RGPD et assurance : Obligations, impact, mise en place

Le RGPD a de lourdes conséquences pour le secteur de l’assurance. Le milieu de l’assurance traite directement les données personnelles, parfois même sensibles, de tout souscripteur.

Afin de comprendre les enjeux du RGPD en matière d’assurance, il convient de répondre à plusieurs questions. 

Quels sont les acteurs ? En quoi le domaine de l’assurance est spécifique pour le traitement des données ? Quelles sont les priorités pour se mettre à jour ?

RGPD et assurance : le champ d’application

La particularité du traitement des données personnelles par les assurances 

Selon le RGPD, une donnée personnelle est une information se rapportant à une personne physique identifiée ou identifiable de façon directe ou indirecte (article 4 RGPD). Or, beaucoup d’organismes, assureurs y compris, ont accès à un grand nombre de renseignements (coordonnées, âge, numéro de sécurité sociale, identifiant, etc.).

En matière d’assurance, la spécificité réside dans l’analyse poussée des différentes données de l’assuré : situation financière, santé, patrimoine, travail, etc. Cela permet un profilage pour prédire des comportements et établir une grille des risques.

Bien évidemment, ce profilage nécessite l’application d’une protection particulière prévue par le RGPD car il comporte un risque évident concernant les libertés des personnes visées.

Pour rappel, le profilage est un type de traitement de données personnelles automatisé, c’est-à-dire effectué par un algorithme, pour évaluer certains aspects personnels relatifs à une personne en vue de prédire un comportement (article 4 RGPD). Ce type de traitement est réglementé par l’article 22 RGPD. 

Focus sur les données de santé

En fonction des services proposés par les assureurs, ces derniers ont inévitablement accès à des données de santé : complémentaire santé, prévoyance, assurance vie etc. 

Il s’agit de données dites “sensibles” dont la collecte et l’utilisation ne sont autorisées qu’à certaines conditions, notamment :

  • Lorsque la personne concernĂ©e a librement donnĂ© son consentement, 
  • Lorsque le traitement est nĂ©cessaire Ă  l’exĂ©cution de contrat dans le champ de la protection sociale.

C’est sur le fondement de cette deuxième exception que les assureurs sont en droit de collecter et utiliser des données de santé. En effet, les contrats de complémentaires santé, prévoyance, assurance vie ou encore retraite correspondent à des contrats relevant de la protection sociale. 

Responsable de traitement et sous-traitant : les acteurs de l’assurance

Le responsable de traitement est la personne morale qui définit les moyens et les finalités de traitement (article 4 RGPD). Dans notre cas, il s’agit de  comme le courtier ou la compagnie d’assurance.

Le sous-traitant quant à lui agit pour le compte du responsable de traitement et sur les instructions du responsable de traitement (article 4 RGPD). Sont concernés les mandataires de la compagnie d’assurance, ses sous-traitants et tous les outils informatiques utilisés par la compagnie d’assurance.

Impact du RGPD dans l'assurance

Au regard des informations qu’ils possèdent, les acteurs du domaine de l’assurance ont tout intérêt à renforcer les obligations dictées par le RGPD

La sécurité des données et le domaine des assurances

Les compagnies d’assurances doivent s’assurer que les données qui leur sont confiées ne peuvent pas faire l’objet de vol, d’intrusion bien de modification par des tiers.

Pour assurer la protection de ces données, plusieurs mesures de sécurité peuvent être mises en œuvre : chiffrement des archives numériques, utilisation de clés cryptographiques, politique de mot de passe conforme aux recommandations de la CNIL, etc. La cybersécurité est donc l’une des composantes pour bénéficier d'un haut niveau de sécurisation. 

Par ailleurs, en cas de fuite de données, il est indispensable de prévoir un protocole afin d’une part, de prévenir la CNIL et d’autre part, d’avertir les intéressés, étant entendu que tous ces événements sont à consigner.

Les droits des assurés 

Comme toute entreprise soumise au RGPD, les droits des personnes sont incontournables. Au regard de l’importance des données en jeu, la lisibilité de l’information est un réel enjeu.

Information renforcée 

Informer les assurés signifie qu’il faut effectuer un réel effort pour rendre l’information accessible et compréhensible. La CNIL recommande une approche à deux niveaux : 

  • les informations essentielles classiques : les types de donnĂ©es rĂ©coltĂ©es, l’identitĂ© et les coordonnĂ©es du DPO, les finalitĂ©s du traitement, l’existence des droits, etc.
  • ‍les informations complĂ©mentaires : la durĂ©e de conservation des donnĂ©es, les sous-traitants UE ou hors UE, l’existence ou non de profilage, etc.

