L’impact du RGDP pour les assureurs et les banquiers

L’évolution des technologies, la digitalisation de notre société et l’augmentation croissante des cyberattaques font émerger de nouvelles préoccupations sur le respect de la vie privée et des libertés individuelles. Avec l’entrée en vigueur, le 4 mai 2016, du règlement européen sur la protection des données à caractère personnel (RGDP), de profonds changements structurels de l’entreprise doivent être initiés pour garantir la protection des données à caractère personnel tout en capitalisant sur les mesures organisationnelles et techniques existantes. Il s’agit pour les entreprises, et plus particulièrement pour les banques et les sociétés d’assurance, de bien comprendre les apports de ce nouveau texte réglementaire pour évaluer ensuite ses impacts et les enjeux qui y sont associés. En effet, les banquiers et les assureurs sont en ligne de mire de cette nouvelle réglementation, sans oublier les entreprises innovantes pour lesquelles la donnée est une composante essentielle du business model.

Les principaux apports du règlement européen

L’un des premiers changements du règlement tient à la terminologie des notions clés de la réglementation sur la protection des données à caractère personnel. Ces définitions sont élargies, afin de tenir compte des nouvelles pratiques issues notamment des évolutions technologiques. Le règlement européen apporte également de nouvelles précisions en ce qui concerne les notions clés de la protection des données personnelles.

Plusieurs typologies complétées par le règlement européen

La donnée à caractère personnel est définie comme « toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée “personne concernée") ; est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale » [1] . La notion de donnée à caractère personnel est ainsi élargie. Constitue désormais une donnée à caractère personnel, toute donnée qui, seule ou combinée avec d’autres, peut être rattachée à un assuré, un client ou prospect (numéro de carte bancaire, références bancaires, vie maritale, nombre de personnes composant le foyer, numéro d’acte de décès, données relatives aux investigations…). Les données personnelles ne sont donc pas uniquement les données nominatives.

Le règlement européen ne parle pas à proprement parler de « données sensibles ». L’article 9 de ce règlement parle davantage de « traitement portant sur des catégories particulières de données à caractère personnel » et définit cette notion de la manière suivante : « le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique […] » [2] . En revanche, le Règlement européen consacre la définition légale de la notion de donnée de santé, à savoir : « les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne » [3] .

Par ailleurs, le considérant 24 du règlement intègre la notion de « donnée médicale » dans la définition des données à caractère personnel concernant la santé. Elle peut être définie comme la donnée révélant ou susceptible de révéler l’état pathologique de la personne, produite ou recueillie à l'occasion d'une activité de prévention, de diagnostic ou de soin.

Des notions clés revues par le règlement européen

Pour déterminer si une personne est identifiable, sont désormais considérés parmi « les moyens raisonnablement susceptibles d’être utilisés », le ciblage et « l’ensemble des facteurs tels que le coût de l'identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l'évolution de celles-ci ». Le règlement européen élargit ainsi la notion de « traitement ». Sont désormais des traitements, « des ensembles de données à caractère personnel », tels que l’adaptation, la structuration ou encore la limitation.

Une autre notion est importante dans la compréhension des principes fondamentaux de protection des données à caractère personnel : la notion de finalité des traitements. Elle peut être retenue comme « le but de la mise en œuvre du traitement et le justifie » [4] . Le règlement européen précise que ces finalités doivent être « déterminées, explicites et légitimes ». De nombreuses autres notions sont réglementées, notamment :

• le profilage, qui peut être retenu comme l’ensemble des pratiques technologiques visant à valoriser la donnée et à évaluer certains aspects personnels relatifs à une personne physique,
• la pseudonymisation, qui consiste à effectuer un traitement de telle sorte que les données ne puissent plus être attribuées à une personne sans avoir recours à d’autres informations.

Ce qu’il faut retenir en matière de protection des données à caractère personnel est que le règlement européen élargit la notion de donnée personnelle et renforce les principes fondamentaux de licéité et de loyauté des traitements. De la collecte à la conservation des données, le consentement recueilli doit être clair et univoque et les données collectées doivent être adéquates, pertinentes et limitées. Leur traitement reposera sur un fondement légal ou légitime, de nature à rendre l’opération nécessaire. Dorénavant, la réglementation sur la protection des données personnelles s’applique également au traitement des données personnelles appartenant à des personnes concernées ayant leur résidence sur le territoire l'Union européenne (UE), par un responsable du traitement établi hors UE et lorsque les activités de traitement sont liées à l'offre de biens ou de services à ces personnes ou à l’observation de leur comportement.

Les nouveaux enjeux de la protection des données personnelles

Un renforcement de la responsabilité

Le responsable de traitement est « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement » [5] . Avec cette définition, le règlement européen consacre deux nouveaux principes, celui de la responsabilité conjointe entre plusieurs responsables de traitement et celui de la responsabilité du sous-traitant, qui désormais peut être aussi responsable que le responsable de traitement. Le responsable de traitement ou le sous-traitant doivent mettre en œuvre « les mesures techniques et organisationnelles appropriées requises par le règlement européen afin de garantir les droits et libertés de la personne concernée » [6] .

Avec ce renforcement de la responsabilité des acteurs de la protection des données personnelles, le règlement européen instaure une logique de conformité en lieu et place d’une logique de formalités préalables. La charge de la preuve incombe désormais à ces derniers et non plus à la personne concernée.

