L’impact du RGPD dans le secteur de l’assurance

Le Règlement Général sur la Protection des Données (RGPD) affecte de manière potentielle toute personne ou société dont l’activité l’amène à traiter des données personnelles. Le secteur de l’assurance, particulièrement enclin au traitement de ce type de données, est donc visé de plein fouet par ce cadre législatif européen.

L’importance pour les assureurs de se mettre en conformité

Les données personnelles sont au cœur des activités du secteur assurantiel, c’est notamment pourquoi les compagnies d’assurance sont particulièrement impactées par l’entrée en vigueur du RGPD.

Les assureurs, comme toutes les structures traitant des données personnelles en provenance de citoyens européens, ont désormais beaucoup plus de devoirs à respecter. Outre l’obligation de protéger au maximum les données personnelles de leurs clients, ils doivent également tenir un registre interne de traitement des données et s’engager à ne traiter que celles réellement nécessaires à leur activité. Les compagnies d’assurance sont aussi dans l’obligation de prévenir immédiatement la CNIL en cas de violation de données, ainsi que les personnes concernées, et ce dans les 72 heures suivant l’incident. Ces obligations poussent donc les assureurs à revoir leur organisation, leur sécurisation ainsi que les outils utilisés.

Le Règlement Général pour la Protection des Données ne doit pas être pris à la légère par les acteurs du secteur assurantiel, puisqu’en cas de non-conformité, les sanctions sont particulièrement lourdes. En effet, les amendes infligées par la CNIL peuvent atteindre jusqu’à 4 % du chiffre d’affaires annuel global d’une compagnie d’assurance. Outre l’impact financier évident, l’image de marque d’une société peut être fortement endommagée. Compte tenu de ces enjeux et de l’aspect technique de ce sujet, les compagnies d’assurance ont tout intérêt à engager un DPO, Data Protection Officer, autre obligation du RGPD. A savoir que les assureurs ont la possibilité de se faire accompagner dans leur mise en conformité au RGPD par leur syndicat professionnel. Ils peuvent également bénéficier des services d’un DPO mutualisé.

RGPD et secteur assurantiel : les grands axes de changement

La sécurisation des données

La première étape pour une mise en conformité avec le RGPD concerne la sécurité des données personnelles. Les compagnies d’assurance sont ainsi amenées à sécuriser les données stockées dans le cadre de leur activité. Le secteur assurantiel est en effet amené à conserver un certain nombre de données personnelles relatives à leurs clients, liées notamment à la souscription de contrats divers. Ainsi, tant que ces contrats demeurent actifs, les compagnies d’assurance doivent offrir à leurs clients un niveau satisfaisant de protection de leurs données en procédant, entre autres, au chiffrement de leurs archives numériques et en adoptant la norme HTTPS.

Les assureurs sont également tenus d’avertir les clients concernés, ainsi que la CNIL, en cas de faille de sécurité menant au piratage ou fuite de données. La nature des données dérobées ainsi que les circonstances de l’incident doivent être clairement spécifiées.

La conservation des données personnelles limitée dans le temps

Avant l’entrée en vigueur du RGPD, les courtiers en assurance pouvaient conserver les données personnelles de leurs clients sans limitation dans le temps. Désormais, pour être en conformité avec la nouvelle législation, les compagnies d’assurance doivent systématiquement effacer les données de leurs prospects dès lors que ces derniers n’ont pas signé de contrat dans les 3 ans suivant un dernier contact. En ce qui concerne leurs clients, les assureurs peuvent conserver leurs données personnelles 10 ans après la fin de la relation contractuelle.

Une limitation dans le temps qui ne doit pas se soustraire au droit qu’on les prospects et clients de demander la suppression totale de leurs données personnelles, si toutefois ces dernières ne servent pas à l’exploitation directe de leurs contrats en cours.

Tenir un registre des traitements automatisés

L’ensemble des traitements ayant lieu sur les données personnelles des prospects et clients doivent être consignés dans un registre des traitements automatisés, conformément au RGPD. Ce registre, qui doit être régulièrement mis à jour, permet d’obtenir une vue d’ensemble des différents flux et stockages des données personnelles.

Les droits des clients et des prospects

Le RGPD accorde de nouveaux droits aux prospects et clients, notamment en ce qui concerne la restitution et l’effacement de leurs données personnelles.

Les compagnies d’assurance sont ainsi tenues de transmettre, sur simple demande, un fichier compressé comprenant l’ensemble des données stockées aux clients qui en font la demande. Elles doivent également leur permettre de modifier facilement leurs données personnelles.

Les assureurs sont aussi tenus de supprimer définitivement les données personnelles de leurs prospects, si ces derniers en font la demande. En revanche, pour ce qui est de la suppression totale des données personnelles de leurs clients, cette opération est limitée au regard d’autres réglementations. En effet, les compagnies d’assurance sont tenues de conserver les contrats et certaines données personnelles tout au long de la relation contractuelle avec leurs clients. Ils doivent également conserver les données permettant une traçabilité des fonds en ce qui concerne les placements financiers.

En conclusion, les compagnies d’assurance, particulièrement concernées par le RGPD, doivent impérativement se mettre en conformité avec ce nouveau règlement. Une mise en conformité qui peut potentiellement entraîner des difficultés pour certains cabinets d’assurance, lesquels peuvent souffrir d’un manque de moyens techniques, notamment en ce qui concerne les TPE avec peu de personnel. C’est pourquoi se faire accompagner par un professionnel du RGPD s’avère parfois indispensable, d’autant plus que le volume de données traitées par les cabinets d’assurance est considérable et parfois pas toujours numérisé.