Avec l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018, l’ensemble de la profession des courtiers en assurance a été bousculé dans ses habitudes et, face à cette nouveauté, vous vous interrogez quant au maintien de votre gestion actuelle.
Est-ce que vous êtes bien en phase avec tous les aspects de cette règlementation ? Seriez-vous face à des risques de non-conformité sans le savoir ? Y aurait-il des actions à entreprendre dans l’urgence ?
Pour y voir plus clair, suivez-nous.
Pourquoi un Règlement Général sur la Protection des Données ?
En quoi consiste exactement ce RGPD ? Le Règlement Général sur la Protection des Données a pour vocation de protéger les données à caractère personnel de vos assurés et prospects. C’est aussi simple que cela. Le législateur a voulu définir un cadre officiel qui permet à toute personne qui traite avec une entreprise ou un organisme public de pouvoir de contrôler ses données personnelles.
Qu'est-ce qu'une donnée personnelle ?
Très bonne question. En effet, ce terme largement employé nécessite une clarification.
Selon la CNIL, la Commission Nationale de l’Informatique et des Libertés [1], une « donnée personnelle » est « toute information se rapportant à une personne physique identifiée ou identifiable ».
Votre prospect s’appelle Marc, il habite à Niort et adore le jazz. Ces informations lui appartiennent et le RGPD tient à ce qu’il puisse en avoir le contrôle.
Toujours selon la CNIL, l’identification d’une personne physique peut être réalisée :
- À partir d’une seule donnée (le numéro de sécurité sociale de Marc, son ADN…) ;
- À partir du croisement d’un ensemble de données (Marc qui vit à Niort, né tel jour et abonné à un magazine de jazz et militant dans telle association).
À partir du moment où toute entreprise ou tout organisme public détient des informations précises sur la localisation, l’âge, les goûts et les comportements d’achats de Marc, elle est considérée comme traitant ses données personnelles dès lors qu’il lui est possible de remonter à Marc en se basant sur ces informations.
Et qu’est-ce que le traitement d’une donnée personnelle ?
Selon le texte de la règlementation, un « traitement de données personnelles » est une opération, ou un ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé : collecte, enregistrement, organisation, conservation, adaptation…
Bon, je vous le concède, c’est vague. Alors, vous êtes considéré comme traitant une donnée personnelle à partir du moment où vous tenez un fichier clients, que vous collectez les coordonnées de prospects via un questionnaire, que vous mettez à jour votre fichier de fournisseurs… Et ce même si cela n’est pas de manière informatisée !
Vos fichiers papier sont également concernés et doivent être protégés dans les conditions identiques.
De même, la règlementation spécifie que le traitement des données que vous collectez doit avoir une finalité qui doit être légale et légitime au regard de votre activité professionnelle de courtier.
Par exemple, lors de vos échanges commerciaux avec Marc, il s’avère que vous avez parlé, entre autres, de ses orientations politiques. Vous n’avez pas le droit de référencer dans vos fichiers son appartenance politique, car ceci ne rentre pas dans le cadre de votre activité de courtier en assurances.
Quels changements introduits par le RGPD ?
Avant l’instauration de la nouvelle règlementation, les personnes concernées par le traitement de leurs données bénéficiaient déjà d’un certain nombre de protections issues de la loi de 1978 [2] :
- Le droit d’accès aux données collectées et le droit d’information ;
- Le droit de rectification ;
- Le droit d’opposition ;
Le Règlement Général sur la Protection des Données du 25 mai 2018 introduit les droits suivants :
- Le droit à l’oubli (droit à l’effacement des données) ;
- Le droit à la limitation des traitements ;
- Le droit à la portabilité des données permettant à la personne de pouvoir récupérer ses données afin de les transmettre en l’état à un autre responsable de traitement (permettant au client de changer quand il le souhaite de prestataire).
Et enfin, que prévoit la règlementation en cas de manquement ?
Les sanctions peuvent atteindre jusqu’à 4% du chiffre d’affaires annuel de l’entreprise ou 20 millions d’euros en cas de manquements aux droits des personnes. C’est la CNIL qui est responsable de ces sanctions.
Nous pouvons vous citer le cas de la société SPARTOO [3]. Cet e-commerçant spécialisé dans la vente en ligne de chaussures, s’est vu condamnée en juillet 2020 par la CNIL à une amende de 250 000 euros sous astreinte de se conformer au RGPD. Pour fixer ce montant, elle a pris en compte les fautes commises par la société ainsi que le nombre de personnes concernées (plus de 3 millions d’anciens clients et plus de 25 millions de prospects)
En gérant mon portefeuille sur Excel, comment demeurer conforme au RGPD ?
Maintenant que vous avez saisi les tenants et les aboutissants des nouvelles dispositions RGPD, nous allons vous expliciter comment garantir votre mise en conformité.
Solly Azar, premier courtier en assurances à capital familial du marché français, a mis en place les 5 dispositifs suivants pour le respect des nouvelles règles du RGPD :
Le respect de ces 5 directives vous permettra de demeurer conforme à la nouvelle règlementation. Nous allons dans ce qui suit les détailler une à une et voir comment vous allez pouvoir vous y conformer tout en douceur.
