• 122 Avenue des Champs Elysées – 75008 Paris
  • +33 1 42 89 58 28

RGPD : quelles obligations pour le traitement des données dans l'assurance ?

Les compagnies d’assurance, qui collectent et traitent quotidiennement de grandes quantités de données, ont été particulièrement concernées par le Règlement général sur la protection des données, entré en vigueur en 2018. Quelles sont les obligations qui s’imposent aux assureurs au titre du RGPD ? Comment les respecter ? Voici tout ce qu’il faut savoir.

Sommaire

Recueillir le consentement des personnes

Le consentement de la personne est un prérequis obligatoire en cas de collecte de données sensibles, d’utilisation de cookies pour certaines finalités ou encore d’utilisation de données à des fins de prospection commerciale par voie électronique.

Dans tous les cas, il doit s’agir d’une démarche active et explicite, de préférence écrite. Par exemple, le consentement peut prendre la forme d’une case à cocher dans un formulaire (à condition que cette case ne soit pas cochée par défaut).

Garantir la protection des données personnelles

Les compagnies d’assurance doivent déployer les moyens nécessaires pour que les données qui leur sont confiées ne fassent pas l’objet de vol, d’intrusion ou de modification par un tiers.

Quelles sont les mesures de sécurité obligatoires pour les assureurs en vertu du RGPD ?

Le responsable de traitement doit définir une politique de sécurité décrivant les objectifs de sécurité et les mesures permettant de les atteindre, par exemple :

  • Gestion des habilitations permettant de limiter l’accès aux données.
  • Chiffrement des archives numériques,
  • Authentification à l’aide d’identifiants et de mots de passe robustes.
  • Utilisation de clés cryptographiques.
  • Systèmes automatiques garantissant la traçabilité des données : journaux, audits…

 

Par ailleurs, les assureurs doivent prévoir une procédure de gestion des violations de données, avec obligation de notification à la Cnil dans les 72 heures et d’information des personnes concernées dans les meilleurs délais, notamment si la fuite de données présente un risque élevé pour les individus.

Enfin, dans certaines situations, le responsable de traitement devra réaliser une analyse d’impact, par exemple en cas de traitement à grande échelle de données personnelles sensibles.

Définir les finalités du traitement

Dans le secteur de l’assurance, les données sont généralement traitées dans le cadre de deux ensembles de finalités.

La passation, la gestion et l’exécution des contrats

Différents traitements peuvent intervenir dans le cadre de l’exécution d’un contrat d’assurance, par exemple :

  • L’étude des besoins spécifiques de l’assuré afin de lui proposer des offres adaptées.
  • L’appréciation des risques assurantiels.
  • La gestion des réclamations et contentieux liés au contrat.

D’autres peuvent être fondés sur la base légale de l’intérêt légitime, notamment :

  • L’élaboration de statistiques et d’études actuarielles.
  • La mise en œuvre d’actions de prévention.
  • Les opérations de communication et de fidélisation des clients.
  • Les traitements liés à la lutte contre la fraude.

Enfin, certains traitements sont nécessaires au respect d’une obligation légale : prélèvement à la source de l’impôt sur le revenu, prise en compte de sanctions économiques et financières internationales, lutte contre le blanchiment des capitaux et le financement du terrorisme…

La prospection commerciale

En général, les traitements de prospection commerciale par voie électronique sont soumis au consentement des personnes.

Toutefois, l’intérêt légitime peut être invoqué :

  • En cas de prospection par d’autres moyens.
  • Si la prospection porte sur des biens ou services analogues à ceux déjà fournis au client.

Quoi qu’il en soit, la personne doit être en mesure de s’opposer facilement et préalablement à ce traitement.

Respecter la durée de conservation des données

La loi prévoit certaines durées de conservation spécifiques au secteur de l’assurance.

Si aucun contrat d’assurance n’a été conclu, les données d’un prospect ne peuvent pas être conservées plus de 3 ans (à compter de leur collecte ou du dernier contact établi par le prospect) dans le cadre de la gestion de la prospection commerciale. 

Néanmoins, les données permettant la défense, la constatation ou l’exercice de droits en justice peuvent être gardées pendant 5 ans.

Lorsqu’un contrat a été conclu, des délais de prescription spécifiques peuvent s’appliquer. C’est le cas des contrats d’assurance-vie, pour lesquels un délai de 30 ans à compter du décès de l’assuré est prévu par le code des assurances.

Informer les personnes

En vertu du RGPD, le responsable de traitement a l’obligation de fournir aux personnes concernées une information concise, transparente, aisément accessible et compréhensible.

Pour garantir la lisibilité de l’information, les compagnies d’assurance doivent privilégier une approche sur deux niveaux :

  • D’une part, les informations essentielles comme l’identité et les coordonnées du responsable de traitement et/ou du délégué à la protection des données, les finalités du traitement, le rappel des droits des personnes…
  • D’autre part, les informations complémentaires telles que la durée de conservation des données, les critères utilisés pour déterminer cette durée, les intérêts légitimes poursuivis par le traitement des données, l’existence de transferts de données vers des pays hors de l’Union européenne…

Respecter les droits des individus

Qu’un contrat d’assurance soit signé ou non, le responsable de traitement doit respecter et mettre en œuvre gratuitement les droits des personnes concernées.

Les droits d’accès et de rectification

Ils permettent à l’individu d’accéder à toutes les informations qui le concernent et de connaître leur origine, mais aussi d’exiger qu’elles soient complétées, rectifiées, mises à jour ou supprimées.

Le droit d’opposition

Il permet à toute personne de s’opposer à la réutilisation de ses coordonnées par le responsable du fichier lors de la signature d’un contrat, notamment à des fins de sollicitations commerciales. 

En outre, l’assuré peut s’opposer pour des motifs légitimes au traitement de ses données, à moins que celui-ci ne réponde à une obligation légale.

Le droit à la portabilité

Il permet à tout individu de recevoir et de réutiliser les données qu’il a fournies au responsable de traitement. Il peut également les transmettre, s’il le souhaite, à un autre responsable de traitement. 

Dans le secteur de l’assurance, les données nécessaires à l’appréciation du risque, à la détermination ou à l’évaluation des préjudices et des prestations (comme les déclarations de sinistre) sont par exemple considérées comme portables.

Le droit à la limitation du traitement et le droit à l’effacement

Le droit à la limitation du traitement permet à la personne de geler temporairement l’utilisation de ses données, tandis que le droit à l’effacement permet d’obtenir leur suppression.

Le Règlement général sur la protection des données a eu un impact non négligeable sur les assureurs, qui ont dû fournir des efforts importants pour se mettre en conformité, sans compter que ce cadre légal continue d’évoluer. D’où l’intérêt d’intégrer un logiciel d’assurance intégrant nativement la réglementation en vigueur et ses derniers changements, à l’instar d’Infoelsa. Un véritable soulagement pour les DSI des compagnies d’assurance, qui sont libérés de la gestion parallèle de l’aspect réglementaire, impliquant de nombreux contrôles supplémentaires.