La RGPD ou réglementation générale sur la protection des données entrera en application le 25 mai 2018 dans tous les pays membres de l'Union Européenne. Elle a pour objectif de redonner aux citoyens le contrôle de leurs données personnelles en imposant des procédures à toutes les entreprises, administrations et associations qui traitent des données à caractère personnel. Quels sont les enjeux de la réglementation et les contraintes pour les compagnies d'assurance ?
Renforcer la protection du citoyen en responsabilisant les acteurs traitant des données personnelles
Mardi 13 février, l'Assemblée Nationale a adopté en première lecture le projet de loi relatif à la protection des données personnelles qui doit mettre en conformité la loi française avec le nouveau cadre juridique européen instauré par la directive du 27 avril 2016. Au-delà d'unifier la réglementation des données personnelles des citoyens européens, ce futur règlement établit de nouveaux droits pour le public :
- droit à la portabilité des données personnelles : droit de pouvoir les récupérer et de les utiliser pour les transmettre à un autre système d'information ;
- droit à l'effacement élargi : droit de faire effacer les données à caractère personnel dans les meilleurs délais dans certaines situations ;
- droit de recourir à des actions collectives pour les associations actives dans le domaine de la protection des droits et libertés des personnes en matière de protection des données ;
- droit à réparation du dommage subi : toute personne ayant subi un dommage matériel ou moral du fait d'une violation du règlement pourra obtenir réparation.
A partir du 25 mai 2018, la responsabilité des organismes sera renforcée. Ils devront non seulement assurer une protection optimale des données personnelles à chaque instant, mais également pouvoir la démontrer en prouvant leur conformité. Les sanctions financières en cas de non-conformité à la RGPD peuvent atteindre 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial, le montant le plus élevé étant pris en compte ; des sanctions pénales peuvent s'ajouter. Le texte complet de la RGPD contient 99 articles et peut être consulté sur le site de la CNIL (Commission Nationale Informatique et Liberté) ou sur celui de l'UE.
Comment se préparer à la RGPD ?
La société de conseil Celent a publié en juin dernier un rapport mettant en lumière les enjeux que représente la RGPD pour les assureurs et les points clefs sur lesquels ceux-ci doivent se focaliser pour répondre aux exigences de la RGPD :
- traitement transparent des données : certains organismes doivent nommer un délégué à la protection des données (DPO en anglais ou Data Protection Officer). Ce pilote a pour mission d'informer, de conseiller et de contrôler en interne. La CNIL recommande de désigner une personne compétente chargée de s'assurer de la mise en conformité au règlement européen quand bien même l'entreprise n'est pas formellement concernée par cette obligation.
- s'assurer du consentement : le consentement de la personne est un des fondamentaux légaux sur lequel s'appuie la réglementation. Il doit être obtenu de manière explicite "via une déclaration ou une action positive claire" quand l'entreprise souhaite légitimer l'utilisation des données personnelles.
- sécuriser les données : mettre en place des procédures internes qui garantissent la protection des données à tout moment en évaluant les risques potentiels (faille de sécurité, modification des données collectées, gestion de l'accès,...).
Pour le célèbre économiste et écrivain Jacques Attali, "les maîtres de demain seront les compagnies d'assurance et les agrégateurs de données". Que cette nouvelle vision du capitalisme dépende du bon usage du Big Data.
>réf/Assemblée Nationale, CNIL