Les aspects organisationnels
Nous vous proposons quelques mesures organisationnelles que vous êtes seul à pouvoir exercer sur votre activité et qui, finalement, vous allez le constater par vous-même, ne sont pas si compliquées à mettre en place.
Nomination d’un Data Protection Officer
Parmi les dispositifs mis en place par Solly Azar, la nomination d’un Data Protection Officer (DPO).
Ce DPO a uniquement pour mission de construire, tenir à jour et animer le déploiement du programme de protection des données personnelles de vos assurés et prospects. Bien évidemment, vous pouvez, en tant que gérant de votre entreprise, endosser la casquette de DPO. Tant que vous ne dépassez pas un nombre de clients et prospects conséquent, de la rigueur et une bonne organisation sont tout à fait suffisantes pour le respect de cette directive.
Pour cela, le DPO doit [4] :
- Constituer un registre de traitement de vos données ;
- Faire le tri de vos données ;
- Respectez les droits des personnes ;
- Sécuriser vos données.
Mise à jour des clauses sur les données personnelles
Comme vu précédemment, le RGPD a introduit une nouvelle série de protections aux personnes dont vous traitez les données (assurés, prospect, prestataires…) : le droit à l’oubli, le droit à la portabilité, le droit à la limitation des traitements…
Pour appliquer cette directive, vous devez donner le moyen à ces personnes d’exercer effectivement leurs droits. Pour cela, ces nouvelles dispositions doivent être mentionnées dans les clauses de vos devis, dispositions générales, dispositions particulières… ainsi que votre site web pour leur permettre de pouvoir exercer leurs droits.
Contrôle renforcé des prestataires
Externaliser une prestation de service n’est pas considéré comme une décision anodine par le RGPD. En effet, une entité tierce, telle que votre comptable ou prestataire informatique, pourrait être amenée à manipuler ou exploiter les données personnelles de vos registres dont vous êtes le premier responsable.
Pour cela, il vous est demandé d’examiner dans le détail les mesures techniques et organisationnelles mises en place par vos prestataires en termes de protection et de sécurité des données. Il pourra s’agir de politique de protection de la vie privée, de contrats, politique de sécurité…
Les aspects techniques
Les 3 mesures ci-dessus décrites, même si délicates, nous semblent être faisables au sein de la gestion actuellement mise en place au sein de votre structure qui se base principalement sur des fichiers Excel.
En revanche, les 2 mesures techniques que nous allons décrire dans ce qui suit sont beaucoup plus sensibles.
Renforcement de la sécurité des données
Même si vous n’y avez jamais été confrontés, les risques liés à la sécurité de vos données existent bel et bien.
Sécuriser vos données est un réflexe que vous vous devez de mettre en place en tant que gérant d’une activité de courtage en assurance. Concrètement, il vous faudra :
- Définir un mot de passe pour tous vos postes ;
- Verrouiller vos fichiers Excel par un mot de passe et veiller à le modifier de façon régulière ;
- Éviter de partager vos fichiers Excel et/ou d’en faire des extractions ;
- Faire des sauvegardes périodiques ;
- Stocker vos données sur un support fiable ;
- Se doter de pare-feu et d’antivirus ;
- Solution de filtrage des emails…
Cette série de mesures est indispensable de nos jours dans toute structure afin d’éviter toute utilisation malveillante de vos données. La CNIL propose une série de questions à se poser pour évaluer votre niveau d’exposition à ce risque :
Cliquez ici pour voir le détail sur le site de la CNIL
Limitation de la durée de la conservation des données
La durée de conservation de chacune des données personnelles que vous conservez est maintenant limitée.
La CNIL décompose le cycle de vie d’une donnée en trois phases successives :
- Les données sont en cours d’utilisation (dossier « en cours ») ;
- Les données sont mises de côté (le dossier est réglé) ;
- Les données sont archivées (le dossier est réglé et archivé).
Cliquez ici pour voir le détail sur le site de la CNIL
Les différentes durées de conservation doivent être inscrites dans le registre du délégué à la protection des données (DPO) pour chacun des traitements concernés. Concrètement, vous devrez :
- Consigner la date d’entrée en relation de chaque prospect ;
- Vérifier régulièrement le registre de prospects et, dès que la durée de conservation RGPD est dépassée, supprimer toutes les données personnelles qui les concernent ainsi que les documents qu’ils auront transmis.
La CNIL a également mis en place un guide pratique pour les durées de conservation [5] pour une gestion complète de cette directive.
Vous voilà fin prêts pour la mise en place de votre conformité RGPD au sein de votre structure de courtier en assurance.
La lecture de ce document vous a permis de comprendre que ceci requiert de l’expertise, du temps et une bonne dose d’énergie.
Tout en vous rassurant que la mise en place des 3 premières mesures est envisageable en maintenant votre gestion actuelle sur Excel, nous préconisons une automatisation de votre activité pour le bon respect de la globalité des mesures RGPD.
Le logiciel ASSUR3D, spécialisé dans la gestion des cabinets de courtage en assurance, veille à répondre à toutes ces mesures pour vous assurer un avenir plus serein.