L’impact du RGDP pour les assureurs et les banquiers

L&rsquo;&eacute;volution des technologies, la digitalisation de notre soci&eacute;t&eacute; et l&rsquo;augmentation croissante des cyberattaques font &eacute;merger de nouvelles pr&eacute;occupations sur le respect de la vie priv&eacute;e et des libert&eacute;s individuelles. Avec l&rsquo;entr&eacute;e en vigueur, le 4 mai 2016, du r&egrave;glement europ&eacute;en sur la protection des donn&eacute;es &agrave; caract&egrave;re personnel (RGDP), de profonds changements structurels de l&rsquo;entreprise doivent &ecirc;tre initi&eacute;s pour garantir la protection des donn&eacute;es &agrave; caract&egrave;re personnel tout en capitalisant sur les mesures organisationnelles et techniques existantes. Il s&rsquo;agit pour les entreprises, et plus particuli&egrave;rement pour les banques et les soci&eacute;t&eacute;s d&rsquo;assurance, de bien comprendre les apports de ce nouveau texte r&eacute;glementaire pour &eacute;valuer ensuite ses impacts et les enjeux qui y sont associ&eacute;s. En effet, les banquiers et les assureurs sont en ligne de mire de cette nouvelle r&eacute;glementation, sans oublier les entreprises innovantes pour lesquelles la donn&eacute;e est une composante essentielle du business model. Les principaux apports du r&egrave;glement europ&eacute;en L&rsquo;un des premiers changements du r&egrave;glement tient &agrave; la terminologie des notions cl&eacute;s de la r&eacute;glementation sur la protection des donn&eacute;es &agrave; caract&egrave;re personnel. Ces d&eacute;finitions sont &eacute;largies, afin de tenir compte des nouvelles pratiques issues notamment des &eacute;volutions technologiques. Le r&egrave;glement europ&eacute;en apporte &eacute;galement de nouvelles pr&eacute;cisions en ce qui concerne les notions cl&eacute;s de la protection des donn&eacute;es personnelles. Plusieurs typologies compl&eacute;t&eacute;es par le r&egrave;glement europ&eacute;en La donn&eacute;e &agrave; caract&egrave;re personnel est d&eacute;finie comme &laquo; toute information se rapportant &agrave; une personne physique identifi&eacute;e ou identifiable (ci-apr&egrave;s d&eacute;nomm&eacute;e &ldquo;personne concern&eacute;e") ; est r&eacute;put&eacute;e &ecirc;tre une &ldquo;personne physique identifiable&rdquo; une personne physique qui peut &ecirc;tre identifi&eacute;e, directement ou indirectement, notamment par r&eacute;f&eacute;rence &agrave; un identifiant, tel qu'un nom, un num&eacute;ro d'identification, des donn&eacute;es de localisation, un identifiant en ligne, ou &agrave; un ou plusieurs &eacute;l&eacute;ments sp&eacute;cifiques propres &agrave; son identit&eacute; physique, physiologique, g&eacute;n&eacute;tique, psychique, &eacute;conomique, culturelle ou sociale &raquo; [1] . La notion de donn&eacute;e &agrave; caract&egrave;re personnel est ainsi &eacute;largie. Constitue d&eacute;sormais une donn&eacute;e &agrave; caract&egrave;re personnel, toute donn&eacute;e qui, seule ou combin&eacute;e avec d&rsquo;autres, peut &ecirc;tre rattach&eacute;e &agrave; un assur&eacute;, un client ou prospect (num&eacute;ro de carte bancaire, r&eacute;f&eacute;rences bancaires, vie maritale, nombre de personnes composant le foyer, num&eacute;ro d&rsquo;acte de d&eacute;c&egrave;s, donn&eacute;es relatives aux investigations&hellip;). Les donn&eacute;es personnelles ne sont donc pas uniquement les donn&eacute;es nominatives. Le r&egrave;glement europ&eacute;en ne parle pas &agrave; proprement parler de &laquo; donn&eacute;es sensibles &raquo;. L&rsquo;article 9 de ce r&egrave;glement parle davantage de &laquo; traitement portant sur des cat&eacute;gories particuli&egrave;res de donn&eacute;es &agrave; caract&egrave;re personnel &raquo; et d&eacute;finit cette notion de la mani&egrave;re suivante : &laquo; le traitement des donn&eacute;es &agrave; caract&egrave;re personnel qui r&eacute;v&egrave;le l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des donn&eacute;es g&eacute;n&eacute;tiques, des donn&eacute;es biom&eacute;triques aux fins d'identifier une personne physique de mani&egrave;re unique, des donn&eacute;es concernant la sant&eacute; ou des donn&eacute;es concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique [&hellip;] &raquo; [2] . En revanche, le R&egrave;glement europ&eacute;en consacre la d&eacute;finition l&eacute;gale de la notion de donn&eacute;e de sant&eacute;, &agrave; savoir : &laquo; les donn&eacute;es &agrave; caract&egrave;re personnel relatives &agrave; la sant&eacute; physique ou