Chantier en cours dans l'assurance

La Commission nationale de l’informatique et des libertés (Cnil) dressait en novembre dernier un bilan du règlement général sur la protection des données (RGPD) dans l’assurance, quatre mois après sa mise en œuvre effective. Bien que les professionnels soient en ordre de marche, des ajustements sont nécessaires.

Partager
Chantier en cours dans l'assurance
Michel Bazet, délégué à la protection des données d’AG2R La Mondiale : « Avant le RGPD, l’assureur était généralement considéré comme le responsable de traitement et le courtier, le sous-traitant dans le cadre d’une délégation de gestion. »

L'entrée en vigueur du Règlement général sur la protection des données (RGPD) a induit un chantier colossal pour les assureurs et intermédiaires, qui manipulent nombre de données sensibles. Il y a six mois, la Commission nationale de l’informatique et des libertés (Cnil) a dressé un premier bilan de sa mise en œuvre dans le secteur. Elle relevait alors « une prise de conscience inédite » des particuliers. Avec une hausse significative du nombre de plaintes reçues, ces derniers « font valoir leurs nouveaux droits (effacement, demande d’accès aux données…) afin de supprimer les données médicales transmises au stade de la prospection, par exemple », observe le délégué à la protection des données (DPO) d’un grand groupe de courtage.

Quid des professionnels ? La Cnil constatait il y a quelques mois une « appropriation progressive » du RGPD, à l’image de ces centaines de notifications de violations de données – désormais obligatoires – qu’elle avait reçues. Inquiétant ? Oui et non. Selon Michel Bazet, DPO du groupe de protection sociale AG2R La Mondiale, cela n’a pas beaucoup de sens de tirer un bilan d’une réglementation qui exigera des années avant d’être totalement effective.

Car de nombreux points restent à éclaircir. Un exemple. La contractualisation des relations entre assureurs et courtiers. « Avant l’entrée en vigueur du RGPD, personne ne se posait de question, l’assureur était généralement considéré comme le responsable de traitement et le courtier, le sous-traitant dans le cadre d’une délégation de gestion », explique le DPO d’AG2R La Mondiale. Le débat se cristallise, entre autres, sur la détermination du rôle de chacun dans le traitement des données personnelles, avec des interprétations différentes de notions déjà existantes, comme celle concernant le responsable de traitement et le sous-traitant, ou encore celle vis-à-vis du responsable conjoint de traitement. « Une grande majorité des courtiers a refusé de signer les conventions régissant les relations avec les assureurs. Généralement, ceux-ci considèrent le courtier comme sous-traitant, sans concertation et sans considérer la voie ouverte par la responsabilité conjointe de traitement », confirme un spécialiste de ces questions.

Nouveaux référentiels à adopter

« Nous travaillons à l’actualisation de notre guide pratique sur la sous-traitance pour y inclure la question, notamment, des responsables de traitement et des responsables conjoints, qui soulève beaucoup d’interrogations », confirme Sophie Nerbonne, la directrice de la conformité à la Cnil. Comme le souligne cette dernière, des problématiques propres à l’assurance se posent également en matière d’assurance-vie. En application des dispositions de l’article 14 du RGPD, dès que le tiers bénéficiaire est désigné, le responsable de traitement est censé l’en informer. Dans la mesure où le code des assurances prévoit que le souscripteur peut changer d’avis à tout moment, l’obligation d’information est repoussée au moment où l’assureur avisera le bénéficiaire de la stipulation qui a été effectuée à son profit. La Cnil et les assureurs doivent ainsi trouver des solutions pour articuler de façon cohérente les dispositions nationales, issues du code des assurances, avec le RGPD.

S’agissant des actions à venir, la Cnil doit adopter de nouveaux référentiels. Dans le secteur des assurances, depuis novembre 2014, un pack de conformité traduit la réglementation dans un outil opérationnel afin d’assurer une régulation effective des données personnelles. Mais ce dispositif doit être actualisé avec le RGPD. « Avant que le règlement ne soit applicable, nous nous sommes rapprochés des assureurs pour mener un travail d’actualisation de ce pack afin de prendre en compte les nouvelles obligations du règlement », explique la directrice de la conformité à la Cnil. Pendant un temps, la piste d’un code de conduite avait été évoquée. Mais les discussions entre la Cnil et les assureurs vont finalement déboucher sur la mise en œuvre d’un référentiel sectoriel.

PARCOURIR LE DOSSIER

Tout le dossier

Sujets associés

NEWSLETTER Quotidienne

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

LES ÉVÉNEMENTS

Tous les événements

Les formations LSA CONSO

Toutes les formations

LES SERVICES DE LSA CONSO

Trouvez les entreprises de la conso qui recrutent des talents

MICHAEL PAGE

CRM Process Business Analyst H/F

MICHAEL PAGE - 27/09/2022 - CDI - Marseille

+ 550 offres d’emploi

Tout voir
Proposé par
LSA

Détectez vos opportunités d'affaires

13 - Rousset

Fourniture de colis de Noël destinée au personnel municipal

DATE DE REPONSE 01/01/1970

+ de 10.000 avis par jour

Tout voir
Proposé par
Marchés Online

Les réseaux de Franchises à suivre

INDIANA CAFE

INDIANA CAFE

Depuis plus de 30 ans Indiana café est la « brasserie américaine » !

+ 2600 franchises référencées

Tout voir
Proposé par
Toute la Franchise

ARTICLES LES PLUS LUS