Un dispositif de protection encadré

Les moyens techniques et organisationnels appropriés, tels que décrits par le règlement européen, visent à définir le dispositif cible de protection des données personnelles à mettre en œuvre par toute entreprise concernée. Ce dispositif doit être adapté et calibré pour chaque structure et s’intégrer à l’organisation existante de l’entreprise (principe de proportionnalité).

Les principales caractéristiques du dispositif de protection des données personnelles sont :

• la sécurité des données par une approche par les risques qui suppose une méthode d’analyse de risques (Respect to risk et Privacy Impact Assessment) et des mesures de sécurité appropriées aux risques (Privacy by default et Privacy by design) ;
• la traçabilité documentaire. Le responsable du traitement adopte des règles internes et met en œuvre les mesures appropriées pour garantir et pouvoir démontrer que le traitement des données à caractère personnel est effectué dans le respect du présent règlement (mesures organisationnelles, juridiques et techniques). Le responsable du traitement adopte des mécanismes pour vérifier l’efficacité des mesures énoncées (contrôle interne permanent) ;
• la désignation d’un délégué à la protection des données. Garant de la conformité, le délégué à la protection des données (ou encore appelé « DPO », Data Protection Officer) est une fonction consacrée par le règlement européen (article 37 et suivants) ;
• la notification des violations de données personnelles : il s’agit de l’obligation de notification à l’Autorité de contrôle dans les 72 heures au plus tard après en avoir pris connaissance et dans les meilleurs délais à la personne concernée, lorsque la violation en question est susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. L’exigence de notification de violation impose une nouvelle contrainte au responsable de traitement, celle de « superviser en permanence ».

Dans un monde concurrentiel, mondialisé et de plus en plus réglementé, les entreprises ont l’obligation de protéger la donnée. Les sanctions en cas de manquement peuvent désormais aller jusqu’à 4 % du chiffre d’affaires mondial, en cas de non-recueil du consentement.

Au-delà de la stricte conformité

Si le règlement européen apparaît de prime abord comme un projet de conformité, il est avant tout pour les banques, les compagnies d’assurance et les entreprises concernées une réelle opportunité. L’opportunité de mettre en œuvre de nouvelles stratégies ainsi que les transformations utiles pour s’adapter aux nouvelles pratiques de marché, aux nouvelles évolutions technologiques et renforcer de ce fait la confiance des personnes dans l’entreprise. Pour y parvenir, le projet de mise en conformité doit être construit, préparé et déployé progressivement, tout en capitalisant sur les moyens techniques et organisationnels existants. Quatre chantiers principaux sont à prévoir :

• un chantier Gouvernance relatif aux moyens organisationnels à mettre en œuvre (traçabilité documentaire, désignation du DPO, comitologie [7] ) ;
• un chantier Risques et Contrôle interne relatif aux méthodes et outils d’évaluation et de contrôle des traitements de données à caractère personnel ;
• un chantier Système d’information relatif aux moyens techniques à mettre en œuvre (sécurité, traçabilité, notification) ;
• un chantier Sensibilisation relatif aux moyens et méthodes de communication (interne et externe) et de sensibilisation des parties prenantes et acteurs concernés au sein de l’organisation.

Une approche pragmatique du RGDP

Pour réussir un tel projet, il faut tenir compte des moyens existants pour ne pas tout refondre mais au contraire adapter et faire évoluer l’existant. Les évolutions nécessaires qui auront été identifiées en phase de diagnostic de l’existant devront être priorisées et évaluées en termes de coûts et de délai de mise en œuvre, pour chaque entité concernée. Dans la mise en œuvre des évolutions nécessaires, il convient de responsabiliser les acteurs concernés (directions métiers, filiales et parties prenantes), de les former et les accompagner dans l’exécution des actions de mise en conformité pour assurer une transmission efficace des savoirs et une amélioration continue du dispositif mis en œuvre.

La CNIL [8] a par ailleurs publié ce mois-ci un guide en 6 étapes intitulé « comment se préparer au règlement européen sur la protection des données ? » [9] . Il s’agit d’une méthodologie qui permet aux professionnels concernés de s’organiser autour du projet RGDP. La CNIL apporte ainsi des réponses claires en termes d’organisation, de méthodes et d’outils.

Les organismes ainsi assujettis sont désormais en mesure de se préparer et d’anticiper les changements liés à l’entrée en application du règlement européen le 25 mai 2018. Pour les banques et les assurances, ce guide devra très certainement être étoffé pour tenir compte des spécificités du secteur : extraterritorialité des flux de données, complexité des systèmes d’information existants, traitements sur des données de santé et/ou des données médicales à des fins variées (scoring, profiling…), recours exponentiel à la sous-traitance (apparition de nouveaux prestataires de paiement), intégration des nouvelles technologies en mode Lab (machine learning, blockchain…), sans oublier l’accroissement des nouvelles exigences légales et réglementaires (loi Sapin 2, normes IFRS, PRIIPS…).

Autant de spécificités du secteur qui nous amènent à nous interroger sur la nécessité pour la CNIL de préparer un pack de conformité Banque et Assurance, tel que nous en connaissons aujourd’hui pour l’assurance. Publié en novembre 2014, ce pack de conformité Assurance a permis d’instaurer un nouveau mode de régulation de la conformité spécifique au secteur. Si le succès de cet outil est indéniable, il est une raison supplémentaire pour prôner la mise en œuvre d’un nouveau pack conformité Banque et Assurance qui sera en mesure de fournir des indications concrètes sur la façon de respecter les textes et des modes opératoires précis, tels que des autorisations uniques (AU) ou des normes simplifiées (NS) ou encore de diffuser des bonnes pratiques communes, harmonisées et partagées par les principaux acteurs du secteur.