Exercice des droits

Les assureurs doivent porter une attention particulière aux exercices des droits des personnes concernées par ces données. À la moindre demande, le responsable de traitement doit répondre le plus rapidement possible et au plus tard, dans le délai d’un mois. Concernant les données de santé, le délai est de 8 jours !

Pour rappel, voici ceux que la personne concernée peut exercer : 

  • le droit Ă  la portabilitĂ© permet Ă  la personne de rĂ©cupĂ©rer une partie de ses donnĂ©es dans un format lisible pour son usage personnel ou pour les transmettre Ă  un autre organisme d’assurance par exemple (copie des donnĂ©es) ;
  • le droit Ă  l’intervention humaine face Ă  un profilage.

La durée de conservation des données en matière d’assurance

L’éternité n’existe pas en matière de conservation des données. On se réfère généralement à la durée pour la constatation, la défense ou l’exercice d’un droit en justice. Par conséquent, on se réfère souvent au délai de prescription en justice, qui hors spécificité, est égale à 5 ans. Le délai de conservation des données peut alors s’indexer sur ce délai de 5 ans à compter de la collecte ou du dernier contact avec le prospect.

De plus, le Code des assurances prévoit des délais de prescription spécifiques pour certains contrats comme l’assurance vie qui bénéficie d’un délai de 30 ans à partir du décès de l’assuré pour les actions du bénéficiaire. 

Mise en place du RGPD dans le secteur de l’assurance

La mise en conformité est un vaste chantier en perpétuel mouvement. Mais, au regard des spécificités de ce domaine, nous vous conseillons de travailler sur les 5 priorités suivantes : 

  1. La sécurité des données qui vous sont confiées. Les risques cyber existent : il convient de choisir une architecture informatique solide et de vous doter d’un logiciel qui traque les intrusions ;
  2. La désignation d’un DPO est fortement recommandée (voire obligatoire). Son rôle de chef d’orchestre est essentiel : il aura une vue intégrale sur les données gérées par l’ensemble des services ;
  3. La tenue d'un registre qui énumère le type de données collectées, l'utilisation qui en est faite, les bases légales, l'objectif de leur utilisation etc..  
  4. L’exercice des droits : Il est nécessaire de  prévoir un protocole spécifique pour répondre le plus rapidement possible au demandeur et procéder à l’effacement des données en interne si tel est l’objet de la demande ;
  5. Le choix d’un outil digital : suivre les informations à la main est chronophage et source d’erreurs. Il existe des logiciels tels que Leto qui automatise les nombreuses obligations imposées par le RGPD.

Un logiciel RGPD pensé pour le secteur de l'assurance

Demander une démo gratuite

Gagnez du temps avec notre logiciel RGPD

Ne passez plus des heures à créer et mettre à jour votre registre de données. Gagnez du temps avec une checkliste RGPD dont les actions à mener sont déjà automatisées !

Inventaire automatisé des données personnelles présentes dans toutes vos applications (crm, rh, produit, finances ...)

Gestion des sous-traitants automatisée : nous maintenons à jour pour vous votre documentation (DPA des sous-traitants ...).

Suppression et modification automatisée des données personnelles d'un utilisateur à sa demande.

Synchronisation automatique des tâches de votre feuille de route Privacy avec vos outils de gestion de projet (Jira ...).

Demander une démo gratuite

Construisez une relation de confiance avec vos clients.

Notre vision : faire de la conformité aux règles de protection des données personnelles un avantage compétitif majeur pour les entreprises en construisant une relation de confiance avec les clients.

Vos clients disposent d'une interface dédiée pour exercer leurs droits en matière de protection des données. 100% no code.

Affichez vos ambitions en matière de protection des données personnelles

Demander une démo gratuite

Un outil RGPD pour sensibiliser vos collaborateurs

Initier les collaborateurs au RGPD à leur arrivée dans l'organisation, c'est bien. 
Mais, êtes-vous sûr de l'impact sur leur comportement au quotidien ? 
Disposez-vous d'éléments quantitatifs pour évaluer la maturité de vos équipes ?
Leto apporte une solution simple, ultra-personnalisée et sur auto-pilote pour faire monter en maturité vos équipes sur la protection des données personnelles.

Une banque de 500 questions de mise en situation

Personnalisation et création de questions sur-mesure relative à votre activité

Pilotage automatisé de la sensibilisation avec une approche micro-learning

Tableau de bord des résultats

Comparatif avec les maturités des organisations du même secteur

Demander une démo gratuite

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité aux règlements de protection des données personnelles.

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Rejoindre