Back to top

Le point sur la mise en oeuvre du RGPD dans le secteur de l’assurance avec Clémence Scottez, cheffe de service à la CNIL

03/01/2019 Expertise

Grâce au travail accompli avec le pack de conformité, le bilan de la mise en oeuvre du RGPD dans le secteur de l’assurance est positif.

Pour appliquer le règlement général sur la protection des données dans le secteur de l’assurance, des outils sont disponibles sur le site de la CNIL et un nouveau guide paraîtra bientôt. Le point avec Clémence Scottez, cheffe du service des affaires économiques à la CNIL.

Quel est le bilan de la mise en oeuvre du règlement général sur la protection des données, le RGPD, quelques mois après son entrée en application le 25 mai 2018 ?

Clémence Scottez : La CNIL entretient des relations de longue date avec les organisations professionnelles du secteur de l’assurance. En 2014, nous avons notamment créé un Club Conformité afin de mettre en oeuvre un pack de conformité Assurance, toujours utilisé aujourd’hui. Les autorisations uniques et normes intégrées dans ce pack sont toujours utiles et offrent aux sociétés qui s’y étaient conformées, avant mai 2018, un délai de trois ans pour réaliser une analyse d’impact portant sur les traitements à risque. La CNIL travaille actuellement avec la Fédération française de l’assurance à la rédaction d’un guide permettant d’actualiser le pack de conformité, au regard du RGPD. La FFA devrait discuter de ce document avec ses membres d’ici à la fin de l’année. Ce guide, dont la forme n’est pas encore définie (guide, lignes directrices “CNIL” ou encore fiches pratiques), devrait ainsi être finalisé au premier semestre 2019. L’objectif est de mettre à disposition un outil réellement pratique, qui tout en étant directif permette une adaptation à chaque cas. En attendant, grâce au travail accompli avec le code de conformité, le bilan de la mise en oeuvre du RGPD dans le secteur de l’assurance est positif.

Quels sont les chiffres significatifs de ce bilan ?​

C.S. : À la fin octobre 2018, 2 179 organismes de la finance et l’assurance avaient désigné un responsable du traitement des données, dont l’UNMI. Le secteur se classait en cinquième position pour le nombre de notifications de violations de données à la CNIL. Au total, et tous secteurs confondus, quelque 800 notifications nous étaient parvenues, dont plus de la moitié concernaient des actes de piratage, d’hameçonnage ou de logiciels malveillants effectués par des tiers. Venaient ensuite les envois d’emails à de mauvais destinataires par erreur du personnel. Dans 20 % des cas, la cause est inconnue ou indéterminée. C’est dire l’importance de mieux protéger les données en appliquant strictement le RGPD. Pour prévenir leur violation, il faut penser à leur sécurité en amont de tout projet, et y veiller par des mises à jour régulières des systèmes, serveurs et bases de données. Informer régulièrement le personnel sur les risques et les enjeux de la sécurité informatique est également essentiel.

Que se passe-t-il en cas de manquement au règlement constaté par la CNIL ?

C.S. : Lorsque l’organisme s’est efforcé de remplir ses obligations mais a commis une erreur dans l’application du RGPD, nous tenons compte de sa bonne foi. Nous l’accompagnons dans sa démarche de conformité dans un esprit de coopération. Nous le faisons en répondant à des questions concrètes. La sanction n’intervient que si nous ne trouvons pas de solution ensemble.

Comment la CNIL aide-t-elle les organismes d’assurance à mettre en oeuvre le RGPD ?

C.S. : Deux outils essentiels sont à leur disposition sur le site de la CNIL. Un registretype des traitements des données personnelles répond aux besoins les plus courants, en particulier pour les petites structures. Un logiciel téléchargeable, sous licence libre, permet ensuite de réaliser l’étude d’impact relative à la protection des données. Cet outil décline la méthode d’analyse de la CNIL et permet d’adapter les contenus aux spécificités de chaque secteur. Nous avons aussi publié récemment la liste des traitements qui nécessitent une telle étude. Cette liste a été validée au niveau européen par le CEPD (Comité européen de la protection des données), afin qu’il n’y ait pas d’incohérence. Nous organisons également des ateliers ouverts à l’ensemble des responsables des traitements de données et plus particulièrement les DPO, qu’ils représentent un organisme ou, ce qui est une pratique moins connue, qu’ils soient mutualisés par une association, une union ou une fédération. Il leur est possible de s’inscrire depuis le site de la CNIL.

Existe-t-il un projet de certification ?

C.S. : La certification RGPD des traitements est à l’étude au niveau européen. L’alternative est la publication d’un code de bonne conduite, dont le respect par les sociétés y adhérant, devra être contrôlé par un organisme indépendant agréé par une autorité de protection des données. Aucun organisme d’assurance n’a encore un tel code.