Le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur et concernera toutes les entreprises européennes. Le secteur du courtage d’assurances ne fait pas exception, car celui-ci est l’un des domaines d’activité qui traitent de grandes quantités de données à caractère personnel.
Quel est l’objectif du RGPD ?
L’objectif principal du RGPD est de normaliser toutes les lois et réglementations existantes en matière de protection des données et d’ajouter certaines exigences.
Cette nouvelle réglementation vise à responsabiliser les entreprises sur la manière dont elles analysent et traitent les données collectées, et prévoit l’extension des réglementations liées à la collecte des données à caractère personnel:
- nom,
- adresse,
- numéro de téléphone,
- etc..
Le règlement général sur la protection des données introduit la notion de données sensibles (opinions politiques, appartenance ethnique, etc.) qui, sans consentement écrit des personnes concernées, ne peuvent être collectées.
Le RGPD apporte plus de droits aux clients : ils peuvent désormais comprendre comment leurs données sont traitées, mais ils peuvent également bénéficier d’un droit d’accès, de rectification ou de suppression des données.
Pour assurer le respect de cette nouvelle réglementation, la CNIL a renforcé les sanctions. Celles-ci peuvent être appliquées aux responsables de traitement et aux sous-traitants de l’entreprise. Ainsi, si la réglementation n’est pas respectée, l’amende peut aller jusqu’à 4 % du chiffre d’affaires annuel de l’entreprise ou 20 millions d’euros. Ces sanctions s’appliquent à toutes les entreprises implantées au sein de l’UE, mais également aux entreprises qui traitent des données personnelles situées dans des États membres en dehors de l’UE.
Comment se mettre conforme au RGPD ?
Toute entreprise qui souhaite effectuer sa mise en conformité RGPD doit au préalable désigner un DPO (Data Protection Officer) dont la mission est de rédiger et mettre en œuvre tous les processus conformes au RGPD
La désignation d’un pilote
Afin de guider la gouvernance des données personnelles dans votre organisme, vous aurez besoin d’un véritable commandant qui assurera la mission d’information, de conseil et de contrôle interne : le délégué à la protection des données. Depuis 2018, vous pouvez d’ores et déjà désigner un Directeur informatique et libertés qui vous offrira des opportunités de première main et vous permettra d’organiser les actions que vous souhaitez entreprendre.
La cartographie des traitements de données personnelles
Pour analyser l’impact de la réglementation européenne sur la protection des données que vous traitez, vous devez au préalable faire un inventaire précis des données personnelles que vous utilisez. Pour ce faire, vous devez constituer un registre de traitement.
La priorisation des actions à mener
En vous basant sur votre registre de traitement, déterminez les actions à entreprendre pour vous mettre conformes aux obligations actuelles et futures. Ces actions sont à prioriser en fonction des risques que votre traitement fait peser sur les droits et libertés des personnes concernées.
La gestion des risques
Si vous avez constaté que le traitement des données personnelles peut présenter un risque élevé pour les droits et libertés des personnes concernées, vous devez effectuer une analyse d’impact sur la protection des données (AIPD) pour chacune de ces opérations de traitement.
L’organisation des processus internes
Afin de toujours garantir un niveau élevé de protection des données personnelles, des procédures internes doivent être mises en place pour garantir que la protection des données est toujours prise en compte et que tous les événements pouvant survenir au cours du traitement (par exemple : violations de la sécurité, gestion des corrections ou des demandes d’accès, modification des données collectées, service Changement de prestataires).
La documentation
Afin de prouver votre conformité à la réglementation, vous devez élaborer et compiler les documents nécessaires. Les actions et documents réalisés à chaque étape doivent être régulièrement revus et mis à jour pour assurer une protection continue des données.
