L’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) fêtera ses deux ans le 25 mai prochain. Le texte européen, qui a pour vocation la sécurisation et l’encadrement de l’utilisation des données personnelles par les entreprises, a eu un impact fort sur l’activité de nombreux secteurs, y compris celui de l’assurance. Deux ans après, qu’en est-il ? Comment les assureurs, grandes entreprises ou petits cabinets, se sont-ils adaptés ?

Le Règlement Général sur la Protection des Données

Tout le monde a déjà entendu au moins une fois parler de RGPD et sait globalement de quoi il s’agit, n’est-ce pas ? Mais qu’en est-il des mesures concrètes qu’il prévoit ? Là, c’est déjà un peu plus flou et, rassurez-vous (ou pas), cela a aussi été le cas pour les entreprises lorsque le règlement est entré en vigueur… Pourtant, ces mesures sont fondamentales :

  • La finalité des données: le traitement des données personnelles doit avoir un objectif précis, lié à l’activité de l’entreprise.
  • La minimisation des données collectées: ces dernières doivent être légitimes et pertinentes quant à l’activité de l’entreprise (il est interdit de collecter des données dont l’entreprise n’a pas besoin pour exercer auprès du client).
  • La protection des données: évaluer les risques de violation des données pour y apporter des solutions de sécurisation concrètes et efficaces.
  • La conservation limitée des données: l’entreprise se doit de conserver et utiliser les données uniquement pendant la durée du traitement. Dans le cas de l’assurance, les compagnies peuvent conserver les données de leurs clients jusqu’à 10 ans après la fin du contrat et trois ans pour un prospect.
  • La transparence: l’entreprise a un devoir de transparence vis-à-vis personnes concernées par l’utilisation de leurs données.
  • Le droit des personnes quant à l’utilisation de leurs données : les personnes concernées par l’utilisation de leurs données ont un droit de regard sur les informations recueillies et la manière dont elles sont utilisées.
  • Le traitement légal des données: s’assurer que le traitement des données personnelles rentre bien dans le cadre légal.

les mesures prévues par la RGPD

Parallèlement, la mise en place de la RGPD a contraint les assureurs à tenir en interne un registre des traitements automatisés pour l’ensemble des données personnelles utilisées.

Une réorganisation lourde pour les assureurs

Ces mesures, bien que nécessaires pour l’encadrement de l’utilisation de nos données, ont eu un impact fort sur l’organisations des assureurs. En effet, des process internes entiers ont été à revoir ou à mettre en place : contrôles et sécurisation, développement de nouveaux outils, acquisition de compétences informatiques et juridiques… Ceci associé à davantage de vigilance puisque les amendes infligées par la CNIL (Commission Nationale de l’Informatique et des Libertés) pour le non-respect des mesures imposées par la RGPD peuvent grimper jusqu’à 4% du chiffre d’affaire annuel de l’entreprise.

En outre, face à l’ampleur du chantier, les assureurs qui en ont eu les moyens ont pu faire appel à un Data Protection Officer (DPO). L’appui précieux d’expert sur le sujet pour s’assurer de la bonne mise en conformité de l’entreprise.

l'application de la RGPD dans les métiers de l'assurance et du courtage

Assurance et RDPG, le duo parfait ?

Duo parfait, pas vraiment.

Tout d’abord parce que l’organisation interne nécessaire a creusé un peu plus les inégalités entre grosses compagnies d’assurance et petits/moyens cabinets de courtiers. Les grands acteurs du marché, qui possèdent leurs propres services juridiques et informatiques, ont rapidement pu s’organiser, en mode projet, pour mettre en place les outils et process nécessaires. La plupart d’entre eux ont effectivement fait appel à un DPO, voire à une équipe dédiée tout entière. De leur côté, les cabinets de courtiers ont rencontré plus de difficultés : manque d’informations, peu de moyens financiers et humains, peu de connaissance sur le sujet, tout cela sur fond de virage digital qui, bien souvent, n’a pas encore ou peu été entamé.

L’année dernière (2019), Optimind (spécialisé dans le conseil et la gestion de risques) a réalisé une enquête auprès de 50 assureurs portant sur la mise en place de la RGPD. Voici ce que l’on en retient :

  • 50% des répondants déclaraient que des AIPS (analyse d’impacts relative à la protection des données) étaient en cours de réalisation pour des traitements prioritaires
  • 21% affirmaient que leurs AIPD étaient achevées
  • 60% des interrogées ont déclaré avoir utilisé la méthode de la CNIL quand 38% estimaient que des adaptations étaient nécessaires pour tenir compte des spécificités internes
  • 60% affirmaient que les principales difficultés rencontrées résidaient dans l’évaluation de la gravité et de la vraisemblance pour déterminer le niveau de risque.

38% estimaient que des adaptations étaient nécessaires pour tenir compte des spécificités internes 

Finalement, avec une application très vaste dans le domaine de l’assurance, les mesures de la RGPD ne semblent pas toujours alignées aux spécificités du métier et de chaque acteur…

Afin de faciliter le travail les courtiers en assurance, la plateforme Lya Courtage a été conçue dans le respect des mesures imposées par la RGPD, avec les mesures de sécurité et de gestion de données qu’elles impliquent.

Un gain de temps et de tranquillité pour les professionnels du métier ! 😉

Photo by Sebastian Pichler ; Nick Hillier & Viktor Talashuk