ou réutiliser ces données. Il lui faut ensuite limiter la conservation des données dans le temps car elles ne peuvent, en principe, être conservées que pour la durée nécessaire à la réalisation de l’objectif poursuivi. Reprenant une règle fondamentale de la loi de 1978, les personnes dont les données sont traitées doivent être informées au préalable de cette opération. Dans certains cas, cette obligation d’information s’accompagnera de la nécessité de recueillir leur consentement – prospection commerciale par mail auprès des non professionnels, prise de décision individuelle automatisée, droits d’accès et de rectification sont également réaffirmés.

A retenir

RGPD responsabilise les acteurs en les obligeant à protéger les données personnelles dès leur conception, en procédant à la cartographie des risques et également en désignant une personne attitrée pour cette fonction.

Les nouvelles obligations

La désignation d’un délégué à la protection des données ou data protection officer (DPO) – chargé de contrôler et de coordonner les pratiques de traitement de données personnelles – est notamment obligatoire lorsque les activités du responsable exigent un suivi régulier et systématique à grande échelle des personnes concernées ou pour les traitements à grande échelle de données sensibles. Ce qui sera nécessairement le cas pour les assureurs. Les anciens correspondants informatique et libertés (CIL) pourront assumer. En outre, des principes nouveaux ont été introduits qui justifient la disparition des déclarations préalables pour la plupart des traitements.
Le principe d’accountability (art. 5, 2 du RGPD) oblige le responsable de traitement à documenter l’ensemble des actions de sa politique de protection des données personnelles afin de démontrer sa conformité au RGPD tant auprès des autorités de contrôle que des personnes concernées. À cette fin, les assureurs, à raison de leur collecte importante de données, devront désormais tenir un registre de leurs activités de traitement.

A noter

L’entrée en vigueur du règlement intervient alors que la mise en application de la directive sur la distribution d’assurances doit être effective à compter du 1er octobre 2018.

Ces bouleversements réglementaires doivent être perçus comme une opportunité pour les assureurs.

La contrepartie de ce principe est allègement des formalités : les formalités préalables auprès de la Cnil sont désormais limitées (art. 8 et 16 L. 14 mai 2018 ; biométrie : nouvel art. 8, 9° loi de 78 ; santé : nouveaux art. 8, 8° et 53 et s. loi de 78). De surcroît, ont été consacrés les principes essentiels de privacy by design et privacy by default (art. 25, 1 et 2, du RGPD) : il s’agit pour le responsable de traitement de mettre en place des mesures permettant de garantir ab initio la protection des données personnelles.

Il doit également être prévu une procédure de gestion des violations de données ; avec obligation de notification à la Cnil dans les 72 heures et aux individus concernés dans les meilleurs délais, si la violation présente un risque élevé pour eux ou sur ordre de la Cnil. Enfin, le responsable de traitement devra dans certains cas effectuer une analyse d’impact notamment en présence d’un traitement à grande échelle de données personnelles sensibles ou de relatives à des condamnations. Là encore, les assureurs seront le plus souvent concernés.