mentale d'une personne physique, y compris la prestation de services de soins de sant&eacute;, qui r&eacute;v&egrave;lent des informations sur l'&eacute;tat de sant&eacute; de cette personne &raquo; [3] . Par ailleurs, le consid&eacute;rant 24 du r&egrave;glement int&egrave;gre la notion de &laquo; donn&eacute;e m&eacute;dicale &raquo; dans la d&eacute;finition des donn&eacute;es &agrave; caract&egrave;re personnel concernant la sant&eacute;. Elle peut &ecirc;tre d&eacute;finie comme la donn&eacute;e r&eacute;v&eacute;lant ou susceptible de r&eacute;v&eacute;ler l&rsquo;&eacute;tat pathologique de la personne, produite ou recueillie &agrave; l'occasion d'une activit&eacute; de pr&eacute;vention, de diagnostic ou de soin. Des notions cl&eacute;s revues par le r&egrave;glement europ&eacute;en Pour d&eacute;terminer si une personne est identifiable, sont d&eacute;sormais consid&eacute;r&eacute;s parmi &laquo; les moyens raisonnablement susceptibles d&rsquo;&ecirc;tre utilis&eacute;s &raquo;, le ciblage et &laquo; l&rsquo;ensemble des facteurs tels que le co&ucirc;t de l'identification et le temps n&eacute;cessaire &agrave; celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l'&eacute;volution de celles-ci &raquo;. Le r&egrave;glement europ&eacute;en &eacute;largit ainsi la notion de &laquo; traitement &raquo;. Sont d&eacute;sormais des traitements, &laquo; des ensembles de donn&eacute;es &agrave; caract&egrave;re personnel &raquo;, tels que l&rsquo;adaptation, la structuration ou encore la limitation. Une autre notion est importante dans la compr&eacute;hension des principes fondamentaux de protection des donn&eacute;es &agrave; caract&egrave;re personnel : la notion de finalit&eacute; des traitements. Elle peut &ecirc;tre retenue comme &laquo; le but de la mise en œuvre du traitement et le justifie &raquo; [4] . Le r&egrave;glement europ&eacute;en pr&eacute;cise que ces finalit&eacute;s doivent &ecirc;tre &laquo; d&eacute;termin&eacute;es, explicites et l&eacute;gitimes &raquo;. De nombreuses autres notions sont r&eacute;glement&eacute;es, notamment : le profilage, qui peut &ecirc;tre retenu comme l&rsquo;ensemble des pratiques technologiques visant &agrave; valoriser la donn&eacute;e et &agrave; &eacute;valuer certains aspects personnels relatifs &agrave; une personne physique, la pseudonymisation, qui consiste &agrave; effectuer un traitement de telle sorte que les donn&eacute;es ne puissent plus &ecirc;tre attribu&eacute;es &agrave; une personne sans avoir recours &agrave; d&rsquo;autres informations. Ce qu&rsquo;il faut retenir en mati&egrave;re de protection des donn&eacute;es &agrave; caract&egrave;re personnel est que le r&egrave;glement europ&eacute;en &eacute;largit la notion de donn&eacute;e personnelle et renforce les principes fondamentaux de lic&eacute;it&eacute; et de loyaut&eacute; des traitements. De la collecte &agrave; la conservation des donn&eacute;es, le consentement recueilli doit &ecirc;tre clair et univoque et les donn&eacute;es collect&eacute;es doivent &ecirc;tre ad&eacute;quates, pertinentes et limit&eacute;es. Leur traitement reposera sur un fondement l&eacute;gal ou l&eacute;gitime, de nature &agrave; rendre l&rsquo;op&eacute;ration n&eacute;cessaire. Dor&eacute;navant, la r&eacute;glementation sur la protection des donn&eacute;es personnelles s&rsquo;applique &eacute;galement au traitement des donn&eacute;es personnelles appartenant &agrave; des personnes concern&eacute;es ayant leur r&eacute;sidence sur le territoire l'Union europ&eacute;enne (UE), par un responsable du traitement &eacute;tabli hors UE et lorsque les activit&eacute;s de traitement sont li&eacute;es &agrave; l'offre de biens ou de services &agrave; ces personnes ou &agrave; l&rsquo;observation de leur comportement. Les nouveaux enjeux de la protection des donn&eacute;es personnelles Un renforcement de la responsabilit&eacute; Le responsable de traitement est &laquo; la personne physique ou morale, l'autorit&eacute; publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, d&eacute;termine les finalit&eacute;s et les moyens du traitement &raquo; [5] . Avec cette d&eacute;finition, le r&egrave;glement europ&eacute;en consacre deux nouveaux principes, celui de la responsabilit&eacute; conjointe entre plusieurs responsables de traitement et celui de la responsabilit&eacute; du sous-traitant, qui d&eacute;sormais peut &ecirc;tre aussi responsable que le responsable de traitement. Le responsable de traitement ou le sous-traitant doivent mettre en œuvre &laquo; les mesures