RGPD : 5 ans après, l’heure du bilan pour le secteur assurantiel

Le 06 novembre 2023 |
Lors de son entrée en application le 25 mai 2018, le RGPD « Règlement Général sur la Protection des Données » avait pour objectif de renforcer les droits des citoyens européens vis-à-vis de la protection de leurs données à caractère personnel. L’adaptation du droit français au nouveau cadre européen s’est faite en plusieurs étapes avec la modification de la loi « Informatique et Libertés », par la loi du 20/06/2018, puis son décret d’application du 01/08/2018, la réécriture et la mise en cohérence de cette loi, par l’ordonnance du 12 décembre 2018 et enfin l’élaboration d’un nouveau décret d’application de la loi, daté du 29 mai 2019 et entré en vigueur le 1er juin 2019.

Avec sa dimension extraterritoriale, le RGPD a bouleversé le monde car les règles de protection des données de l’Union s’appliquent aux responsables de traitement établis en-dehors de son territoire dès l’instant où ils réalisent des traitements de données de sujets résidant dans l’Union. Au-delà du renforcement de la protection des données personnelles, ce règlement est venu responsabiliser les acteurs traitant des données personnelles et crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données.

Depuis cinq ans, au nom du RGPD, plus de 2 Milliards d’euros d’amendes ont été prononcés. Ces dernières pouvant aller jusqu’à 20 millions d’€ ou 4% du chiffre d’affaires annuel mondial d’une entreprise. La France représentée par la CNIL a, quant à elle, sanctionné à hauteur de 500 Millions depuis son entrée en application. Cinq ans après son entrée en application, comment les entreprises assurantielles ont-elles réussi à répondre aux grands défis du RGPD et quelles sont les problématiques qui sont encore présentes ?

Une adoption du RGPD largement réussie pour les structures assurantielles 

Pour se conformer à la réglementation, le secteur assurantiel a dû relever plusieurs défis liés notamment :

  • Au recueil du consentement des souscripteurs : L’un des points forts du RGPD est le renforcement considérable des exigences relatives au recueil de consentement RGPD des individus. Le consentement doit être spécifique, libre, éclairé et univoque.
  • A la formalisation d’une cartographie des données : Le secteur assurantiel a fait un travail de cartographie de chaque donnée collectée afin d’identifier la finalité effective des données qu’il possédait que ce soit lors de la passation, la gestion, l’exécution des contrats d’assurance d’une part et d’autre part la prospection commerciale. Suite à cette cartographie, les processus ont été amenés à changer afin de répondre aux exigences du RGPD.
  • A la sécurisation des systèmes d’information : Les contrôles et amendes liés au RGPD ont permis de mettre en avant la sécurisation des systèmes d’information avec par exemple la mise en place de mots de passe plus robustes et le chiffrement des données sensibles, mais aussi de responsabiliser l’humain avec une gestion stricte d’accès aux données ainsi qu’une surveillance régulière des activités.
  • A la formation des collaborateurs : Les assureurs ont investi massivement dans la formation pour se conformer au RGPD mais aussi dans la sensibilisation de l’ensemble de ces collaborateurs. C’est un vrai changement de mentalités et de culture vis-à-vis de la donnée qui s’est opéré au sein des différentes entreprises.
  • A l’accélération de la digitalisation : L’arrivée du RGPD a permis une accélération de la digitalisation avec la mise en place en autre des registres de traitement. Effectivement, deux fois plus d’entreprises d’assurances ont désormais une conformité digitale complète et durable, par rapport à 2018.

Cinq ans après son entrée en application, le RGPD a permis une forte sensibilisation sur le sujet de la donnée personnelle, cependant elle a aussi mis en lumière des axes qui sont toujours à améliorer.

Des difficultés opérationnelles sous-jacentes

Un certain nombre de difficultés subsistantes sont toujours présentes pour le secteur assurantiel :

  • Bien que le RGPD ait anticipé des disparités en introduisant des exemptions pour les entreprises de moins de 250 employés en ce qui concerne les registres des activités de traitement, pour autant, des ajustements demeurent nécessaires. En effet, le coût financier associé au RGPD reste élevé et les entreprises d'assurance font face à des problèmes tant sur le plan financier qu'humain. Par exemple, de nombreuses entreprises doivent solliciter des cabinets spécialisés pour le rôle de DPO, ce qui engendre une charge supplémentaire. De plus, la nécessité de modifier l'ensemble des processus implique des coûts importants.
  • La pérennité de la sécurité des données reste un enjeu majeur pour les entreprises assurantielles. En effet, ces dernières éprouvent des difficultés à suivre le rythme des évolutions des cybercriminels en matière de violation de données, leurs niveaux de sécurité doivent alors en permanence s’adapter aux nouvelles attaques subies.
  • Des audits sur l’archivage et la purge mettraient en exergue des manquements au RGPD de la part du secteur assurantiel. Il est difficile pour les entreprises de traiter avec exactitude les délais de conservation des données papiers, les dossiers étant archivés par dates et non par client.
  • Les entreprises d'assurance doivent rassembler la documentation requise en matière de piste d'audit pour démontrer leur conformité au règlement. Chaque étape doit être soutenue par des actions et documents justifiés, régulièrement révisés et mis à jour afin d'assurer une protection constante des données. Cet enjeu demeure l'une des difficultés les plus persistantes concernant le RGPD.

Le RGPD tel qu’il est entré en vigueur en 2018 a permis d’instaurer les fondements du traitement des données personnelles. Il est d’autant plus pertinent avec l’essor des solutions intelligentes et l’essor de la technologie, car avec une adaptation, il permettra de faire face aux dangers qu’elles représentent. Ainsi, le prochain rapport de la Commission Européenne sur l’application du RGPD, prévu en 2024, est essentiel et constituera un retour d’expérience significatif sur le règlement afin d'améliorer son efficacité et répondre aux enjeux actuels liés à la protection des données personnelles.

Auteurs