Qu’est-ce que le RGPD ?
S’inscrivant dans la lignée de la Loi Informatique et Libertés, le RGPD ou Règlement Général sur la Protection des Données, est entré en application le 25 mai 2018.
Les six grands principes du RGPD
Ne collecter que les données vraiment nécessaires. La collection des données doit être limitée et doit servir un but précis. Les données ne doivent pas être utilisées ultérieurement d’une manière qui viendrait contredire l’objectif fixé en premier lieu.
Être transparent. Les individus doivent être clairement informés des données collectées et de l’utilisation qui en sera faite. Ils doivent également être informés de leurs droits et de la manière de les faire valoir.
Organiser et faciliter l’exercice des droits des personnes. Comme dit précédemment, les collecteurs de donner doivent permettre aux individus d’exercer leur droit en leur répondant dans les meilleurs délais aux demandes de d’accès, de consultation, de rectification ou encore de suppression des données.
Fixer une durée de conservation des données. Ces dernières ne peuvent pas être conservées indéfiniment. Elles ne peuvent être conservées que le temps de remplir l’objectif fixé au préalable. Elles doivent ensuite être détruites, anonymisées ou archivées.
Sécuriser les données recueillies. Les informations collectées doivent être parfaitement sécurisées, afin de prévenir les risques préjudiciables : l’effacement des données, l’accès illégitime ou la modification non désirée.
Inscrire la mise en conformité dans le temps. La collecte de donnée s’inscrit dans une démarche continue, et il est nécessaire de vérifier régulièrement que le traitement des données n’a pas évolué et que les mesures de sécurité sont toujours bien respectées et adaptées.
Les bases légales du RGPD
L’application du RGPD prévoit que le traitement des informations doit être « licite ». Ainsi, il doit reposer sur une des six bases légales mentionnées à l’article 6 du RGPD. Dans le secteur des assurances, quatre des six bases légales trouveront application :
Le consentement. La personne concernée doit, ici, accepter que ses informations soient traitées. Le consentement doit être libre (la personne ne doit pas être contrainte ou influencée), spécifique (le consentement vaut pour un seul traitement, qui a une finalité déterminée), éclairé (l’identité du responsable du traitement, les finalités poursuivies, les catégories de données collectées, l’existence d’un droit de retrait du consentement et, selon les cas, le fait que les données seront utilisées dans le cadre de décisions individuelles automatisées ou qu’elles seront transférées vers un pays hors Union européenne, doivent être clairement communiqués à la personne) et univoque (le consentement doit être donné sans ambiguïté) ;
Le contrat. Si un organisme et une personne sont engagés dans une relation contractuelle et qu’un traitement de données personnelles est nécessaire pour exécuter ce contrat, ou s’il est nécessaire de fournir des données personnelles afin de conclure un contrat (que celui-ci soit, au final, signé ou non) alors le traitement des données est permis. Par exemple, vous pouvez être amené à fournir votre code postal à un organisme afin de savoir si le service de livraison de ce dernier couvre la région dans laquelle vous habitez ;
L’obligation légale. Le traitement des données collectées peut être imposé par des textes légaux ;
L’intérêt légitime. Le traitement des données peut être nécessaire aux besoins d’un organisme, par exemple pour prévenir les fraudes ou à des fins de gestion administrative interne.
Pourquoi les assurances sont-elles concernées par le RGPD ?
Les compagnies d’assurance étant amenées à traiter un large éventail de données personnelles, parfois sensibles, de leurs assurés, elles sont particulièrement concernées par le RGPD.
L’article 4 du RGPD définit une donnée personnelle comme une information se rapportant à une personne physique identifiée ou identifiable de façon directe ou indirecte. Les assureurs ont justement accès à un grand nombre de renseignements tels que les coordonnées, l’âge, le numéro de sécurité sociale, etc.
La spécificité du secteur assurantiel réside dans l’étude poussée des données de l’assuré (situation financière, santé, patrimoine, travail, etc.) permettant d’établir un profilage afin de prédire des comportements et établir une grille des risques. Le RGPD prévoit un encadrement particulier de ce profilage, car il comporte un risque évident pour les libertés des personnes visées.
À savoir
Le profilage est un type de traitement de données personnelles automatisé. Il est réalisé par un algorithme pour évaluer des aspects personnels d’une personne, dans le but de prédire un comportement. Ce traitement est encadré par l’article 22 du RGPD.
Les obligations des assurances face au RGPD
Le RGPD impose le respect de certaines obligations aux sociétés d’assurance.
