Alors que le règlement européen sur la protection des données personnelles (RGPD) est d’ores et déjà en vigueur et devra faire l’objet d’une mise en conformité en mai 2018, les assureurs de la place ne présentent pas le même niveau d’avancement en termes de déploiement de plan de mise en conformité.

Il est vrai qu’à peine Solvabilité 2 en place (mais qui sera réellement en vitesse de croisière pour la clôture 2019) d’autres sujets tels que la DDA, la loi SAPIN 2, la 4° directive sur la lutte contre le blanchiment d’argent et le financement du terrorisme ou encore PRIIPS continuent à maintenir sous pression les assureurs et les obligent à gérer leurs priorités et donc à faire des choix dans la mise en œuvre des différentes réglementations.

Si certains acteurs n’ont pas engagé ou terminé les travaux nécessaires à une mise en conformité, c’est qu’ils n’ont pas abordé le sujet en regardant ce que le RGPD va leur apporter. Il est perçu uniquement comme une contrainte et non comme une opportunité. Car le sujet est bien d’accompagner l’essor des nouvelles technologies, vecteur de croissance et d’innovation tout en garantissant le respect des droits et libertés des personnes.

Etant donné l’aspect réglementaire et l’urgence de la mise en conformité, il est nécessaire de se mettre dès à présent en ordre de marche et de définir une feuille de route. Cette dernière pourra présenter différents niveaux d’ambitions, mais elle devra a minima embarquer les grands principes du règlement qui interviennent à plusieurs niveaux pour :

  • Renforcer les droits des personnes physiques, afin qu’elles conservent la maîtrise des traitements de leurs données personnelles ;
  • Organiser les obligations à la charge des responsables de traitements et de leurs sous-traitants, notamment en termes de communication client ;
  • Compléter et structurer les dispositifs organisationnels et techniques de protection des données personnelles en place dans les entreprises dans le but de traiter efficacement et de manière conforme ces données ;
  • Nommer un Délégué à la Protection des Données ou Data Protection Officer (DPO), pivot du dispositif dont la principale fonction est d’accompagner la mise en œuvre opérationnelle des exigences réglementaires, en toute indépendance ;
  • Formaliser un corpus documentaire dédié et structuré autour d’une politique de protection des données personnelles ;
  • Faire évoluer les processus métier de manière à garantir l’efficacité du dispositif en intégrant la problématique des données personnelles notamment dans la relation client ;
  • Renforcer le dispositif d’externalisation en mettant à jour le suivi des traitements sous-traités de manière cohérente et intégrée aux suivis et contrôles déjà existants.

Mais avant de se lancer dans l’élaboration des travaux il est important de comprendre et d’assimiler les grands piliers du règlement européen que sont : les fondements juridiques, les principes de « privacy by design », « privacy by default » ou encore le principe de responsabilité (« accountability »).

D’un point de vue méthodologique, le RGPD et Solvabilité 2 ne sont pas si éloignés

Il est intéressant d’établir un parallèle avec Solvabilité 2 quant à sa philosophie de mise en œuvre. Cette comparaison peut s’effectuer sur trois principaux points :

  • L’approche par les risques où sous Solvabilité 2 l’assureur définit sa propre méthodologie d’évaluation des risques, le RGPD quant à lui demande à l’entreprise de définir ses mesures organisationnelles et techniques pour faire face aux risques
  • La gouvernance des risques où Solvabilité 2 définit une animation autour de fonctions clés, de comités, de notion d’indépendance et d’accès direct aux dirigeants, formalisé dans des politiques, procédures et reporting. Le RGPD définit un dispositif formalisé (dans une politique et des outils opérationnels d’analyse et de suivi des traitements) autour d’un DPO, indépendant, disposant de ressources et intégré au cœur du dispositif
  • La responsabilité, avec une inversion de la charge de la preuve et un principe de traçabilité pour Solvabilité 2. Le RGPD exige le passage d’un régime de déclaration à un régime de responsabilité et des éléments de sécurité renforcés au niveau du responsable de traitement et du sous-traitant

Le DPO, un mouton à 5 pattes ou un acteur déterminant dans l’animation du dispositif ?