techniques et organisationnelles appropri&eacute;es requises par le r&egrave;glement europ&eacute;en afin de garantir les droits et libert&eacute;s de la personne concern&eacute;e &raquo; [6] . Avec ce renforcement de la responsabilit&eacute; des acteurs de la protection des donn&eacute;es personnelles, le r&egrave;glement europ&eacute;en instaure une logique de conformit&eacute; en lieu et place d&rsquo;une logique de formalit&eacute;s pr&eacute;alables. La charge de la preuve incombe d&eacute;sormais &agrave; ces derniers et non plus &agrave; la personne concern&eacute;e. Un dispositif de protection encadr&eacute; Les moyens techniques et organisationnels appropri&eacute;s, tels que d&eacute;crits par le r&egrave;glement europ&eacute;en, visent &agrave; d&eacute;finir le dispositif cible de protection des donn&eacute;es personnelles &agrave; mettre en œuvre par toute entreprise concern&eacute;e. Ce dispositif doit &ecirc;tre adapt&eacute; et calibr&eacute; pour chaque structure et s&rsquo;int&eacute;grer &agrave; l&rsquo;organisation existante de l&rsquo;entreprise (principe de proportionnalit&eacute;). Les principales caract&eacute;ristiques du dispositif de protection des donn&eacute;es personnelles sont : la s&eacute;curit&eacute; des donn&eacute;es par une approche par les risques qui suppose une m&eacute;thode d&rsquo;analyse de risques ( Respect to risk et Privacy Impact Assessment ) et des mesures de s&eacute;curit&eacute; appropri&eacute;es aux risques ( Privacy by default et Privacy by design ) ; la tra&ccedil;abilit&eacute; documentaire. Le responsable du traitement adopte des r&egrave;gles internes et met en œuvre les mesures appropri&eacute;es pour garantir et pouvoir d&eacute;montrer que le traitement des donn&eacute;es &agrave; caract&egrave;re personnel est effectu&eacute; dans le respect du pr&eacute;sent r&egrave;glement (mesures organisationnelles, juridiques et techniques). Le responsable du traitement adopte des m&eacute;canismes pour v&eacute;rifier l&rsquo;efficacit&eacute; des mesures &eacute;nonc&eacute;es (contr&ocirc;le interne permanent) ; la d&eacute;signation d&rsquo;un d&eacute;l&eacute;gu&eacute; &agrave; la protection des donn&eacute;es. Garant de la conformit&eacute;, le d&eacute;l&eacute;gu&eacute; &agrave; la protection des donn&eacute;es (ou encore appel&eacute; &laquo; DPO &raquo;, Data Protection Officer ) est une fonction consacr&eacute;e par le r&egrave;glement europ&eacute;en (article 37 et suivants) ; la notification des violations de donn&eacute;es personnelles : il s&rsquo;agit de l&rsquo;obligation de notification &agrave; l&rsquo;Autorit&eacute; de contr&ocirc;le dans les 72 heures au plus tard apr&egrave;s en avoir pris connaissance et dans les meilleurs d&eacute;lais &agrave; la personne concern&eacute;e, lorsque la violation en question est susceptible d'engendrer un risque pour les droits et libert&eacute;s des personnes physiques. L&rsquo;exigence de notification de violation impose une nouvelle contrainte au responsable de traitement, celle de &laquo; superviser en permanence &raquo;. Dans un monde concurrentiel, mondialis&eacute; et de plus en plus r&eacute;glement&eacute;, les entreprises ont l&rsquo;obligation de prot&eacute;ger la donn&eacute;e. Les sanctions en cas de manquement peuvent d&eacute;sormais aller jusqu&rsquo;&agrave; 4 % du chiffre d&rsquo;affaires mondial, en cas de non-recueil du consentement. Au-del&agrave; de la stricte conformit&eacute; Si le r&egrave;glement europ&eacute;en appara&icirc;t de prime abord comme un projet de conformit&eacute;, il est avant tout pour les banques, les compagnies d&rsquo;assurance et les entreprises concern&eacute;es une r&eacute;elle opportunit&eacute;. L&rsquo;opportunit&eacute; de mettre en œuvre de nouvelles strat&eacute;gies ainsi que les transformations utiles pour s&rsquo;adapter aux nouvelles pratiques de march&eacute;, aux nouvelles &eacute;volutions technologiques et renforcer de ce fait la confiance des personnes dans l&rsquo;entreprise. Pour y parvenir, le projet de mise en conformit&eacute; doit &ecirc;tre construit, pr&eacute;par&eacute; et d&eacute;ploy&eacute; progressivement, tout en capitalisant sur les moyens techniques et organisationnels existants. Quatre chantiers principaux sont &agrave; pr&eacute;voir : un chantier Gouvernance relatif aux moyens organisationnels &agrave; mettre en œuvre (tra&ccedil;abilit&eacute; documentaire, d&eacute;signation du DPO, comitologie [7] ) ; un chantier Risques et Contr&ocirc;le interne relatif aux m&eacute;thodes et