RGPD et assurance : Obligations, impact, mise en place

24/11/2023

Le RGPD a de lourdes conséquences pour le secteur de l’assurance. Le milieu de l’assurance traite directement les données personnelles, parfois même sensibles, de tout souscripteur.

Afin de comprendre les enjeux du RGPD en matière d’assurance, il convient de répondre à plusieurs questions. 

Quels sont les acteurs ? En quoi le domaine de l’assurance est spécifique pour le traitement des données ? Quelles sont les priorités pour se mettre à jour ?

RGPD et assurance : le champ d’application

La particularité du traitement des données personnelles par les assurances 

Selon le RGPD, une donnée personnelle est une information se rapportant à une personne physique identifiée ou identifiable de façon directe ou indirecte (article 4 RGPD). Or, beaucoup d’organismes, assureurs y compris, ont accès à un grand nombre de renseignements (coordonnées, âge, numéro de sécurité sociale, identifiant, etc.).

En matière d’assurance, la spécificité réside dans l’analyse poussée des différentes données de l’assuré : situation financière, santé, patrimoine, travail, etc. Cela permet un profilage pour prédire des comportements et établir une grille des risques.

Bien évidemment, ce profilage nécessite l’application d’une protection particulière prévue par le RGPD car il comporte un risque évident concernant les libertés des personnes visées.

Pour rappel, le profilage est un type de traitement de données personnelles automatisé, c’est-à-dire effectué par un algorithme, pour évaluer certains aspects personnels relatifs à une personne en vue de prédire un comportement (article 4 RGPD). Ce type de traitement est réglementé par l’article 22 RGPD. 

Focus sur les données de santé

En fonction des services proposés par les assureurs, ces derniers ont inévitablement accès à des données de santé : complémentaire santé, prévoyance, assurance vie etc. 

Il s’agit de données dites “sensibles” dont la collecte et l’utilisation ne sont autorisées qu’à certaines conditions, notamment :

  • Lorsque la personne concernée a librement donné son consentement, 
  • Lorsque le traitement est nécessaire à l’exécution de contrat dans le champ de la protection sociale.

C’est sur le fondement de cette deuxième exception que les assureurs sont en droit de collecter et utiliser des données de santé. En effet, les contrats de complémentaires santé, prévoyance, assurance vie ou encore retraite correspondent à des contrats relevant de la protection sociale. 

Responsable de traitement et sous-traitant : les acteurs de l’assurance

Le responsable de traitement est la personne morale qui définit les moyens et les finalités de traitement (article 4 RGPD). Dans notre cas, il s’agit de  comme le courtier ou la compagnie d’assurance.

Le sous-traitant quant à lui agit pour le compte du responsable de traitement et sur les instructions du responsable de traitement (article 4 RGPD). Sont concernés les mandataires de la compagnie d’assurance, ses sous-traitants et tous les outils informatiques utilisés par la compagnie d’assurance.

Impact du RGPD dans l'assurance

Au regard des informations qu’ils possèdent, les acteurs du domaine de l’assurance ont tout intérêt à renforcer les obligations dictées par le RGPD

La sécurité des données et le domaine des assurances

Les compagnies d’assurances doivent s’assurer que les données qui leur sont confiées ne peuvent pas faire l’objet de vol, d’intrusion bien de modification par des tiers.

Pour assurer la protection de ces données, plusieurs mesures de sécurité peuvent être mises en œuvre : chiffrement des archives numériques, utilisation de clés cryptographiques, politique de mot de passe conforme aux recommandations de la CNIL, etc. La cybersécurité est donc l’une des composantes pour bénéficier d'un haut niveau de sécurisation. 

Par ailleurs, en cas de fuite de données, il est indispensable de prévoir un protocole afin d’une part, de prévenir la CNIL et d’autre part, d’avertir les intéressés, étant entendu que tous ces événements sont à consigner.

Les droits des assurés 

Comme toute entreprise soumise au RGPD, les droits des personnes sont incontournables. Au regard de l’importance des données en jeu, la lisibilité de l’information est un réel enjeu.

Information renforcée 

Informer les assurés signifie qu’il faut effectuer un réel effort pour rendre l’information accessible et compréhensible. La CNIL recommande une approche à deux niveaux : 

  • les informations essentielles classiques : les types de données récoltées, l’identité et les coordonnées du DPO, les finalités du traitement, l’existence des droits, etc.
  • les informations complémentaires : la durée de conservation des données, les sous-traitants UE ou hors UE, l’existence ou non de profilage, etc.

Exercice des droits

Les assureurs doivent porter une attention particulière aux exercices des droits des personnes concernées par ces données. À la moindre demande, le responsable de traitement doit répondre le plus rapidement possible et au plus tard, dans le délai d’un mois. Concernant les données de santé, le délai est de 8 jours !

Pour rappel, voici ceux que la personne concernée peut exercer : 

  • le droit à la portabilité permet à la personne de récupérer une partie de ses données dans un format lisible pour son usage personnel ou pour les transmettre à un autre organisme d’assurance par exemple (copie des données) ;
  • le droit à l’intervention humaine face à un profilage.

La durée de conservation des données en matière d’assurance

L’éternité n’existe pas en matière de conservation des données. On se réfère généralement à la durée pour la constatation, la défense ou l’exercice d’un droit en justice. Par conséquent, on se réfère souvent au délai de prescription en justice, qui hors spécificité, est égale à 5 ans. Le délai de conservation des données peut alors s’indexer sur ce délai de 5 ans à compter de la collecte ou du dernier contact avec le prospect.

De plus, le Code des assurances prévoit des délais de prescription spécifiques pour certains contrats comme l’assurance vie qui bénéficie d’un délai de 30 ans à partir du décès de l’assuré pour les actions du bénéficiaire. 

Mise en place du RGPD dans le secteur de l’assurance

La mise en conformité est un vaste chantier en perpétuel mouvement. Mais, au regard des spécificités de ce domaine, nous vous conseillons de travailler sur les 5 priorités suivantes : 

  1. La sécurité des données qui vous sont confiées. Les risques cyber existent : il convient de choisir une architecture informatique solide et de vous doter d’un logiciel qui traque les intrusions ;
  2. La désignation d’un DPO est fortement recommandée (voire obligatoire). Son rôle de chef d’orchestre est essentiel : il aura une vue intégrale sur les données gérées par l’ensemble des services ;
  3. La tenue d'un registre qui énumère le type de données collectées, l'utilisation qui en est faite, les bases légales, l'objectif de leur utilisation etc..  
  4. L’exercice des droits : Il est nécessaire de  prévoir un protocole spécifique pour répondre le plus rapidement possible au demandeur et procéder à l’effacement des données en interne si tel est l’objet de la demande ;
  5. Le choix d’un logiciel RGPD : suivre les informations à la main est chronophage et source d’erreurs. Il existe des logiciels tels que Leto qui automatise les nombreuses obligations imposées par le RGPD.

Pour aller plus loin, n'hésitez pas à télécharger notre livre blanc dédié au RGPD dans le secteur de l'assurance.

A propos de l'auteur
Garance Bouvet

Avocate de formation, Garance a plus de 10 années d'expérience en droit public, droit constitutionnel et est experte en protection des données personnelles.

Cela pourrait vous intéresser

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité aux règlements de protection des données personnelles.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?
Rejoindre