En Europe, le traitement des données personnelles est encadré par le Règlement Général sur la Protection des Données (RGPD). Il harmonise les règles dans le Vieux Continent en offrant un cadre juridique unique aux professionnels. Il leur permet aussi de développer leurs activités numériques au sein de l’Union européenne (UE) en se fondant sur la confiance des utilisateurs.
Qui est concerné par la réglementation ?
Le RGPD s’applique à toute organisation, qu’elle soit publique ou privée, qui traite des données personnelles pour son compte ou non, dès lors :
- qu’elle se trouve sur le territoire européen ;
- que son activité vise directement des résidents européens.
Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.
Qu’est-ce qu’une donnée personnelle ?
Une donnée personnelle peut être définie comme toute information se rapportant à une personne physique identifiée ou identifiable.
Une personne peut être identifiée :
- directement, par exemple, par son nom ou par son prénom ;
- ou indirectement, par exemple,
- via un identifiant, comme un numéro client,
- un numéro de téléphone,
- une donnée biométrique,
- plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l’image.
L’identification d’une personne physique peut être réalisée :
- à partir d’une seule donnée, comme un numéro de sécurité sociale ;
- à partir du croisement d’un ensemble de données. Exemple : une femme vivant à telle adresse, née tel jour, abonnée à tel magazine et militant dans telle association.
Qu’est-ce qu’un traitement de données personnelles ?
Un traitement de données personnelles est une opération ou un ensemble d’opérations portant sur des données personnelles, quel que soit le procédé utilisé. Cela peut être une collecte, un enregistrement ou même une utilisation de ces données.
Un traitement de données doit avoir un objectif, une finalité, c’est-à-dire que vous ne pouvez pas collecter ou traiter des données personnelles simplement au cas où cela vous serait utile un jour.
À chaque traitement de données doit ainsi être assigné un but, qui doit bien évidemment être légal et légitime au regard de votre activité professionnelle.
Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papiers sont également concernés et doivent être protégés dans les mêmes conditions.
Par contre, un fichier ne contenant que des coordonnées d’entreprises n’est pas un traitement de données personnelles.
Les données personnelles dans le secteur de l’assurance
En souscrivant à un produit d’assurance, l’assuré communique à la compagnie des données à caractère personnel qui le concernent.
Grâce à ces données, le consommateur peut être identifié directement ou indirectement.
Le RGPD protège les personnes physiques contre l’utilisation abusive de ces données dans le cadre de traitements.
La multiplication des données dans le secteur de l’assurance impose alors aux acteurs économiques de s’adapter afin de rester conformes au RGPD.
Les obligations des compagnies d’assurance
Dans le cadre du RGPD, les acteurs de l’assurance ont plusieurs obligations.
Sécuriser les données stockées dans le cadre de leur activité
Le secteur assurantiel est amené à conserver un certain nombre de données personnelles relatives à leurs clients, liées notamment à la souscription de contrats divers.
Ainsi, tant que ces contrats demeurent actifs, les compagnies d’assurance doivent offrir à leurs clients un niveau satisfaisant de protection de leurs données.
Ne pas conserver les données
Les compagnies doivent effacer systématiquement les données de leurs prospects dès lors que ces derniers n’ont pas signé de contrat dans les 3 ans suivant un dernier contact.
En ce qui concerne leurs clients, les assureurs peuvent conserver leurs données personnelles 10 ans après la fin de la relation contractuelle.
Tenir un registre des traitements automatisé
Ce registre, qui doit être régulièrement mis à jour, permet d’obtenir une vue d’ensemble des différents flux et stockages des données personnelles.
De nouveaux droits pour les clients
Par ailleurs, le RGPD accorde de nouveaux droits aux prospects et clients, notamment en ce qui concerne la restitution et l’effacement de leurs données personnelles.
Les compagnies d’assurance sont ainsi tenues de transmettre, sur simple demande, un fichier compressé comprenant l’ensemble des données stockées aux clients qui en font la demande.
Elles doivent également permettre à leurs clients de modifier facilement leurs données personnelles.
Les assureurs sont aussi tenus de supprimer définitivement les données personnelles de leurs prospects, si ces derniers en font la demande.
En revanche, pour ce qui est de la suppression totale des données personnelles de leurs clients, cette opération est limitée au regard d’autres réglementations.
En effet, les compagnies d’assurance sont obligées de conserver les contrats et certaines données personnelles tout au long de la relation contractuelle avec leurs clients.
Elles doivent également conserver les données permettant une traçabilité des fonds en ce qui concerne les placements financiers.
En conclusion, les compagnies d’assurance, particulièrement concernées par le RGPD, doivent impérativement se mettre en conformité avec ce nouveau règlement.
Cette mise en conformité peut potentiellement entraîner des difficultés pour certains cabinets d’assurance, lesquels peuvent souffrir d’un manque de moyens techniques, notamment en ce qui concerne les très petites entreprises -TPE- avec peu de personnel.
C’est pourquoi se faire accompagner par un professionnel du RGPD s’avère parfois indispensable.
D’autant plus que le volume de données traitées par les cabinets d’assurance est considérable et parfois pas toujours numérisé.
