Beaucoup de courtiers en assurance (CA) et de conseillers en gestion de patrimoine (CGP) se sont focalisés sur d’autres règlementations (DDA par exemple) et ont pris du retard sur le sujet, voire sont passés à côté.
Or, les spécificités de l’activité des CA et CGP les rendent particulièrement fragiles vis-à-vis du RGPD :
- Une partie de l’activité des CA et CGP est affectée à la prospection. Dans ce cadre, un certain nombre de dispositions doit être respecté. Pour exemple, le consentement de la conservation des données des prospects doit-être demandé dès le démarrage du traitement ou, à défaut, à titre rétroactif.
- Le transfert de données hors Union Européenne pour les CA et CGP qui travaillent avec des call centers off-shore est jugé critique au regard du RGPD. Un certain nombre de principes doivent être respectés.
- Toujours difficile pour les CA et CGP à rassembler les informations de leurs clients dispersés sur plusieurs outils (Excel, CRM, messagerie email, logiciel de gestion, dossiers papier, …). Pour respecter le RGPD, ils doivent notamment être capable d’expliquer à un client ce qu’ils possèdent comme données le concernant, ce qu’ils font pour protéger celles-ci, lui préciser la marche à suivre s’il veut y avoir accès et lui indiquer le délai maximal de conservation avant leur suppression ou anonymisation. On peut évoquer aussi le sujet de la purge des données personnelle qui doit-être effectuée au bout de 3 ans maximum par exemple.
- Que faire pour garantir la sécurité des données dont la nature est qualifiée de sensible (numéro de sécurité sociale, informations bancaires, etc.). Prenons un cas concret : comment faire depuis que le canal email n’est plus autorisé pour l’échange d’informations sensibles comme une pièce d’identité ?
- Les conditions de stockage sont souvent inadaptées : bureaux non sécurisés, données non protégées.
Les coutiers en assurance et les conseillers en gestion de patrimoine ont souvent bénéficié de campagnes d’informations de la part de la CNIL ou encore des associations professionnelles telles que la CSCA. Très instructives pour aborder le sujet du RGPD, ces campagnes se révèlent très vite insuffisantes lorsqu’il s’agit de relever les manches et de rentrer dans le concret.
Quand est-ce que les courtiers en assurances (CA) et les conseillers en gestion de patrimoine (CGP) doivent-ils se conformer formellement au RGPD ?
A y regarder de plus près, rares sont les CA/CGP (responsables de traitement dans le jargon RGPD) qui peuvent échapper à une mise en conformité RGPD en bonne et due forme. Difficile d’éviter la désignation d’un DPO ou de se détourner de la mise en place d’un registre de traitement. En effet, toutes les organisations européennes privées de plus de 250 personnes doivent d’office s’y soumettre. A cela, s’ajoutent les entreprises susceptibles de traiter des données personnelles sensibles ou en volume (ou leurs sous-traitants). La sensibilité des données et la volumétrie étant difficile à qualifier au sens RGPD, le risque de ne pas s’y conformer n’est pas moindre. Enfin, l’ensemble des fournisseurs d’un organisation doivent être conformes RGPD pour lui permettre de le devenir à son tour.
Par quel bout commencer ?
Tous les cabinets de plus de 250 collaborateurs ou effectuant du traitement de données à grande échelle doivent commencer par se doter d’un DPO (Data Protection Officer, en français : délègué à la protection des données – DPD). Important de se rappeler ici que les cadres dirigeants, même s’ils reçoivent la bonne formation, ne peuvent être désignés comme DPO car étant considérés comme juges et parties.
On entend beaucoup parler du registre des traitements. En quoi cela consiste-t-il ?
Tout part de là. Pour identifier la totalité des données traitées, on va commencer par recenser les activités principales du cabinet qui nécessitent la collecte et le traitement de données (CRM, paie, recrutement, gestion des accès aux locaux, statistiques,…). C’est ici où l’on va s’interroger sur la finalité des traitements et s’assurer de leurs légitimités dans le cadre de l’activité de courtier et de conseil.
Vient ensuite l’identification des données associées à ces traitements. On étudiera à cette étape si les données traitées sont réellement nécessaires pour atteindre la finalité du traitement. C’est le moment de trier les données, supprimer les données non légitimes ou n’ayant plus d’utilité. On parle de minimisation de l’information.
Toutes ces informations vont alimenter le registre des traitements du cabinet.
On évaluera enfin le niveau de sensibilité de chaque donnée. Si on identifie des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, on devra mener, pour chacun de ces traitements, une analyse d’impact relative à la protection des données – AIPD (en anglais, Data protection impact assessment – DPIA). Attention dans ce cas, le travail est beaucoup plus conséquent. Il s’agit en effet d’appliquer un processus détaillé qui peut prendre plusieurs jours et aboutira probablement à un plan d’action plus contraignant pour prétendre à une conformité RGPD.
Que reste-t-il à faire pour les CA/CGP pour atteindre la conformité RGPD ?
Etablir un plan d’action est important car il permet d’ordonner le projet de mise en conformité mais il est aussi un élément de preuve de votre bonne foi à fournir à la CNIL en cas de contrôle. Attention toutefois de disposer d’un plan réalisable : le plan d’action fourni à la CNIL sera contrôlé dans le temps !
