GESTION / FINANCE Appliquer le RGPD dans l’assurance
ISBN 978 2 35474 320 8
9 782354 743208
COUV_ESSENTIELS_PLUS_RGPD_2018.indd 1
Comprendre les enjeux du RGPD pour organiser efficacement la conduite ou la supervision d’un projet de mise en conformité, est l’objectif de ce véritable guide ponctué de conseils et d’exemples tirés de la pratique des auteurs. L’accent est particulièrement mis sur le monde de l’assurance au sens large, dont les nombreuses particularités méritent un éclairage spécifique aussi bien juridique que technique ou organisationnel. Les opportunités que constitue le RGPD pour le secteur de l’assurance sont également mises en évidence.
Intègre du 20 juinla loi 2018 relat à la proteive des donnction personn ées elles
Appliquer le RGPD dans l’assurance Appliquer le RGPD dans l’assurance
Hugues Chamba Issu d’une double formation juridique et école de commerce, il est associé du Groupe Valmen et Directeur Général de la branche Conseil. À ce titre, il coordonne des missions d’aide à la prise de décision et de transformation, principalement dans le secteur des assurances de personnes. Il a accompagné de nombreuses entreprises sur la mise en conformité au RGPD ou à la création d’activité de « délégué à la protection des données » externalisé.
Depuis le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur, complété en France par les dispositions de la loi n° 2018-493 du 20 juin 2018 modifiant la loi Informatique et libertés de 1978. Dans un contexte de développement des nouvelles technologies et d’exploitation croissante des données à caractère personnel, ces dernières sont au cœur des enjeux économiques mondiaux et font désormais l’objet d’une protection renforcée. Ce niveau d’exigence pour les responsables de traitements et les sous-traitants génère des contraintes supplémentaires pour les assureurs et leurs partenaires collectant et traitant ces données.
Photo de couverture : Fotolia
Nordine Benhatta Avocat au barreau de Paris et associé fondateur du cabinet B2N Avocat, il exerce une activité de conseil et de défense. Il accompagne les acteurs du marché de l’assurance en matière de gouvernance, conception/distribution de produits d’assurance, protection des données personnelles ; avec une expertise notable en droit de la mutualité. Il a participé à de nombreux projets de mise en conformité au RGPD.
Les 2 Essentiels Plus
Nordine Benhatta • Hugues Chamba
Les Essentiels Plus 12/11/2018 16:45
Sommaire Introduction................................................................................................................................................................ 5
1. Le RGPD dans la continuité de l’histoire française de la protection des données............................................................................................................................................. 9 Évolution de la réglementation relative à la protection des données................................................. 9 Le RGPD et le monde de l’assurance...........................................................................................................12 Le RGPD : une opportunité pour les assureurs.......................................................................................14 En quoi le « monde de l’assurance » est-il particulièrement impacté par le RGPD ?...........15
2. Le cadre et les définitions du RGPD............................................................................19 Le cadre d’application du RGPD.........................................................................................................19 Les principales définitions du RGPD ..............................................................................................20 Leur application au monde de l’assurance..................................................................................25 Les principes généraux à respecter..............................................................................................28 Les sujets «à risques» pour les assureurs et leurs partenaires.........................................41
3. Les droits de la personne concernée...............................................................47 Les droits qui préexistaient au RGPD.......................................................................................47 Les nouveaux droits introduits par le RGPD.........................................................................51 La complexité de leur application, notamment dans l’assurance de personnes..55
4. Les enjeux de la mise en conformité pour les assureurs ...............57 Les principes généraux de la mise en conformité..............................................................57 Les outils et recommandations des autorités de contrôle...............................................62 Comment calculer le coût et la valeur du projet ?...............................................................67
5. Rendre compte de sa mise en conformité - « Accountability » .....71 La logique d’accountability..............................................................................................................71 Les mesures protectrices exigées par le RGPD.......................................................................73 La mise en place des processus obligatoires dans le RGPD...............................................88 Les responsabilités et les recours des personnes concernées.............................................92
6. Les enjeux du maintien en conformité : le DPD..................................................95 Le DPD, nouveau « métier clé », pour les organismes assureurs................................................95 La cohabitation avec les autres métiers................................................................................................ 101 La possibilité de nommer un DPD externalisé....................................................................................... 103
www.reglementation-assurance.com
RGPD.indb 7
7
12/11/2018 18:20
7. Le RGPD, son contrôle et son application.................................................................... 105 La CNIL, gardienne du temple ; son approche...................................................................................... 105 L’application du RGPD : les zones d’incertitudes................................................................................. 112 Quelles voies de recours en cas de contrôle ?...................................................................................... 114
Index alphabétique............................................................................................................................... 117
RGPD.indb 8
12/11/2018 18:20
Appliquer le RGPD dans l’assurance
Ce droit d’opposition s’applique même pour l’utilisation des données à carac tère personnel de la personne concernée à des fins de recherche scientifique ou historique ou à des fins statistiques dans les conditions fixées à l’article 21, parag. 6 du RGPD.
