Le secteur des assurances a connu ces dernières années plusieurs évolutions, notamment une accélération de la digitalisation des parcours clients du fait de la crise Covid 19 et des opportunités proposées par les nouvelles technologies ainsi qu’un accroissement de l’externalisation auprès des tiers (schéma de délégation des activités de gestion). Ces changements ont considérablement impacté le volume de données personnelles traitées ainsi que leur transfert vers des tiers. Si les assureurs ont majoritairement intégré les principes de protection des données personnelles issus du RGPD (Règlement général sur la protection des données) dans leur organisation, la bonne mise en œuvre de ces principes peut être parcellaire et considérablement varier au sein même d’une organisation.
Dans le cadre de leurs activités, les assureurs sont amenés à collecter un nombre important de données à caractère personnel (information permettant d’identifier directement ou indirectement une personne physique) notamment dans le cadre de la prospection commerciale, l’appréciation du risque à couvrir lors de la souscription du contrat, la fixation du montant des cotisations ou encore le traitement des sinistres. Cela couvre ainsi de nombreuses finalités de traitement et des catégories de personnes concernées variées (prospects, assurés, bénéficiaires, experts…).
Au-delà du volume de données personnelles collectées, la nature de ces dernières constitue un facteur tout aussi important dans la gestion du risque relatif à la protection des données. En effet, au cours du cycle de vie d’un contrat d’assurance, des données personnelles autres que des données d’identification (état civil) sont collectées :
Lorsque les données collectées permettent de déduire des informations concernant la santé, la vie sexuelle ou l’orientation sexuelle d’une personne ou concernent des condamnations pénales et des infractions, elles sont considérées comme « sensibles » au sens du RGPD et ne doivent pas être traitées, sauf à être justifié par une base juridique valable (consentement, obligation légale) et à mettre en place des mesures plus strictes : information renforcée des personnes, analyse d’impact relative à la protection des données (AIPD), mesures de sécurité spécifiques portant notamment sur l’hébergement, le stockage et l’accessibilité de ces données pour assurer la confidentialité des données.
L’activité d’assurance implique de multiples acteurs positionnés à différents moments de la chaine de valeur dont les intermédiaires d’assurance (agents et courtiers d’assurance), les délégataires de gestion ou encore les prestataires de services (experts, avocats, artisans…). Ces collaborations se matérialisent par un partage et un transfert important de données personnelles, amplifiant ainsi les risques liés à la protection de données personnelles (violation de données, détournement de finalités, transfert illicite de données en dehors de l’Union Européenne), et par conséquent, le niveau de vigilance à appliquer. Pour limiter ces risques, il convient, d’une part, de qualifier chaque tiers intervenant au regard des traitements de données à caractère personnel qu’il réalise, d’autre part, de s’assurer de la bonne mise en œuvre des obligations issues du RGPD par ce tiers.
En effet, les tiers peuvent être qualifiés de responsables de traitement, de sous-traitants ou encore de responsables de traitement conjoints, cette qualification doit donc être retranscrite dans la convention entre l’assureur et le tiers de manière précise et spécifique. Par ailleurs, dans le cadre d’externalisation d’activités de gestion auprès d’un tiers, la convention de délégation implique la mise en œuvre par le délégataire de gestion de certaines obligations issues du RGPD (information de l’assuré, recueil du consentement, gestion des demandes d’exercice de droit…). Cela ne vient pas pour autant supprimer les responsabilités de l’assureur qui demeure le responsable du traitement et qui doit s’assurer du respect effectif de ces obligations par le délégataire de gestion.
Cette multiplicité de tiers se traduit également par une multiplicité de canaux dont la majorité sont désormais digitaux (espace client en ligne, gestion digitale des souscriptions et sinistres, plateforme téléphonique, etc…). Ces différents canaux doivent permettre de répondre aux attentes des assurés et de faciliter le traitement des données tout en respectant les principes du RGPD (mentions d’information, politique de confidentialité, collecte de la validation du contrat, collecte de consentement dans le cadre de newsletters, gestion des cookies, sécurité du site web et de l’application mobile…).
Le secteur de l’assurance est encadré par diverses obligations réglementaires nécessitant la mise en place de dispositifs de gestion des risques et de conformité afin de répondre à ses exigences. Si ces réglementations mobilisent particulièrement les assureurs, les dispositifs mis en place en place peuvent présenter des adhérences avec certaines obligations du RGPD. A titre d’illustration :
Nous aurions aussi pu citer la loi Eckert et l’utilisation des bases de données AGIRA ou encore les obligations de déclaration des contrats d’assurance vie dans le cadre de FICOVIE.
Si les assureurs peuvent donc percevoir le RGPD comme une contrainte supplémentaire s'ajoutant aux existantes, cela peut également présenter l’opportunité de mutualiser certaines approches et d’exploiter les synergies, notamment concernant les moyens mis en œuvre (qu’ils soient humains ou matériels). Il est donc nécessaire d’avoir une approche globale, intégrant les considérations du RGPD dans la mise en œuvre des autres dispositifs de conformité.