outils d&rsquo;&eacute;valuation et de contr&ocirc;le des traitements de donn&eacute;es &agrave; caract&egrave;re personnel ; un chantier Syst&egrave;me d&rsquo;information relatif aux moyens techniques &agrave; mettre en œuvre (s&eacute;curit&eacute;, tra&ccedil;abilit&eacute;, notification) ; un chantier Sensibilisation relatif aux moyens et m&eacute;thodes de communication (interne et externe) et de sensibilisation des parties prenantes et acteurs concern&eacute;s au sein de l&rsquo;organisation. Une approche pragmatique du RGDP Pour r&eacute;ussir un tel projet, il faut tenir compte des moyens existants pour ne pas tout refondre mais au contraire adapter et faire &eacute;voluer l&rsquo;existant. Les &eacute;volutions n&eacute;cessaires qui auront &eacute;t&eacute; identifi&eacute;es en phase de diagnostic de l&rsquo;existant devront &ecirc;tre prioris&eacute;es et &eacute;valu&eacute;es en termes de co&ucirc;ts et de d&eacute;lai de mise en œuvre, pour chaque entit&eacute; concern&eacute;e. Dans la mise en œuvre des &eacute;volutions n&eacute;cessaires, il convient de responsabiliser les acteurs concern&eacute;s (directions m&eacute;tiers, filiales et parties prenantes), de les former et les accompagner dans l&rsquo;ex&eacute;cution des actions de mise en conformit&eacute; pour assurer une transmission efficace des savoirs et une am&eacute;lioration continue du dispositif mis en œuvre. La CNIL [8] a par ailleurs publi&eacute; ce mois-ci un guide en 6 &eacute;tapes intitul&eacute; &laquo; comment se pr&eacute;parer au r&egrave;glement europ&eacute;en sur la protection des donn&eacute;es ? &raquo; [9] . Il s&rsquo;agit d&rsquo;une m&eacute;thodologie qui permet aux professionnels concern&eacute;s de s&rsquo;organiser autour du projet RGDP. La CNIL apporte ainsi des r&eacute;ponses claires en termes d&rsquo;organisation, de m&eacute;thodes et d&rsquo;outils. Les organismes ainsi assujettis sont d&eacute;sormais en mesure de se pr&eacute;parer et d&rsquo;anticiper les changements li&eacute;s &agrave; l&rsquo;entr&eacute;e en application du r&egrave;glement europ&eacute;en le 25 mai 2018. Pour les banques et les assurances, ce guide devra tr&egrave;s certainement &ecirc;tre &eacute;toff&eacute; pour tenir compte des sp&eacute;cificit&eacute;s du secteur : extraterritorialit&eacute; des flux de donn&eacute;es, complexit&eacute; des syst&egrave;mes d&rsquo;information existants, traitements sur des donn&eacute;es de sant&eacute; et/ou des donn&eacute;es m&eacute;dicales &agrave; des fins vari&eacute;es ( scoring , profiling &hellip;), recours exponentiel &agrave; la sous-traitance (apparition de nouveaux prestataires de paiement), int&eacute;gration des nouvelles technologies en mode Lab ( machine learning , blockchain &hellip;), sans oublier l&rsquo;accroissement des nouvelles exigences l&eacute;gales et r&eacute;glementaires (loi Sapin 2, normes IFRS, PRIIPS&hellip;). Autant de sp&eacute;cificit&eacute;s du secteur qui nous am&egrave;nent &agrave; nous interroger sur la n&eacute;cessit&eacute; pour la CNIL de pr&eacute;parer un pack de conformit&eacute; Banque et Assurance, tel que nous en connaissons aujourd&rsquo;hui pour l&rsquo;assurance. Publi&eacute; en novembre 2014, ce pack de conformit&eacute; Assurance a permis d&rsquo;instaurer un nouveau mode de r&eacute;gulation de la conformit&eacute; sp&eacute;cifique au secteur. Si le succ&egrave;s de cet outil est ind&eacute;niable, il est une raison suppl&eacute;mentaire pour pr&ocirc;ner la mise en œuvre d&rsquo;un nouveau pack conformit&eacute; Banque et Assurance qui sera en mesure de fournir des indications concr&egrave;tes sur la fa&ccedil;on de respecter les textes et des modes op&eacute;ratoires pr&eacute;cis, tels que des autorisations uniques (AU) ou des normes simplifi&eacute;es (NS) ou encore de diffuser des bonnes pratiques communes, harmonis&eacute;es et partag&eacute;es par les principaux acteurs du secteur. 1 Article 4 du RGDP. 2 Article 9 du RDGP. 3 Article 4 du RGDP. 4 Article 6 de la loi Informatique et Libert&eacute;s du 6 janvier 1978, modifi&eacute;e. 5 Article 4 du r&egrave;glement europ&eacute;en sur la protection des donn&eacute;es personnelles. 6 Article 5 du r&egrave;glement europ&eacute;en. 7 Gouvernance projet par laquelle on prend des d&eacute;cisions dans le cadre de comit&eacute;s (comit&eacute; projet, comit&eacute; de pilotage&hellip;). 8 Commission nationale informatique et libert&eacute;s. 9 https://www.cnil.fr/fr/comment-se-preparer-au-reglement-europeen-sur-la-protection-des-donnees.

