Accueil > Actualités > À la Une
Publié par
Avatar de Mariona Vivar Mompel
Mariona Vivar Mompel Rédactrice en Chef Adjointe News Assurances Pro
Partager
À la Une

RGPD : La frontière entre la conformité et la légalité

mardi 13 février 2018
Image de RGPD : La frontière entre la conformité et la légalité

Les assureurs ont mis la première pierre pour se mettre en conformité vis-à-vis du Règlement européen sur la protection de données (RGPD) qui entre en vigueur le 25 mai 2018. Le recueil du consentement des assurés suscite des débats concernant la frontière entre la légalité et la conformité.

Le Règlement européen sur la protection de données (RGPD) qui entre en vigueur le 25 mai oblige les entreprises à revoir en profondeur l'organisation de leurs systèmes d'information. Dès 2016, les assureurs se sont mis en ordre de marche. Après avoir nommé un délégué à la protection des données (DPO), la première étape consiste à cartographier l'ensemble des traitements et des données et à tenir à jour un registre.

La deuxième étape consiste à faire un inventaire de l'ensemble de données, de source diverse et souvent éparpillées, qui concernent un seul individu : des courriers papier, des bases de données et des files système (par exemple, des mails et PDF). Cette étape est nécessaire pour pouvoir délivrer à un individu toutes les données qui le concernent.

La gestion du consentement

La prochaine étape consiste à gérer le consentement. En effet, RGPD prévoit que pour pouvoir traiter les données d'un individu au-delà du cadre contractuel, il faut avoir obtenu son accord préalable. « Si on se limite à demander à l'internaute de cocher une case pour pouvoir traiter ses données personnelles de santé, on sera dans la conformité vis-à-vis de RGPD, mais on ne sera pas dans la légalité des traitements », déclare Laurent Caredda, directeur général de be/ys. « Pour pouvoir traiter des données sensibles, il faut une signature électronique opposable, dans les conditions du règlement eIDAS », indique-t-il.

RGPD : d'une approche sur les flux à une approche sur le stock

Pour ce consultant, toute la culture de la conformité trouve ses racines dans les transactions financières. Les banques font face à un risque de flux suite à des transactions frauduleuses qui doivent être traitées rapidement. Historiquement, les banques font passer les coûts de ces fraudes dans leurs coûts de fonctionnement, suivant une approche comptable. Cette logique de flux ne pourrait pas s'appliquer dans le cadre de RGPD. « Dès lors qu'un traitement d'une donnée sensible n'a pas été effectué selon le principe de la légalité ou de la conformité, il y a un risque de sanction. L'interprétation des autorités de contrôle et/ou du juge sur un traitement donné peut ainsi avoir un impact sur le stock et sur l'ensemble des acteurs du marché. Nous sommes face à un effet multiplicateur », considère Laurent Caredda.

Un risque de double sanction

La conformité au RGPD sera apréhendée par la CNIL, mais au-delà de la sanction administrative qui peut aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial , il existe un deuxième risque judiciaire. « La justice se prononcera sur la légalité du traitement, et pas uniquement sur la conformité », alerte-t-il.

Des impacts sur la gestion des risques

Des éventuelles condamnations sur le stock et la jurisprudence constatée sur le marché auront également un impact en termes de provisions financières. « Le risque financier sera notamment pris en charge par le régulateur et par le commissaire aux comptes afin de provisionner les risques associés dans les 3 à 7 ans prochains », anticipe Laurent Caredda, pour qui « les prochaines années peuvent être à l'origine de vraies catastrophes industrielles ».

Mais au-delà des sanctions et des coûts nécessaires pour s'adapter à RGPD, cette nouvelle obligation est également une opportunité pour les assureurs pour poursuivre leur transformation et repenser l'architecture de leurs système d'information. « C'est l'occasion pour passer d'un SI basé sur les différents métiers à un SI basé sur le client », considère L. Caredda. « Les entreprises qui sauront s'adapter à ce nouveau contexte bénéficieront d'un potentiel de service supplémentaire, d'une bonne image auprès des consommateurs et d'une économie financière », résume Laurent Caredda.

Préserver le SI existant

Les nouvelles obligations règlementaires des assureurs, telles que RGPD, la directive sur la distribution d'assurance, la loi sur le secret des affaires, la loi sur les lanceurs d'alerte ou le devoir de vigilance ont un impact sur les systèmes d'information et sur la gouvernance de la donnée. « Au lieu d'adapter chacun des composants dans le cadre d'un chantier monstrueux, nous recommandons de créer une enveloppe de traitements qui va permettre d'ajouter au SI existant une surcouche ». Cette configuration permet d'adapter le SI aux futures obligations règlementaires. « Ce frontal de gouvernance et traitement de la donnée permet de déterminer les droits des différentes parties prenantes et de gérer la complexité et les antagonismes entre les différentes règlementations », conclut Laurent Caredda.

be/ys
CNIL
GDPR
Laurent Caredda
protection des données
RGPD

À voir aussi

Contenus suggérés

« En Allemagne, nous accompagnons déjà de nombreux expatriés individuels et nous nous lançons maintenant sur le marché des PME »

April

« En Allemagne, nous accompagnons déjà de nombreux expatriés individuels et nous nous lançons maintenant sur le marché des PME »

APRIL
Les fondamentaux du droit des assurances
1h10
Débutant

Les fondamentaux du droit des assurances

Formation
Violaine de Serrant avatar
Petit-Déjeuner de l'Asset
22 janv.

Déjeuner - Débat Asset

Petit-Déjeuner de l'Asset

Évènement

Niort CDI

Conseiller commercial Centre Relation Client (F/H)

Offre d'emploi