RGPD : Beaucoup de données à prendre en compte

Le 25 mai prochain marque l’entrée en vigueur du Règlement européen sur la protection des données (RGPD). à moins de deux mois de l’échéance, le chantier est toujours en cours.

Droit à l’oubli, gestion du consentement, droit à la portabilité… constituent autant de nouvelles obligations à mettre en place pour toutes les entreprises, et donc a fortiori, pour celles du secteur de l’assurance. Et si ce dernier peut se targuer, à l’heure du big data, de fourmiller de données pour affronter les changements futurs, il se retrouve face à un casse-tête avec le RGPD.

Car ces données sont disséminées un peu partout dans la chaîne de distribution. Il faut également composer entre les données d’un client qui ont été numérisées et celles sur papier soigneusement rangées sur les étagères des cabinets de courtage ou des agences générales.

Pas de sanction dans un premier temps

La Cnil, chargée de contrôler le respect des exigences du RGPD, semble avoir bien intégré le caractère structurant du règlement et se dit prête à faire preuve de mansuétude.

« En présence d’organismes de bonne foi, engagés dans une démarche de conformité et faisant preuve de coopération avec la Cnil, ces contrôles n’auront normalement pas vocation à déboucher, dans les premiers mois, sur des procédures de sanction sur ces points », indique la commission.

En faisant preuve de volontarisme, les entreprises échapperont donc, dans un premier temps, aux sanctions financières qui peuvent atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel total du groupe. Pour autant, au-delà du risque d’amendes, certains pointent un coût de mise en place.

Les principales mesures du RGPD

Le recueil du consentement : L’article 7 du RGPD dispose que « le consentement doit être donné par un acte positif clair ». En d’autres termes, pour les consentements sur le web, finies les cases précochées. Il sera par ailleurs interdit de demander le consentement s’il n’est pas nécessaire à la mise en place du service. Enfin, l’utilisateur peut retirer son consentement quand il le souhaite.

La portabilité des données : Il s’agit de l’article 20 du réglement. Il indique que tout individu « a le droit d’obtenir que ses données à caractère personnel soient transmises directement d’un responsable du traitement à un autre ».

Le droit à l’effacement : L’article 17 du RGPD, encadre le droit à l’oubli. Tout utilisateur d’un service a la possibilité de demander l’effacement de ses données. Cela concerne également les sous-traitants et partenaires de l’entreprise à qui la demande est effectuée.

L’information en cas de piratage : Plus question de passer sous silence le piratage de sa base clients. Les entreprises victimes d’une attaque auront l’obligation d’alerter immédiatement la Cnil. Elles ne seront pas systématiquement contraintes de prévenir les utilisateurs de leurs services si, par exemple, les données dérobées sont inexploitables par les pirates.