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Archive

Données personnelles

L’impact du RGDP pour les assureurs et les banquiers

Le règlement européen sur la protection des données à caractère personnel entrera en vigueur en mai 2018. Les banques et les compagnies d’assurance, de par leur activité, sont tout spécifiquement concernées par ce nouveau cadre. Tour d’horizon de ce qui va changer.

À retrouver dans la revue

Banque de détail

[Web Only] Tarifs bancaires : les banques amortissent l’inflation

Blockchain/Cryptoactifs

Les garanties bancaires
sont d’excellents cas d’usage

Banque de financement et d'investissement (BFI)

« Paris est le centre de gravité
pour tous les instruments financiers traités en euros »

Paiements

Le droit de la responsabilité civile appliqué à des virements frauduleux en devises

Archive

Panorama réglementaire des actifs numériques

Archive

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

Archive

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Suivez-nous

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Données personnelles

L’impact du RGDP pour les assureurs et les banquiers

Le règlement européen sur la protection des données à caractère personnel entrera en vigueur en mai 2018. Les banques et les compagnies d’assurance, de par leur activité, sont tout spécifiquement concernées par ce nouveau cadre. Tour d’horizon de ce qui va changer.

À retrouver dans la revue

[Web Only] Tarifs bancaires : les banques amortissent l’inflation

Les garanties bancaires sont d’excellents cas d’usage

« Paris est le centre de gravité pour tous les instruments financiers traités en euros »

Le droit de la responsabilité civile appliqué à des virements frauduleux en devises

Panorama réglementaire des actifs numériques

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Les garanties bancaires
sont d’excellents cas d’usage

« Paris est le centre de gravité
pour tous les instruments financiers traités en euros »