2. Les nouveaux droits introduits par le RGPD Le RGPD a aussi introduit de nouveaux droits qui eux, n’existaient pas dans la législation française. Ces droits sont les suivants.
2.1 Droit à la limitation de traitement Le droit à la limitation du traitement est un droit nouveau instauré par le RGPD (article 18). La personne concernée peut obtenir du responsable du traitement la limitation du traitement dans l’un des cas suivants : - la contestation de l’exactitude des données par la personne concernée pendant une durée permettant au responsable de traitement de vérifier l’exactitude ; - le caractère illicite du traitement alors même que la personne concernée s’oppose à leur effacement et exige la limitation ; - les données à caractère personnel ne sont plus nécessaires pour le responsable du traitement mais la personne concernée en a besoin pour l’organisation de droits en justice ; - la personne a exercé son droit d’opposition pendant la vérification portant sur le point de savoir si les motifs légitimes du responsable du traitement prévalent sur ceux de la personne concernée. Le considérant 67 du RGPD précise que « les méthodes visant à limiter le traitement des données à caractère personnel pourraient consister, entre autres, à déplacer temporairement les données sélectionnées vers un autre système de traitement, à rendre les données à caractère personnel sélectionnées inaccessibles aux utilisateurs, ou à retirer temporairement les données publiées d’un site internet ». Lorsque le traitement est limité, les données ne peuvent être traitées à l’exception de la conservation, que dans les cas prévus à l’article 18, parag. 2 du RGPD et notamment avec le consentement de la personne concernée. Pour les assureurs, les données détenues sont généralement indispensables pour le respect de leurs engagements pris vis-à-vis des assurés et bénéficiaires. Pratiquement, le droit de limitation ne sera que rarement mis en œuvre par les assureurs, d’autant qu’il ne peut être basé que sur les quatre cas précités.
2.2 Droit à la portabilité Ce nouveau droit a été instauré par le RGPD (article 20). 52
RGPD.indb 52
www.reglementation-assurance.com
12/11/2018 18:20
Les droits de la personne concernée
Sur son fondement, les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format exploitable et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement lorsque de manière cumulative : - le traitement est fondé sur le consentement ou le traitement est nécessaire à l’exécution d’un contrat ; - le traitement est effectué à l’aide de procédés automatisés. La personne concernée a le droit d’obtenir que les données à caractère personnel soient transmises directement d’un responsable du traitement à un autre, lorsque cela est techniquement possible. Ce droit s’entend sans préjudice de l’article 17 (droit à l’effacement). Ce droit ne s’applique pas au traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Il contribue à redonner aux personnes concernées la maîtrise de leurs données et constitue un facteur supplémentaire de mise en concurrence des acteurs du secteur de l’assurance. Ces derniers devront se doter des process et des outils nécessaires à la mise en œuvre de ce droit Par ailleurs, le droit à la portabilité peut favoriser une plus grande qualité de transmission des dossiers entre assureurs ou intermédiaires d’assurance lors de départ ou d’arrivées de nouveaux clients notamment dans des domaines pour lesquels la sinistralité est importante (décennales, dommages ouvrages, automobile par exemple). Certains acteurs pourront sur cette base, accompagner leurs nouveaux clients pour récupérer des données afin de proposer les couvertures les plus adaptées. Pour exemple, ce droit pourra constitue un levier supplémentaire pour l’organisation dans les meilleurs délais du transfert d’un contrat d’épargne retraite Madelin d’un assureur vers un autre. Le G29 a apporté un certain nombre d’orientations et de précisions utiles dans ses « Lignes directrices relatives à la portabilité des données » en version révisée du 5 avril 2017 (WP 242 rev. 01.). Ce droit nouveau et sujet à interprétation pourra également donner lieu à des précisions par la CNIL et le juge.