Le principe de transparence
Les compagnies d’assurance s’engagent à ne collecter vos données personnelles que dans un but précis, porté à votre connaissance, comme la gestion de vos contrats d’assurance, la prospection commerciale ou encore la lutte contre la fraude.
Le principe de minimisation
Les assurances vont collecter les données qui les regardent directement. Ainsi, outre votre nom, prénom et numéro de dossier, les compagnies d’assurance vont conserver des informations relatives à votre vie personnelle (comme votre situation familiale) ou professionnelle (comme votre catégorie socio-professionnelle), mais aussi des données de santé, indispensables à la mise en œuvre des garanties d’assurance et d’assistance.
La conservation limitée des données
Toutes les données présentes dans votre espace client sont conservées jusqu’à la clôture de votre compte. Les cookies et les traceurs utilisés sur notre site sont conservés pendant six mois maximum, et les données de connexion sont conservées entre six et 12 mois.
La sécurité des données
Toutes vos données doivent être protégées. Des mesures de sécurité physiques, logiques et organisationnelles sont ainsi prévues pour en garantir la sécurité et la confidentialité. Groupama exige également de ses sous-traitants qu’ils assurent la sécurité des données personnelles. Par ailleurs, si vos données doivent être transférées à un pays situé dans ou hors de l’Union Européenne, vous en êtes informé et le transfert des données est strictement encadré.
En cas de faille de sécurité engendrant la fuite ou le piratage des données de ses assurés, l’assureur se retrouve dans l’obligation d’avertir la CNIL, et, dans certains cas, l’ensemble des clients et prospects concernés. Il doit également décrire avec précision les circonstances de l’incident et la nature des données perdues ou volées.
Les assurances doivent par ailleurs vérifier que la sécurité des données est bien assurée dans le temps ; elles doivent donc prendre les mesures nécessaires pour identifier les risques et prendre les mesures appropriées pour lutter contre le vol.
Interdiction d’utiliser les données personnelles de santé issues du « quantified self »
Le quantified self, mesure de soi en français, est « un ensemble de nouvelles pratiques qui consistent à analyser son activité physique ou son mode de vie : poids, tension, calories consommées, nombre de pas dans la journée, rythme cardiaque, etc. ». Les données sont notamment collectées grâce aux objets connectés et la technologie de traçage des données de consommation et du mode de vie.
Pour éviter que les entreprises d’assurance utilisent ces données de santé pour personnaliser leurs produits selon les comportements observés, l’Assemblée Nationale a déposé le 23 janvier 2019 un projet de loi visant à « interdire l’usage des données personnelles collectées par les objets connectés dans le domaine des assurances ». Les données du quantified self sont considérées comme des données relatives à la santé et sont soumises à encadrement spécifique par le RGPD.
Quels sont les risques pour les assureurs en cas de non-conformité avec le RGPD ?
Le règlement européen de protection des données doit être pris au sérieux par les acteurs du milieu assurantiel, car les sanctions sont lourdes en cas de non-conformité. La CNIL peut en effet infliger des amendes pouvant atteindre jusqu’à 4 % du chiffre d’affaires annuel global d’une compagnie d’assurance. Par ailleurs, la réputation d’une société pourrait également souffrir du non-respect de la loi.
Pour se faire accompagner dans leur mise en conformité au RGPD, les assureurs peuvent bénéficier du soutien de leur syndicat professionnel et des services d’un DPO.
Assuré Groupama
Internet peut présenter des risques. Avec la garantie E-réputation du contrat Protection juridique, vous êtes protégé en cas d’atteinte à votre réputation sur Internet. Et en cas d’utilisation frauduleuse de votre identité par un tiers ? Groupama propose également la garantie usurpation d’identité. Parlez-en à votre conseiller.
Simulez votre tarif protection juridique gratuitement en 3 minutes
Découvrez notre offre protection juridique
Protection juridique
Protection juridique
Découvrir l'offre2 formules au choix pour vous aider à faire respecter vos droits en cas de litige dans beaucoup de domaines (vie quotidienne, famille, patrimoine).
Découvrez nos infos et conseils
Protection juridique
Arnaques au téléphone
Découvrez les techniques les plus fréquentes et les réflexes pour vous en prémunir.
Protection juridique
Assistance juridique
Peut-elle être gratuite et comment en bénéficier ?
Protection juridique
Protection juridique
Comment procéder à la résiliation de son contrat d'assurance ?
Mentions légales et informatives
Pour les conditions et les limites des garanties et des services présentés, se reporter aux contrats ou voir auprès de votre conseiller Groupama.
Aide et contact
Je réponds à vos questions