Visé de plein fouet par la directive européenne, le secteur de l’assurance n’a d’autre choix que de s‘adapter afin de rester conforme au règlement général sur la protection des données.

La multiplication des données impose à l’ensemble des acteurs économiques de respecter les nouvelles règles en matière de RGPD. Depuis son entrée en vigueur dans les 27 Etats-membres de l’Union européenne en mai 2018, le RGPD (règlement général sur la protection des données) renforce la protection des données pour les individus. Deux ans et demi après son entrée en vigueur, l’heure est déjà au premier bilan. Dans son rapport de 2018, la CNIL (Commission nationale de l’informatique et des libertés) a ainsi fait état de 11.077 plaintes, 310 contrôles, 48 mises en demeure et 9 sanctions pécuniaires. L’an dernier,14.000 plaintes auraient été recensées pour une dizaine de sanctions dont certaines particulièrement sévères. Le 21 janvier 2019, la Commission prononçait ainsi une sanction de 50 millions d’euros à l’encontre de Google, une décision validée en début d’année par le Conseil d’Etat.

Enclin au traitement de data sensibles (données personnelles bancaires, de santé, judiciaires etc..), le secteur de l’assurance n’a pas échappé à l’examen du régulateur. Le 25 juillet 2019, la CNIL a ainsi imposé une sanction de 180.000 euros à l’encontre du courtier Active Assurances, spécialisé dans la distribution en ligne de contrats d’assurance automobile. Motif : l’entreprise n’avait pas suffisamment protégé les données personnelles des utilisateurs de son site Internet. Lors de ses contrôles, l’organisme a ainsi pu constater que les comptes des clients de la société étaient accessibles via des liens hypertextes référencés sur un moteur de recherche. Les documents et données des clients étaient également accessibles en modifiant les numéros figurant à la fin des adresses URL affichées dans le navigateur. « Ces documents comportaient des copies de permis de conduire, de cartes grises, des relevés d’identité bancaire ainsi que des documents permettant de savoir si une personne avait fait l’objet d’un retrait de permis ou commis un délit de fuite » mettait ainsi en évidence la CNIL. Le montant de la sanction appliqué équivalait à 1,7 % du chiffre d’affaires d’Active Assurances, le plafond étant de 4 % du chiffre d’affaires mondial d’une entreprise, selon le règlement RGPD.

Ce n’est pas la première fois que le secteur de l’assurance est visé : en octobre 2018, la CNIL avait lancé une procédure à l’encontre de plusieurs sociétés des groupes de protection sociale Malakoff Médéric et Humanis pour avoir utilisé à tort des données personnelles avant de décider d’y mettre fin en février 2019, « les sociétés s’étant depuis mises en conformité, les procédures de mise en demeure ont été closes » selon l’Autorité de protection des données personnelles.

Ces deux exemples démontrent que le secteur de l’assurance doit non seulement respecter la finalité des données mais aussi s’assurer du respect du principe de sécurité de ces mêmes data.

La directive RGPD pose aussi la question du devenir des données dans le cadre des objets connectés. De façon croissante, ces objets permettent de garantir une mesure de soi, qui se matérialise au travers d’une analyse fine de l’activité physique et du mode de vie d’un individu. Traceurs portables ou montres connectées passent ainsi au crible tous les jours le rythme cardiaque, le nombre de pas, la qualité du sommeil, les calories consommées etc.… Autant de données utiles à l’assureur pour personnaliser les produits d’assurances en fonction des comportements et des habitudes observés. Le 23 janvier 2019, l’Assemblée nationale a cependant fait une proposition de loi visant à interdire l’usage des données personnelles collectées par les objets connectés dans le secteur des assurances. S’appuyant sur des expériences passées, les députés ont constaté que « différentes compagnies d’assurances qui exigèrent d’avoir accès à de telles données récoltées par de telles applications, pour accorder certains avantages » opéraient une segmentation abusive entre les gens en bonne santé et les autres en moins bonne santé. Une procédure jugée inacceptable par les députés qui ont suggéré au travers de la proposition de loi, « d’interdire aux compagnies d’assurance d’utiliser et de traiter de telles informations, et ce, même si elles recueillent en amont le consentement contractuel de l’utilisateur ».

La gestion des données personnelles n’est pas un sujet aisé. Mais une bonne formation peut permettre au secteur de l’assurance d’aborder sereinement le corpus de règles relatif au RGPD.  Afin d’aider vos collaborateurs, Kaléa Formation a mis en oeuvre un dispositif digital et modulaire totalement adapté aux besoins des professionnels du secteur de l’assurance.  Accessible au travers de trois parcours (Organismes assureurs, Mutuelles et Institutions de Prévoyance,  Courtiers), la formation RGPD dédiée à la l’assurance, détaille non seulement les grandes lignes du règlement européen mais s’intéresse aussi aux bonnes pratiques pour les services commerciaux et les services gestions.

Pour en savoir plus sur nos parcours e-learning en RGPD : contactez-nous !