2.3 Décisions individuelles automatisées dont le profilage Le RGPD (article 22) prévoit que la personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire. Pratiquement, cette disposition est assez contraignante pour les assureurs, dans la mesure où plusieurs processus, notamment la tarification de certains contrats et la sélection des risques, peuvent être automatisés sur la base de www.reglementation-assurance.com
RGPD.indb 53
53
12/11/2018 18:20
Appliquer le RGPD dans l’assurance
questionnaires. Ces pratiques se développent de manière significative avec l’accélération du « digital ». Toutefois, les assureurs pourront s’appuyer sur les trois importantes dérogations prévues (article 22, parag. 2 a, b et c du RGPD) : la décision est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement ou elle est autorisée par le droit de l’Union ou de l’État ou elle est fondée sur le consentement explicite de la personne concernée. Pour la première et la deuxième dérogation, le responsable du traitement met en œuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision. Des lignes directrices (en anglais) ont été adoptées par le G29 le 3 octobre 2017 sur la prise de décision automatisée et le profilage (WP 251 rev.01). S’agissant des décisions « produisant des effets juridiques », la CNIL a considéré qu’il s’agit des cas de figure où « les droits et libertés des personnes sont impactés » comme par exemple une décision privant des personnes « d’une prestation individuelle qu’il avait souscrite ». S’agissant des décisions « affectant de manière significative les personnes », la CNIL a considéré qu’il s’agit d’une décision qui a « pour conséquence d’influencer l’environnement de la personne, son comportement, ses choix ou d’aboutir à une forme de discrimination ». Elle cite pour exemple « une décision qui impacte la situation financière de quelqu’un ou qui entraîne une application de tarifs plus élevés ». Les positions à venir de la CNIL et du juge, permettront de préciser encore la portée de ces principes, notamment pour les démarches marketing (notamment par le profilage et le ciblage) des acteurs du marché de l’assurance. Lorsque les assureurs proposent dans ce cadre des garanties qui comportent des catégories particulières de données (relevant de l’article 9 du RGPD) comme en prévoyance ou en santé, la prise de décision automatisée n’est possible que si : - la personne concernée a donné son consentement explicite au traitement dans les conditions de l’article 9. parag. 2 a) du RGPD ; - ou le traitement est nécessaire pour des motifs d’intérêt public important, sur la base du droit de l’Union ou du droit d’un État membre dans les conditions de l’article 9, parag. 2 g) du RGPD ; - et si des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée sont mises en place. CONSEIL Les acteurs du marché de l’assurance ne peuvent pas se priver des leviers de la digitalisation et du marketing moderne, qui s’appuient sur des 54
RGPD.indb 54
www.reglementation-assurance.com
12/11/2018 18:20
Les droits de la personne concernée
formes de profilage. Le texte du RGPD donne des bases juridiques pour justifier solidement leurs processus, mais ces derniers devront être mis en œuvre avec soin et rigueur vu la sensibilité du sujet.
3. La complexité de leur application, notamment dans l’assurance de personnes Les bases juridiques permettant la justification des différents traitements réalisés par les assureurs sont globalement claires et les données nécessaires à l’activité de l’assurance sont très structurées et suivent des cycles logiques (collecte de données administratives nécessaires à la conclusion du contrat d’assurance, puis création de données spécifiques en phase de « vie » du contrat, puis lors de la liquidation des droits). En revanche, la complexité vient véritablement du nombre d’acteurs et de bases de données présentes chez les assureurs et les intermédiaires d’assurance, notamment en assurance de personnes. Une approche très rigoureuse des cycles de données et de l’ordre des processus mis en place sera nécessaire pour assurer l’exercice de ces droits de façon efficace et surtout cohérente au sein d’écosystèmes souvent complexes. L’autre enjeu sera incontestablement technique, car certains systèmes d’informations ou briques de système d’informations sont assez anciens ou tout au moins n’ont pas intégrés des fonctionnalités facilitant la mise en œuvre des droits des personnes concernées y compris ceux existants avant le RGPD. Cet état de fait a conduit certains acteurs du marché de l’assurance et certains éditeurs de logiciels à faire évoluer leurs outils. Pour l’organisation de l’exercice des droits des personnes concernées traités par le responsable de