Le 25 mai, le RGPD est entré en application. Ce règlement a pour objectif, à l’échelle de l’Europe, de garantir que les données personnelles d’une personne ne puissent pas être utilisées à son insu.
Concrètement, pour vous distributeur et gestionnaire de produits d’assurance, qu’est-ce que ça implique ? Nous ne reprendrons pas les analyses développées par la presse et les organisations professionnelles, par exemple le CSCA (Cliquez ici) pour une analyse exhaustive des mesures à prendre, mais nous vous proposons de nous focaliser sur les aspects relatifs à notre prestation en tant que fournisseur de votre système informatique et sur l’utilisation que vous pouvez en faire.
Editeur de logiciel pour les acteurs du courtage nous développons un outil de gestion qui facilite le développement de votre activité :
Le premier sujet concerne le droit à l’information et à l’accès à ses données par le consommateur. Dans le prolongement de ce qu’imposait la CNIL, vos prospects et clients doivent être informés que les données que vous collectez les concernant sont traitées informatiquement, qu’ils peuvent y avoir accès, demander leur correction et, ce qui est nouveau, leur suppression. Ces dispositions doivent être portées sur vos documentations commerciales et contractuelles. Vous devez également leur fournir un moyen de contact pour leur requête (adresse postale, adresse mail). Si vous diffusez ces informations au-delà des processus liés à votre activité de distributeur/gestionnaire, vous devez également les en informer.
Novanet vous permet d’éditer une fiche de synthèse client/prospect comportant les données enregistrées. La fiche de synthèse est disponible en cliquant sur le mot « client » en haut à droite dans le bandeau bleu situé sous le menu général de Novanet :
Il vous permet également de supprimer un prospect ou un client dès lors qu’il n’y a pas de comptabilité enregistrée sur son compte. Pour des demandes spécifiques, le Service Support est à votre disposition pour mettre en place des traitements particuliers.
Le deuxième sujet concerne la sécurité d’accès pour garantir que des personnes non autorisées ne peuvent pas accéder aux données personnelles. Ce sujet tient en premier lieu à la sécurisation de notre exploitation. Vos données sont hébergées en France dans un centre de traitement extrêmement sécurisé (voir documentation : Cliquez ici). Nous organisons chaque année plusieurs audits d’intrusion en collaboration avec nos clients afin d’identifier au plus tôt les failles éventuelles et de nous adapter aux techniques toujours plus élaborées de hacking des systèmes. Nous consacrons ensuite l’équivalent de 2 personnes à plein temps pour résorber ces failles de sécurité et poursuivre la veille sur les risques. Nous nous engageons à vous informer sans retard si une intrusion extérieure réussissait à accéder aux données de votre portefeuille. Le risque d’accès non souhaité vous incombe également : les logins et mots de passe doivent rester chez vous totalement personnels et confidentiels. Assurez-vous qu’ils ne soient pas facilement accessibles. De même, lorsqu’un collaborateur vous quitte, supprimez sans tarder son login ou changez son mot de passe.
Concernant nos collaborateurs qui, pour les besoins d’exploitation, d’assistance et de résolution de problème, peuvent accéder à vos données, ils sont tenus par leur contrat de travail à la plus stricte confidentialité. Nous insistons régulièrement pour les sensibiliser aux risques et à leur responsabilité.
En conclusion, retenez qu’à l’instar des certifications, la mise en pratique du RGPD est d’abord une affaire de prise de conscience des risques, d’organisation et de mobilisation interne pour éviter l’utilisation détournée des données personnelles de vos clients et prospects. En tant que responsable du traitement de ces données, c’est à vous de prendre les mesures de mise en conformité. En tant que prestataire, nous vous garantissons la sécurisation de vos traitements et de vos données et nous restons à vos côtés pour vous assister en cas de problème. En revanche, nous ne pouvons pas nous substituer à vos prérogatives pour vous préconiser des procédures ou des règles d’organisation. Vos organisations professionnelles et des structures de conseil sont en mesure de vous assister dans ce domaine.