Le délégué à la protection des données personnelles est désigné par l’assureur responsable du traitement ou par le sous-traitant dont l’activité entre dans le champ d’application de l’article 37-1. Sa position telle qu’elle est décrite dans le règlement en fait la pierre angulaire du dispositif.

Il doit être visible – ses coordonnées sont publiques, les guidelines du G29 préconisent que son identité soit communiquée aux salariés et à l’autorité de contrôle.

Il doit être compétent – le DPO doit posséder les qualités professionnelles adéquates, notamment des connaissances du droit et des pratiques en matière de protection des données. Néanmoins les guidelines du G29 précisent que ses compétences s’entendent en fonction de la complexité et du volume des données traitées.

Il doit être indépendant – la position du DPO dans l’entreprise doit lui permettre d’être indépendant et de rendre compte à la Direction générale. Il doit disposer des ressources nécessaires et avoir un accès permanent et suffisant lui permettant d’exercer ses responsabilités et de respecter ses obligations professionnelles de confidentialité, secret professionnel et conflit d’intérêt.

Il doit être le référent et le garant méthodologique – ses missions sont de l’ordre de l’information, du conseil et de la formation. Les guidelines du G29 proposent une approche « sélective et pragmatique » en fonction des risques associés aux différents traitements afin de conseiller le responsable sur la méthodologie à mettre en place pour l’analyse d’impact, sur les activités qui nécessitent un audit et sur les actions de formation.

Par conséquent le DPO joue un rôle essentiel d’animation de la gouvernance autour de la protection des données personnelles. Sa position dans l’entreprise doit lui permettre une parfaite collaboration avec les directions en charge des Risques et de la Conformité, de la Sécurité Informatique (RSSI) mais également en lien avec les directions métier qu’il accompagne.

Son action s’étend à la formalisation de la documentation et sa mise en œuvre par l’intermédiaire de la politique de protection des données. Celle-ci doit permettre l’identification des activités nécessitant une analyse d’impact préalable, la définition de la méthodologie d’analyse de risque et le suivi des actions de maîtrise des risques identifiés.

Sa présence se prolonge également sur d’autres outils ou supports incontournables comme la formalisation et la mise à jour du dictionnaire des données et du registre des traitements, en lien avec les directions métier. Il est de la responsabilité du responsable de traitement de maintenir à jour le registre des traitements, mais en pratique ce type d’inventaire est le plus souvent tenu par le DPO qui l’utilise comme un outil pour exercer ses missions.

La mise en place de contrôle du respect des exigences au niveau des directions métier mais aussi au niveau des directions de contrôle permanent et d’audit interne doit être facilitée et coordonnée par le DPO.

Enfin son rôle d’animateur du dispositif peut s’étendre dans la mise en place d’instances ad hoc dédiées à la protection des données personnelles ou à l’ajout de la compétence sur les données personnelles aux comités existants (Comité des Risques, Comité Contrôle Interne…).

 

Le corpus documentaire un moyen de mise en conformité

Pour répondre efficacement à l’ensemble des exigences du texte, une documentation opérationnelle (constituée de la politique et du registre des traitements) doit être mise en place. Un outil complémentaire, appelé « dictionnaire des données », permet de recenser l’ensemble des données personnelles collectées, précisant leur catégorie (notamment pour les données sensibles). Ce dictionnaire des données est le document de référence qui centralise l’ensemble des données personnelles traitées par l’assureur. En cas de demande de la part d’un client / prospect, l’assureur doit pouvoir identifier rapidement et efficacement l’ensemble des données concernées, il convient donc de les documenter, de les qualifier et de les tracer.

