Règlement général pour la protection des données – RGPD

Le 25 mai 2018, le règlement général pour la protection des données fournira aux citoyens français et européens de nouveaux droits pour protéger leurs informations personnelles et leur vie privée. Ce règlement impose ainsi donc aux acteurs de l’assurance de nouvelles obligations.

La France a profité du RGPD pour réaffirmer sa propre législation en modifiant la loi « Informatique et Libertés » de 1978. Le RGPD et la nouvelle loi française partagent le même objectif : concilier protection de la vie privée des citoyens et innovation, à l’heure où les géants du numérique analysent des masses de plus en plus grandes d’informations personnelles pour fournir des services personnalisés (publicité ciblée, assistant personnel, réservation de services à proximité).

Le RGPD entend responsabiliser les entreprises. Jusqu’ici, en France, elles devaient déclarer préalablement tout traitement de données personnelles mis en oeuvre. Cette formalité disparaît.

Mais les sociétés devront tenir en interne un registre des traitements de données personnelles dans lequel elles indiqueront la finalité de chaque collecte de données et le nom d’un responsable.

Pour chaque processus de traitement des données, elles devront mener une étude d’impact pour s’assurer qu’elles mesurent bien les risques vis-à-vis de la vie privée des citoyens européens concernés. Les garde-fous, notamment en matière de cybersécurité des données personnelles, devront être précisés.

En cas d’infraction à l’une de ces mesures ou au cas où des données personnelles se retrouveraient par mégarde dans la nature, les sociétés s’exposeront à des sanctions plus lourdes. Jusqu’ici limitée à 3 millions d’euros en France, l’amende pour non-respect du RGPD peut grimper jusqu’à 4 % du chiffre d’affaires mondial de l’entreprise contrevenante. Soit des centaines de millions d’euros potentiels pour les plus grosses d’entre elles. Les citoyens pourront mener des actions de groupe contre une société qui ne respecte pas le RGPD. En France, ils devront passer par une association de consommateurs.

Comment se préparer au RGPD ?

Les 6 étapes pour se préparer au RGPD

Se préparer au RGPD signifie d’abord prendre des mesures organisationnelles et étudier l’état de l’art des données personnelles dans votre organisation :

1.Désigner un chef d’orchestre, « Data Protection Officer » ou « Délégué à la Protection des Données », en charge d’informer, de contrôler et d’organiser les actions à mener pour être en conformité avec le RGPD.

2. Cartographier les traitements de données personnelles, pour lister clairement les différents traitements de données personnelles au sein de votre organisation, les catégories de données personnelles collectées et traitées, les objectifs et les acteurs de ces traitements (responsables de traitements et sous-traitants), ainsi que les flux de données entre les entités. Un registre des traitements sera mis en place à cette étape.

3. Prioriser les actions à mener dans le cadre du RGPD, avec comme base la cartographie ou le registre des traitements, en fonction des traitements les plus à risque en termes des droits et les libertés des personnes concernées.

4. Mener des analyses d’impact ou PIA (Privacy Impact Assessment), obligatoires si des traitements de données personnelles à haut risque sont identifiés, notamment si 2 des critères suivants sont applicables : évaluation ou notation, décision automatisée avec effet juridique ou effet similaire significatif, surveillance systématique, données sensibles ou données à caractère hautement personnel, données personnelles traitées à grande échelle, croisement d’ensembles de données, données concernant des personnes vulnérables, usage innovant ou application de nouvelles solutions technologiques ou organisationnelles, exclusion du bénéfice d’un droit, d’un service ou contrat.

5. Organiser les processus interne pour respecter la notion de Privacy By Design & By Default, en mettant en place des procédures pour prendre en compte la protection des données dès la conception d’un traitement, former les collaborateurs et les informer, traiter les demandes d’exercice de droits des personnes, et anticiper les violations de données ou les notifier à l’autorité compétente.

6. Documenter la conformité, et la mettre à jour régulièrement, avec les éléments suivants :

  1. Le registre des traitements,
  2. Les PIA lorsqu’un risque élevé pour les droits et libertés des personnes est identifié,
  3. L’encadrement des transferts de données hors de l’Union Européenne (clauses contractuelles, et certifications)
  4. L’information aux personnes (mentions d’information, modèles de recueil du consentement des personnes, les procédures pour l’exercice des droits des personnes)
  5. Les contrats définissant les rôles et responsabilités des acteurs (contrats avec les sous-traitants, procédures en cas de violation de données, les preuves du consentement des personnes lorsqu’un traitement de données repose sur celui-ci)

Lors des auditions devant la Commission des affaires sociales, les représentants des mutuelles santé (OCAM) avaient fait part de leurs inquiétudes quant aux conséquences de RGPD sur la gestion de leur contrat. Un amendement visant à aligner le régime des complémentaires santé sur celui de l’assurance maladie obligatoire a été adopté par les députés. Cet amendement (le n°128) permet aux traitements effectués par les organismes de complémentaire santé, dans le cadre de leurs missions de prise en charge des prestations, d’entrer dans la liste très fermée des traitements autorisés par dérogation par l’article 9 du RGPD, et par l’article 53 de la loi « informatique et aux libertés » tel que modifié par le projet de loi. L’entrée des organismes de complémentaire santé dans cette liste leur permet ainsi de ne pas avoir à effectuer toutes les démarches prévues par le chapitre IX de la loi « informatique et libertés ». Leur mission de prise en charge des frais de santé s’en trouve, dès lors, hautement simplifiée.

Dans ce contexte, Actuelia s’est associé à son partenaire Siltéa et propose aux organismes (mutuelle santé, compagnie d’assurance, et ip) un accompagnement dans la mise en conformité RGPD.

 

Notre offre


Notre plaquette


Nous contacter

ACTUELIA

12, Avenue de la grande armée

75017 Paris

01 85 08 08 43