RGPD : Quelles sont les démarches à suivre pour être en conformité ?

Le 25 mai 2018, le Règlement Général sur la protection des Données (RGPD) est entré en vigueur et va impacter l’ensemble des entreprises européennes.

Le courtage en assurance n’y fait pas exception puisque le secteur de l’assurance fait partie des domaines d’activité traitants un volume important de données personnelles.

Qu’est-ce que le RGPD ? 

Le RGPD a pour principal objectif d’uniformiser l’ensemble des lois et réglementations déjà mise en place sur la protection des données auxquelles ont été ajoutées quelques exigences. 

 

Le Règlement Général sur la Protection des Données vise à responsabiliser les entreprises sur leur manière d’analyser, de traiter les données collectées et prévoit d’élargir la réglementation relative à la collecte de données à caractère personnel (nom, adresse, numéro de téléphone, etc.) Cette nouvelle norme introduit la notion de données sensibles (appartenance ethnique, opinion politique, etc.) qui ne peuvent être collectées sans consentement écrit. 

 

Le RGPD apporte davantage de droit aux clients qui peuvent désormais être informés sur le traitement de leurs données, mais aussi bénéficier d’un droit d’accès, de rectification ou de suppression des données.

 

Afin de veiller au respect de ces nouvelles lois, la CNIL a renforcé les sanctions. Celles-ci pourront être appliquées aux responsables de traitement et aux sous-traitants d’une entreprise.

 

Ainsi, en cas de non-respect du règlement l’amende pourra aller jusqu’à 4% du chiffre d’affaires annuel global de l’entreprise ou 20 millions d’euros. Ces sanctions s’appliquent à l’ensemble des sociétés installées au sein de l’Union Européenne, mais aussi à celles basées en dehors de l’UE qui traitent les données de personnes situées dans les Etats membres.

 

Quelles actions mettre en place pour être conforme au RGPD ? 

Chaque entreprise concernée par le RGPD doit en premier lieu nommer un DPO (Délégué à la Protection des Données) qui a pour mission de rédiger et mettre en place l’ensemble des process de mise en conformité avec le RGPD. Toutes les informations relatives aux responsabilités du DPO sont disponibles ici : https://www.cnil.fr/fr/designation-dpo

 

1. Rédiger un registre de traitement des données 

Le registre de traitement des données vise à avoir une vision d’ensemble des données collectées, ainsi que des traitements réalisés au sein d’une organisation. Cette action a pour but de permettre au responsable de traitement des données de connaître : 

  • le type de données collectées et pour chaque activité de l’entreprise
  • ce pour quoi ces données sont collectées 
  • qui a accès à ces données 
  • la durée de conservation de ces informations 

 

Une fois ce registre constitué, il doit être présenté et conservé par le dirigeant de l’entreprise. 

 

2. Organiser ses données

La première étape vers la mise en conformité avec le RGPD consiste à s’interroger sur la réelle vocation des données collectées. En effet, celles-ci ne peuvent être conservées que si elles ont pour unique objectif de contribuer au développement d’une entreprise.  Le DPO devra s’assurer que les personnes qui ont accès à des données personnelles soient bien habilités, mais également, que ces informations respectent les délais de conservation prévus par la loi. 

 

3. Être conforme avec les droits des personnes

L’un des principaux enjeux du RGPD est de protéger les personnes dont les données personnelles sont collectées. Ainsi, les entreprises se doivent d’être particulièrement sensibles : 

  • au motif de la collecte et du stockage d’information
  • à la liste des personnes ayant accès aux données
  • au temps de conservation des données 

 

Ces éléments doivent être consultables dans la politique de confidentialité de l’entreprise et être accessibles à chacun par souci de transparence.

 

Enfin, le DPO doit mettre en place des process afin que toute personne ayant fourni des données personnelles puisse à tout moment exercer son droit d’accès, d’opposition ou de rectification.

 

4. Garantir la sécurité des données hébergées

Chaque entreprise doit être en mesure de garantir une sécurisation des informations hébergées en fonction du niveau de sensibilité de celles-ci. L’objectif n’est pas d’affirmer qu’il n’y a aucun risque de perte de données, mais plutôt de montrer que tout a été mis en œuvre pour minimiser ce risque. Il s’agit, toujours pour le DPO, de rédiger un plan d’actions regroupant l’ensemble des processus qui seront appliquées pour prévenir des risques de piratages ou de pertes de données au sein de l’entreprise. 

 

Le Règlement Général sur la Protection des Données est un sujet que les courtiers en assurance notamment doivent traiter avec le plus grand sérieux. Le CSCA (Chambre Syndicale des Courtiers d'Assurances) pourra d’ailleurs les informer  et mettre à leur disposition des fiches conseils et pratiques pour les accompagner dans leur démarche de mise en conformité (https://www.csca.fr/services-adherents/juridique-et-reglementaire/reglement-general-sur-la-protection-des-donnees-rgpd-et-droit-du-numerique). 

En poursuivant votre navigation, vous acceptez l'utilisation de cookies qui nous permettent d'améliorer votre expérience utilisateur et d’analyser notre audience.