Le 25 mai marque l’entrée en vigueur du Règlement européen sur la protection des données (RGPD). Que prévoit la nouvelle réglementation ?
Droit à l’oubli, gestion du consentement, droit à la portabilité... constituent autant de nouvelles obligations à mettre en place pour toutes les entreprises, et donc a fortiori, pour celles du secteur de l’assurance (voir encadré ci-dessous). Et si ce dernier peut se targuer, à l’heure du big data, de fourmiller de données pour affronter les changements futurs, il se retrouve face à un casse-tête avec le RGPD.
Car ces données sont disséminées un peu partout dans la chaîne de distribution. « Nous travaillons sur la cartographie de nos données, pour les trier et nous conformer aux exigences du RGPD. Un DPO et son assistant conformité sont en cours d’intégration au sein de notre direction juridique », assure Laurent Ouazana, président de Ciprés Assurances, qui a mis en place un pôle conformité avec deux personnes assignées au RGPD. Une véritable gabegie lorsque l’on gère un réseau de plusieurs milliers de courtiers ou de plusieurs centaines d’agences.
Mais pas seulement, il faut également composer entre les données d’un client qui ont été numérisées et celles sur papier soigneusement rangées sur les étagères des cabinets de courtage ou des agences générales.
Pas de sanction dans un premier temps
« Nous ne serons pas totalement prêts le 25 mai. Il nous faudra encore quelques mois pour adapter nos systèmes d’information », confesse le directeur financier d’un courtier grossiste. La Cnil, chargée de contrôler le respect des exigences du RGPD, semble avoir bien intégré le caractère structurant du règlement et se dit prête à faire preuve de mansuétude.
« En présence d’organismes de bonne foi, engagés dans une démarche de conformité et faisant preuve de coopération avec la Cnil, ces contrôles n’auront normalement pas vocation à déboucher, dans les premiers mois, sur des procédures de sanction sur ces points », indique la commission.
En faisant preuve de volontarisme, les entreprises échapperont donc, dans un premier temps, aux sanctions financières qui peuvent atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel total du groupe. Pour autant, au-delà du risque d’amendes, certains pointent un coût de mise en place.
« Ce règlement est fondamental et très poussé. Mais les investissements qu’il génère pourrait gréver la performance des entreprises dans le secteur de l’assurance qui fait face à une convergence de textes : Priips, DDA, RGPD... Cela fait beaucoup d’investissements concomitants. Le sujet est d’autant plus prégnant que l’entreprise est de petite taille », poursuit Laurent Ouazana « Cette avalanche de réglementations fait en revanche le bonheur des cabinets de consultings et des éditeurs de logiciels », ironise un assureur. Comme on dit, le malheur des uns...[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_text_separator title="Les principales mesures du RGPD" color="orange"][/vc_column][/vc_row][vc_row][vc_column][vc_column_text]
Le recueil du consentement : L’article 7 du RGPD dispose que « le consentement doit être donné par un acte positif clair ». En d’autres termes, pour les consentements sur le web, finies les cases précochées. Il sera par ailleurs interdit de demander le consentement s’il n’est pas nécessaire à la mise en place du service. Enfin, l’utilisateur peut retirer son consentement quand il le souhaite.
La portabilité des données : Il s’agit de l’article 20 du réglement. Il indique que tout individu « a le droit d’obtenir que ses données à caractère personnel soient transmises directement d’un responsable du traitement à un autre ».
Le droit à l’effacement : L’article 17 du RGPD, encadre le droit à l’oubli. Tout utilisateur d’un service a la possibilité de demander l’effacement de ses données. Cela concerne également les sous-traitants et partenaires de l’entreprise à qui la demande est effectuée.
L’information en cas de piratage : Plus question de passer sous silence le piratage de sa base clients. Les entreprises victimes d’une attaque auront l’obligation d’alerter immédiatement la Cnil. Elles ne seront pas systématiquement contraintes de prévenir les utilisateurs de leurs services si, par exemple, les données dérobées sont inexploitables par les pirates.
Cet article avait été initialement publié le 26 mars. Il a été mis à jour. [/vc_column_text][/vc_column][/vc_row] [vc_row][vc_column][vc_cta h2="MALAKOFF MEDERIC COURTAGE" h4="Devenez expert en protection sociale"]Nos équipes accompagnent tous les types de courtiers dans le développement de leur portefeuille entreprises, professionnels indépendants et particuliers. Malakoff Médéric Courtage c’est la garantie d’une approche personnalisée sur le terrain de la protection sociale. Compléter notre formulaire en ligne, un de nos inspecteurs vous recontactera ! https://www.courtage.malakoffmederic.com/devenez-courtier-partenaire/contact-courtier-partenaire/ [/vc_cta][/vc_column][/vc_row]À voir aussi
100% santé : L’avis de la Cnil sur les codes détaillés ne tranche pas
TVA : Tous les délégataires de gestion logés à la même enseigne
Agents généraux : Agéa et FFA signent un accord sur RGPD