DSI de compagnie d’assurance : quel est l’impact du RGPD sur mon SI ?
Le Règlement Général sur la Protection des Données (RGPD) est un règlement européen qui régit et unifie la protection des données à caractère personnel dans toute l’Union européenne. Entré en vigueur le 25 mai 2018, il fournit une liste d’obligations et de responsabilités minimales pour les entreprises, concernant les informations qu’elles collectent sur leurs clients, leurs prospects et les individus en général.
Cette loi, qui est venue remplacer partiellement la loi Informatique et Libertés et les préconisations de la CNIL, donne également une définition plus large de ce qu’est une donnée personnelle. Les informations de localisation, l’adresse IP ou encore l’identité culturelle d’un individu peuvent ainsi être considérées comme relevant de sa vie privée. En parallèle, les citoyens européens disposent de nouveaux droits qu’ils ont la possibilité de faire valoir auprès des entreprises.
Par conséquent, le Règlement Général sur la Protection des Données a un impact non négligeable sur les compagnies d’assurance, qui doivent respecter certaines obligations et mettre en place des procédures spécifiques pour se mettre en conformité avec la loi.
La mise en conformité des sociétés d’assurance passe, en premier lieu, par le respect de certaines obligations inhérentes au RGPD.
Le règlement européen sur la protection des données a pour objectif de responsabiliser les entreprises en tant que « responsables de traitement ». Ainsi, elles ont le devoir de prouver à la CNIL qu’elles respectent bel et bien la loi en vigueur.
La collecte de données sensibles implique le consentement explicite des personnes concernées. En cas de contrôle de la Commission nationale de l’informatique et des libertés, une compagnie d’assurance doit donc être en mesure de présenter une preuve de ce consentement ou un motif légitime.
Par exemple, récolter des données de santé peut s’avérer indispensable pour sauvegarder les intérêts vitaux d’une personne ou pour répondre à certaines obligations.
Avant l’entrée en vigueur du Règlement général sur la protection des données, les acteurs de l’assurance n’étaient soumis à aucune limitation de temps pour la conservation des données de leurs clients et prospect.
Mais les choses ont changé : désormais, ils ont l’obligation de supprimer les informations personnelles de tout prospect dont le dernier contact remonte à plus de 3 ans et qui n’a signé aucun contrat d’assurance. Les compagnies doivent également effacer les données des clients ayant cessé toute relation contractuelle depuis au moins 10 ans.
Au moment de collecter des données, leur finalité doit être clairement déterminée, explicite et légitime. Ainsi, le client ou prospect consent à ce que ses informations soient utilisées pour une finalité bien précise et conservées uniquement pour la durée nécessaire au traitement. La data récoltée ne peut donc pas être exploitée ultérieurement pour une autre finalité.
Le RGPD exige la création d’un registre des traitements automatisés, dans lequel est consignée la totalité des traitements effectués sur les données des clients et prospects. Il doit être actualisé régulièrement afin d’offrir une vue d’ensemble cohérente des différents flux d’informations, mais aussi du stockage de ces dernières.
Si le RGPD a apporté son lot d’obligations pour les assureurs, le règlement européen accorde également de nouveaux droits pour les clients et les prospects.
Ils concernent notamment la restitution et la suppression des données à caractère personnel. Sur simple demande, un client peut ainsi exiger de recevoir un fichier contenant l’ensemble des données le concernant. La compagnie d’assurance doit aussi lui permettre de modifier facilement ses informations personnelles.
Par ailleurs, les clients et prospects ont la possibilité de demander la suppression définitive de leurs données à tout moment. Ils ne sont donc pas obligés d’attendre les délais fixés par la loi, à savoir 3 ans après la dernière prise de contact pour les prospects et 10 ans après la fin de la relation contractuelle pour les anciens clients.
Cependant, ces informations ne doivent pas être indispensables pour l’exploitation d’un contrat d’assurance en cours. En outre, les assureurs sont dans l’obligation de conserver la data servant à la traçabilité des fonds, dans le cadre d’un placement financier.
La sécurisation des données à caractère personnel est un autre axe majeur du RGPD, qui concerne tout particulièrement les entreprises du secteur assurantiel. En effet, ces dernières sont amenées à stocker un certain nombre d’informations, liées notamment à la souscription de contrats.
Les compagnies d’assurance doivent donc s’assurer que ces données bénéficient d’un niveau de protection suffisant, et ce pour toute la durée d’activité d’un contrat. Par exemple, la mise en place du protocole HTTPS et le chiffrement des espaces de stockage numériques font partie des mesures incontournables pour garantir une sécurité satisfaisante.
Si, malgré toutes les précautions de l’assureur, un problème de sécurité engendrait la fuite ou le piratage de certaines données, l’entreprise serait dans l’obligation d’avertir la CNIL, mais aussi l’ensemble des clients et prospects concernés. Elle devrait alors décrire précisément les circonstances de l’incident, ainsi que la nature exacte des données perdues.