traitement et/ou le sous-traitant, il doit être mis en place un processus spécifique qui pour être efficace repose sur les principes suivants : - un point d’entrée bien identifiable pour permettre à la personne concernée d’exercer ses droits : un formulaire de contact, le courriel d’un délégué à la protection des données … ; - un circuit de traitement de la demande qui permette une prise en charge rapide et l’organisation dans les délais d’une réponse appropriée et compréhensible. Ce circuit de déclaration et d’exercice de ces droits devra notamment bien prendre en compte le niveau d’entrée le plus pertinent pour permettre la redescente et la cohérence des informations lorsque celles-ci sont détenues par plusieurs acteurs. Par exemple, la suppression de données d’une personne doit être mise en œuvre auprès de tous les acteurs détenant ces données. Il est donc plus efficace que cette demande soit initiée par l’acteur qui initie la chaîne de création des données auprès de tous les autres partenaires ;
www.reglementation-assurance.com
RGPD.indb 55
55
12/11/2018 18:20
- des clauses contractuelles et des procédures opérationnelles avec les soustraitants qui permettent d’encadrer leurs contributions en la matière ; - un système d’archivage des droits exercés et des réponses apportées en vue notamment d’apporter la preuve du respect de ses obligations en la matière. Notons que la personne qui exerce un droit doit justifier de son identité par tout moyen : copie de la carte d’identité, numéro d’assuré, une authentification à partir d’un portail dédié aux souscripteurs ou assurés. Le processus en lui-même et sa mise en œuvre participe à la manifestation de la preuve de la conformité au RGPD.
IDÉES CLÉS • Les droits du RGPD les plus impactants pour les assureurs sont les suivants : - le droit à la portabilité qui est le droit à la récupération et à l’utilisation de ses données pour un autre usage, de les communiquer à une autre plateforme ou de les stocker dans l’espace de son choix ; - le droit de ne pas être soumis à une décision résultant exclusivement d’un traitement automatisé (le profilage est inclus). • Les droits existants avant le RGPD, notamment droit d’accès et droit à l’effacement, ont été renforcés et précisés. n
RGPD.indb 56
12/11/2018 18:20
GESTION / FINANCE Appliquer le RGPD dans l’assurance
ISBN 978 2 35474 320 8
9 782354 743208
COUV_ESSENTIELS_PLUS_RGPD_2018.indd 1
Comprendre les enjeux du RGPD pour organiser efficacement la conduite ou la supervision d’un projet de mise en conformité, est l’objectif de ce véritable guide ponctué de conseils et d’exemples tirés de la pratique des auteurs. L’accent est particulièrement mis sur le monde de l’assurance au sens large, dont les nombreuses particularités méritent un éclairage spécifique aussi bien juridique que technique ou organisationnel. Les opportunités que constitue le RGPD pour le secteur de l’assurance sont également mises en évidence.
Intègre du 20 juinla loi 2018 relat à la proteive des donnction personn ées elles
Appliquer le RGPD dans l’assurance Appliquer le RGPD dans l’assurance
Hugues Chamba Issu d’une double formation juridique et école de commerce, il est associé du Groupe Valmen et Directeur Général de la branche Conseil. À ce titre, il coordonne des missions d’aide à la prise de décision et de transformation, principalement dans le secteur des assurances de personnes. Il a accompagné de nombreuses entreprises sur la mise en conformité au RGPD ou à la création d’activité de « délégué à la protection des données » externalisé.
Depuis le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur, complété en France par les dispositions de la loi n° 2018-493 du 20 juin 2018 modifiant la loi Informatique et libertés de 1978. Dans un contexte de développement des nouvelles technologies et d’exploitation croissante des données à caractère personnel, ces dernières sont au cœur des enjeux économiques mondiaux et font désormais l’objet d’une protection renforcée. Ce niveau d’exigence pour les responsables de traitements et les sous-traitants génère des contraintes supplémentaires pour les assureurs et leurs partenaires collectant et traitant ces données.
Photo de couverture : Fotolia
Nordine Benhatta Avocat au barreau de Paris et associé fondateur du cabinet B2N Avocat, il exerce une activité de conseil et de défense. Il accompagne les acteurs du marché de l’assurance en matière de gouvernance, conception/distribution de produits d’assurance, protection des données personnelles ; avec une expertise notable en droit de la mutualité. Il a participé à de nombreux projets de mise en conformité au RGPD.
Les 2 Essentiels Plus
Nordine Benhatta • Hugues Chamba
Les Essentiels Plus 12/11/2018 16:45