Une cartographie complète et à jour des données permet à l’assureur d’avoir une vision très précise de l’ensemble des données personnelles traitées dans chacun des outils et processus. Elle permet également en cas de demande Client (portabilité par exemple) d’identifier de manière exhaustive les systèmes dans lesquelles une ou plusieurs données sont stockées et traitées.

L’identification des données personnelles dans les processus existants et la formalisation des processus de traitement des demandes Client vont permettre l’identification « en lecture directe » de tous les processus qui contiennent une notion de traitement de données personnelles et les opérations réalisées.

art-pic

Les questions à se poser lors de la mise en place d’un nouveau traitement

De par la nature des informations personnelles collectées, les processus liés à la relation Clients et Prospect sont au centre des enjeux de mise en conformité avec le RGPD. Dès la création d’un produit, les principes de « privacy by design » et de « privacy by default » commandent de prendre en compte la problématique des données personnelles au moment de la détermination des traitements.

C’est la raison pour laquelle certains éléments sont à déterminer en amont de la collecte et à intégrer à l’analyse d’impact le cas échéant :

  • Les données nécessaires au traitement envisagé
  • Les finalités du traitement envisagé et leur fondement juridique
  • Les durées de conservation des données
  • Les destinataires des données
  • Les éventuels transferts hors UE de ces données

Les assureurs doivent faire évoluer leurs pratiques distributives et de gestion dans les phases commerciale (prospection), précontractuelle (devis) et contractuelle en termes de transparence dans la communication client (notamment sur les finalités du traitement ainsi que sur les droits des personnes concernées) et de gestion des demandes d’exercice des droits des personnes concernées.

Quels sont les impacts opérationnels sur le processus de la relation client ?

De nombreux impacts apparaissent tout au long du processus de la relation client. Des impacts opérationnels comme :

  • La revue et la mise à jour de l’ensemble de la documentation commerciale ;
  • La mise à jour de l’organisation interne avec la désignation du DPO et l’affectation de compétences en termes de traitement de la relation client sur les questions de données personnelles dans l’organisation existante ;
  • La revue et la mise à jour de l’ensemble des documents contractuels ; la mise en place d’un dictionnaire des données et la formalisation dans le registre des traitements des données nécessaires à la réalisation des actes de gestion (de la souscription à la gestion des sinistres) ;
  • L’identification de toutes les décisions automatisées (y.c. profilage) pour en faire des processus distincts notamment en termes de gestion du consentement client dans le cas où les traitements portent sur des données sensibles et ne sont pas fondés sur le contrat ou la loi ;
  • La formalisation de procédures de validation des traitements et des mesures techniques de maîtrise des risques, la réalisation d’une analyse d’impact et de demande d’autorisation à l’autorité de contrôle, l’information des personnes concernées et de l’autorité de contrôle en cas de violation des données, la demande de portabilité afin d’encadrer les cas dans lesquels la portabilité des données pourra être demandée (par ex. résiliation annuelle ou résiliation de l’assureur, etc.) ainsi que le choix du format de restitution.

Des impacts informatiques sont également à anticiper, à la fois dans la mise à niveau d’outils existants mais également dans les projets de mise en œuvre de nouveaux outils pour pouvoir à tout moment dans la vie d’un contrat recenser les données à la maille la plus fine pour chaque traitement ; tracer les données, y.c. en cas de retraitement informatiques (concaténation par exemple) ; isoler les données d’une personne déterminée ; et regrouper l’ensemble des données d’une personne déterminée à travers plusieurs outils dans un format identique.

 

La sécurité des données constitue également un aspect essentiel des exigences du RGPD

La sécurité constitue un aspect essentiel des exigences du RGPD qui va dans ce domaine bien au-delà de la loi actuelle. L’obligation de protection de la confidentialité et de l’intégrité des données est présente dans de nombreuses dispositions du texte et s’applique au responsable de traitement comme au sous-traitant.

