Un règlement européen prévoit de nouvelles règles en ce qui concerne la protection et le traitement des données à caractère personnel des particuliers par les entreprises. Adopté le 14 Avril 2016, le Règlement Général sur la Protection des Données (RGPD) devra être mis en œuvre au plus tard le 25 mai 2018. Quelles sont les mesures mises en place par les assureurs pour respecter ces nouvelles règles ?
Priorité au privacy by design
Une des mesures les plus importantes du nouveau règlement européen en matière de protection de données personnelles (UE 2016/679) concerne la mise en place du « privacy by design ». Cette notion prévoit la prise en compte de la protection des données personnelles des particuliers dès la conception d'un service ou projet.
Sur ce point, sur la majorité des acteurs concernés et interrogés par le cabinet Optimind Winter en collaboration avec Opinion Way (compagnies d'assurance, mutuelles et banques), seuls 36% se disent informés des exigences concernant le privacy by design et prêts pour sa mise en œuvre.
C'est donc sur cette exigence que la plupart des interrogés semble mal appréhender le règlement, par rapport aux autres adaptations prévues, mieux anticipées (inventaire et registre des traitements, formalisation de la documentation, désignation d'un délégué à la protection des données, revue des process et des procédures).
Selon Sanaa Nouiri, risk manager, « les entreprises ne savent pas comment traduire le privacy by design au sein de leur système d'information, ni comment le conceptualiser auprès des collaborateurs. La difficulté réside surtout sur les stocks de données et les applicatifs existants. ».
Les assureurs prêts et confiants pour le RGPD
Plus de 50% des assureurs se disent prêts pour l'entrée en vigueur de ce règlement et de ces mesures. Selon l'enquête menée par Opinion Way et Optimind Winter, près de la majorité des acteurs concernés se disent en plein processus de mise en place du RGPD pour mai 2018.
Si certains préfèrent initier les différents travaux d'adaptation seulement à compter de janvier 2018, une partie des assureurs a choisi d'anticiper plus en amont les différentes problématiques apportées par cette nouvelle gestion et protection des données à caractère personnel. Anticiper ne semble pas une mauvaise idée, surtout au regard des problèmes de transposition et d'application posés par la Directive sur la Distribution d'Assurance (DDA), autre norme européenne qui devra être applicable à tous dès février 2018.
Le règlement prévoit la sanction applicable à toute entreprise du secteur privé qui ne respecterait pas ces nouvelles obligations. Le versement d'une amende pouvant aller jusqu'à 4% du chiffre d'affaire annuel pourra être exigé.
En France, ce règlement européen viendra remplacer les dispositions de la loi Informatique et Libertés de 1978 qui prévoit déjà un dispositif important quant au respect de la vie privée des consommateurs dans la gestion de leurs données par les prestataires de services.
N'hésitez pas à consulter nos guides pour les autres assurances pour trouver toutes les réponses à vos questions !