Règlement européen sur la protection des données

Le Règlement Général sur la Protection des données (UE 2016/679 du 27 avril 2016) relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données entrera en application le 24 mai 2018. Ce règlement s’inscrit dans le prolongement des précédents textes et vise à encadrer les pratiques actuelles relatives aux données. La CNIL rappelle que cette réforme poursuit trois objectifs : renforcer les droits des personnes, responsabiliser les acteurs traitant des données, crédibiliser la régulation.

Organismes concernés

Souhaitant accompagner la digitalisation croissante et rapide de notre environnement, l’Union Européenne se dote d’un cadre unique pour l’ensemble des états membres. Il s’agit en effet d’un règlement et non d’une directive, les dispositions s’appliquent donc directement sans nécessiter de transposition. Tous les organismes privés ou publics, traitant ou sous-traitant des données, établis dans l’Union Européenne ou ayant pour cible des individus établis en Union Européenne sont concernés par ce règlement. Le champ d’application est donc beaucoup plus large que le secteur assurantiel. Pour ce secteur particulier, la CNIL et l’ensemble des fédérations professionnelles avaient présenté un « pack de conformité » fin 2014. Celui-ci devra être remanié pour suivre les évolutions proposées par le règlement.

Traitement des données

Le champ du règlement inclut uniquement les personnes physiques (il exclut ainsi de fait les personnes morales). Le règlement spécifie que « toute information » est potentiellement concernée quels que soient les supports, les types d’informations couvertes, etc. Le règlement s’applique lorsqu’est possible l’identification directe (l’individu est identifié) ou indirecte (l’individu est identifiable). Il ne s’applique pas pour les données anonymisées. L’anonymisation est à distinguer de la pseudonymisation qui est une technique encouragée par le règlement pour limiter l’identification directe. A la différence de l’anonymisation qui est irréversible, la pseudonymisation est réversible via la création d’un identifiant masquant les informations qui permettent l’identification directe.

S’agissant du traitement de la donnée, l’article 5 précise les principes sur lesquels reposent les traitements :

  • Licéité, loyauté, transparence : Le traitement repose sur le consentement de la personne concernée.
  • Limitation des finalités : Le traitement doit être limité aux finalités initiales.
  • Minimisation des données : Seules les données nécessaires au regard des finalités doivent être traitées.
  • Exactitude : Les données traitées doivent être exactes et mises à jour.
  • Limitation de la conservation : La durée de conservation des données doit être en lien avec les finalités.
  • Intégrité et confidentialité : Les données doivent être protégées contre la perte et les accès illicites.
  • Responsabilité : L’entreprise est responsable du respect des règles liées au traitement des données.

Responsabilité des organismes

Le règlement modifie en profondeur la relation des organismes avec la donnée. D’un côté, il allège les procédures auprès de la CNIL, d’un autre, il renforce leur responsabilité et leur transparence. Les exigences de protection des données s’entendent dès la collecte de l’information. Ainsi, les organismes devront s’assurer d’être en conformité avec le règlement (et de pouvoir le démontrer) et engager des actions en vue de répondre aux exigences règlementaires. En particulier, il est nécessaire de désigner un Délégué à la Protection des DonnéesDPO, Data Protection Officer – pour les entreprises traitant des données sensibles ou à large échelle. Le rôle de la CNIL concernant les formalités préalables sera donc largement réduit mais son rôle de contrôle restera. S’agissant des sanctions, les amendes administratives pourront s’élever à 20 millions d’euros, ou, dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial (le règlement concernant les organismes privés et publics).

Adaptation des organismes

Face à ces nouvelles responsabilités, les organismes assureurs doivent revoir de façon générale leurs processus liés aux données notamment vis-à-vis des données personnelles et des traitements en masse. La CNIL propose un plan de préparation en 6 étapes : désignation d’un pilote, cartographie des traitements de données personnelles, priorisation des actions à mener, gestion des risques, organisation des processus internes, documentation de la conformité. Les travaux d’adaptation à ce règlement impliquent l’ensemble des collaborateurs : depuis les services juridiques aux systèmes d’information en passant par les métiers, la direction et même les sous-traitants. Les travaux devront être conduits dans des temps réduits puisque le règlement entrera en application le 25 mai 2018. Ainsi, le règlement constitue un chantier en plus pour les assureurs par rapport aux travaux en cours sur la qualité des données et la gouvernance des données.