L’article 32 du règlement leur fait obligation de mettre en œuvre « des mesures techniques et organisationnelles afin de garantir un niveau de sécurité adapté au risque ». De la lecture des nouvelles dispositions on retiendra les principes suivants pour guider la mise en œuvre de ces mesures :

  • La nécessité de procéder à des analyses de risques qui couvriront à la fois les traitements existants afin de déterminer si les dispositifs en place apportent un niveau de sécurité adéquat et les projets nouveaux afin de prendre en compte les risques d’atteinte aux données à caractère personnel. Les analyses relatives au nouveaux traitements pourront aller jusqu’à la réalisation d’évaluation d’impacts sur la vie privée (privacy impact assessment) et à la consultation de la CNIL pour les traitements particulièrement sensibles ;
  • La définition d’une politique de sécurité et la mise en place d’un dispositif de contrôle permanent et d’amélioration continue dans un souci de vérification et d’adaptation constante des mesures de sécurité à l’évolution des menaces ;
  • La mise en place de plans de secours permettant de garantir « la disponibilité et la résilience – ce sont les termes employés pour une obligation qui rappelle une nouvelle règle s’imposant aux assureurs avec Solvabilité 2.

Le règlement va jusqu’à citer les mesures techniques de pseudonymisation et de chiffrement des données comme moyen de satisfaire à l’obligation de sécurité.

Le deuxième apport important du règlement en matière de sécurité est l’extension à tous les acteurs de l’obligation de notification qui ne visait jusqu’à présent que les opérateurs de communication électroniques et les opérateurs d’intérêts vitaux (OIV). Cette notification des violations de données personnelles est à faire dans tous les cas à l’autorité de contrôle (la CNIL pour la France) sous 72 heures et dans les meilleurs délais aux personnes concernées dès lors que des mesures rendant les données indéchiffrables (chiffrement) n’auraient pas été mises en œuvre.

Pour satisfaire à cette obligation il peut être nécessaire :

  • D’adapter les procédures de gestion de crise pour prendre en compte la mise en œuvre d’actions d’investigations (forensic) afin d’analyser les causes de l’incident et de prendre les mesures de réduction de ses impacts mais aussi de constituer le dossier de notification à la CNIL qui peut également requérir le conseil de juristes ;
  • De prévoir une communication de crise et des procédures d’information aux personnes concernées.

Il est clair que la mise en place du chiffrement des données sensibles stockées ou transférées s’impose comme la meilleure mesure de prévention.

Les organismes d’assurances ont généralement défini une politique de sécurité et mettent en œuvre des analyses de risques qui peuvent constituer des socles de bonnes pratiques utiles pour se préparer au RGPD à condition de les compléter par une vision des risques du point de vue de la personne dont les données sont traitées. Cette prise en compte des aspects vie privée passe par une étroite coopération entre les experts en sécurité (le RSSI par exemple) et le DPO.

 

Au-delà de tous ces aspects techniques, la mise en œuvre du règlement nécessite la définition d’une stratégie de mise en œuvre et d’une organisation adaptée. Mettre l’accent sur les aspects de sécurité des données sensibles peut être une solution. Travailler sur la définition d’un plan de mise en conformité pour toutes les affaires nouvelles, puis en parallèle définir une trajectoire sur la mise à niveau du stock, permettrait de donner de la visibilité à l’autorité de contrôle, d’embarquer les opérationnels dans le projet et de montrer à l’assuré que ses données sont protégées et d’être en mesure de prévenir les intéressés lorsque leurs données sont danger.

L’innovation des métiers de l’assurance à travers l’utilisation des données personnelles ne pourra se faire uniquement si l’assuré est en confiance.

Cette confiance entre l’assureur et l’assuré est un élément essentiel du modèle relationnel que l’assureur doit insérer dans le monde digital de demain. Ce climat de confiance à travers des aspects sécurité mais aussi une dimension humaine facilitera la digitalisation de l’assurance tout en respectant les données personnelles.