C’est ici qu’on abordera les sujets aussi divers que :
- l’identification de la base juridique sur laquelle s’appuie les traitements
- l’identification de la base juridique sur laquelle s’appuie les traitements
- la revue du contrat des sous-traitants (clause de sécurité, confidentialité, protection des données personnelles)
- les modalités d’exercice des droits des personnes
Quand le niveau de conformité satisfaisant est atteint, quelles sont les nouvelles responsabilités engendrées par le RGPD au quotidien pour les CA/CGP ?
Les tâches au quotidien pour maintenir la conformité RGPD peuvent être rassemblés sous 4 grands axes :
- la prise en compte de la protection des données personnelles dès la conception d’un traitement (concepts de Privacy by design et de Privacy by default)
- la sensibilisation et l’organisation de la circulation de l’information au sein des services du cabinet (pour les grands cabinets)
- le traitement des réclamations et des demandes des personnes concernées quant à l’exercice de leurs droits
- la notification des violations de données à l’autorité de contrôle et aux personnes concernées
Quels vont être les avantages de devenir conforme RGPD pour les CA/CGP ?
La conformité RGPD n’est pas seulement une contrainte. Elle apporte aussi un avantage concurrentiel non négligeable :
- Renforcement de la relation client
Le GDPR a pour ambition de rendre aux individus le contrôle sur leurs données personnelles et de les aider à mieux faire respecter leurs droits. En se mettant en conformité, les CA/CGP rassurent leurs clients sur le fait que leurs données sont protégées par défaut, et que l’utilisation qui en seront faites sera limitée et transparente.
- Meilleure visibilité sur les informations du cabinet
Pour respecter les exigences du RGPD, il est nécessaire de consolider les flux de données afin d’aboutir à une vue épurée (données dédoublonnées, triées et classées). C’est aussi un outil précieux pour l’activité du CA/CGP : il bénéficie d’une vue claire et précise des informations dont il dispose.
- Des fournisseurs responsabilisés
- La démarche de mise en conformité RGPD impose de s’assurer que les fournisseurs ou sous-traitants du cabinet soient à leur tour conformes. Cette démarche renforce ainsi l’efficacité du cabinet.
- Une contribution à la protection des données personnelles de vos proches
Rappel des grands principes RGPD appliqués aux courtiers en assurances (CA) et les conseillers en gestion de patrimoine (CGP)
- Un cadre juridique unifié pour l’ensemble de l’UE
Le texte adopté est un règlement européen, ce qui signifie que, contrairement à une directive, il est directement applicable dans l’ensemble de l’Union sans nécessiter de transposition dans les différents États membres. Le même texte s’applique donc à partir du 25 mai 2018 dans toute l’Union. Il s’applique chaque fois qu’un résident européen est directement visé par un traitement de données, y compris par Internet.
- Un renforcement des droits des personnes
Le règlement impose la mise à disposition d’une information claire, intelligible et aisément accessible aux personnes concernées par les traitements de données. Les utilisateurs doivent être informés de l’usage de leurs données et doivent en principe donner leur accord pour le traitement de leurs données, ou pouvoir s’y opposer. La charge de la preuve du consentement incombe au responsable de traitement. La matérialisation de ce consentement doit être non ambigüe.
Certains principes doivent être également respectés :
o Droit d’accès aux données
o Consentement explicite obligatoire
o Restitution des données et portabilité
o Droit à l’oubli / Droit à l’effacement des données personnelles
o Conservation des données
- Une conformité basée sur la transparence et la responsabilisation
Les CA et CGP (responsables de traitement) et leurs sous-traitants doivent mettre en place des mesures de protection des données appropriées et démontrer cette conformité à tout moment.
- Des responsabilités partagées et précisées
Le règlement européen sur la protection des données vise à responsabiliser les acteurs des traitements de données en uniformisant les obligations pesant sur les CA / CGP et leurs sous-traitants.
- Le cadre des transferts hors de l’Union
Les CA/CGP et leurs sous–traitants peuvent transférer des données hors UE seulement s’ils encadrent ces transferts par le respect des règlements assurant un niveau de protection suffisant et appropriés des personnes.
- Des sanctions renforcées
S’agissant des amendes administratives, elles peuvent s’élever, selon la catégorie de l’infraction, de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.
Top-Rgpd est un cabinet spécialisé en RGPD qui rassemble avocats NTIC, DPO (Data Protection Officer) certifiés par le CNAM (UE DNT104 et DNT105) et experts IT de plus de 15 ans d’expérience (ISO 27001, RSSI, direction de projet). Nous proposons des prestations d’audit, d’accompagnement à la mise en conformité, de DPO externalisés et de formation certifiée CNIL.
Top-Rgpd est un cabinet Conseil pluridisciplinaire (Avocat NTIC, DPO externalisés certifiés CNAM, experts IT+15 ans) spécialisé dans le RGPD. Nous proposons des prestations d’audit RGPD, d’accompagnement à la mise en conformité RGPD, de DPO externalisés et de formation de sensibilisation RGPD.
